Jestli chceš jenom restart, nastav sudo na konkrétní příkazy. Jestli chceš kompletní správu, vykašli se na *admin, naděláš si problémy. Pokud řešíš malé prostředí, smiř se s tím, že ti kdokoliv rozdrbe cokoliv, pokud řešíš něco většího, nemá víc služeb na jednom serveru co dělat a o to je to jednodušší. Jinak SELinux je rozhodně dobrá věc, bohužel to většinou končí jeho vypnutím. Nastuduj di, jak to funguje, udělej si vlastní šablony a budeš king.
Selinux je naprosto debilni technologie, kterou jde se skripenim zubu rozjet pro staticke servicy typu Apache Httpd. V pripade dynamickych frameworku typu Zabbix, kde user pridava alertscripty a userparam scripty a aPHP stranky, to nebude fungovat nikdy.
Tazateli doporucuju Docker a dilcim adminum dat spravu vybranym containerum, uvnitr containeru si admin muze delat co chce
A hlavne muze zmeny nejprve poradne otestovat na dev prostredi a pak finalne deployovat jednim container pullem.
Pise se rok 2016
Ty vole.... teď jsem jinde slíbil, že se nebudu hádat s javoušem a je tu další tupec. SELinux je technologie, která se snaží řešit bezpečnost mezi službami a jestli nevíš, o co jde, tak o tom aspoň nepiš kraviny. Že seš na to moc blbej neznamená, že je ta technologie špatná. Znamená to pouze to, že seš na to moc blbej. A jdeš rovnou k javoušovi, už na tvoje kraviny nereaguju.
Heh, s mistnimi trolly je sranda
Ze Selinux resi bezpecnost mezi sluzbami jsem nevedel, myslel jsem, ze je to implementace ACL, clovek se porad uci.
Pred nedavnem kolega delal balicky pro par opensource nastroju (Zabbix, Puppet, Bacula) se specifickym pozadavkem, ze tyto aplikace nesmi lezt mimo svuj adresar v /opt - takze tempy, logy, pidfile, vsechno hezky v /opt/zabbix apod.
A toto jsou dojmy z teto akce:
Je nebetycny oser cokoliv zmenit nad uroven zmeny predzvykaneho selinux booleanu
Dokumentace komicka
Ze jsem po tydnu laborovani pri beznem pouziti aplikace se zbavil auditnich hlasek znamena jedine, user jeste neprovedl nestandarni operaci, ktera samozrejme lehne. Vlastni aplikace pritom nerekne ani slovo v.gui, ani do logu.
Format audit logu svou citelnosti a relevanci obsahu temer dosahuje idealu windows event logu.
Selinux politiky sedi v jedne centralni hromade hnoje, co tam nekdo nekdy pred lety kydl, to tam sedi uz naveky. Pokud je prislusna politika ve verzi treba 5.x a vyse, znamena to, ze se o to nekdo stara a mozna to i funguje. Pokud je ve verzi 1.x, znamena to, ze na politiku maitainer sere a je nefunkcni, bud nechrani nic, nebo naopak brani applikaci korektne fungovat.
A konfigurace je taky velike labuzo, pokud po tydnech laborovani najdu funkcni konfig, neexistuje zpusob, jak jej z devu prnest na produkci. Nejlepe se osvedcil zpusob cmarani poznamek o zmenach na papirek, pak navrat dev image do cisteho snapshotu pred zmenama a odzkouset to odznova - potom zopaknout na produkci treba Puppetem.
A kdyz je rec.o puppetu, ten zustal unconfined, nenalezen zadny zpusob, jak jej oselinuxovat, aby se do toho nemuselo hrabat s kazdym novym puppet modulem.
Pis dal, tvoje prispevky me zajimaji.
19 Odpovědí
6547 Zhlédnutí