Re: [問題] 請問您還用 selinux 嗎?

看板Linux作者Adama (So Say We All.)時間16年前 (2010/02/11 13:52)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串2/2 (看更多)

※ 引述《pgychen (pp)》之銘言： : 記得好像是 2000 年 (遠目) : 美國國家安全單位, 在沒有預告的情況下, 發出了一個 selinux : 突然之間, linux 讓人覺得價值倍增, 因為有美國國家安全單位的背書 : "國家安全保證"耶, 各套件也都紛紛地加入此一套件這樣講怪怪的，selinux是NSA為了加強linux的安全性才開發出來的，不是背書它也不是一個套件而已，是一個架構，而且需要kernel支援光是所有的檔案都要加上seliunx labels，這連檔案系統和工具都要改了吧 : 但 ubuntu/debian 則直接不安裝了 debian lenny的selinux進入standard套件類別了，不過還是沒有預設啟動 : 現在在 google 上 selinux 的搜尋建議,竟然是 "selinux 關閉", "selinux disable" : 排在最前面兩名, 所以代表大部分人, 還是先關掉它 : 想請問大家 : 是 selinux 很難設定嗎? 還是 linux 本身就很安全了, 一點都不需要 selinux ? 我覺得不難，基本上我用fedora除了第三方套件，幾乎沒什麼selinux衝突需要解決的遇到衝突，現在也有很方便的selinux troubeshooting工具，具體呈現和提供建議不用像以往一樣要到messages or aduit.log去挖，挖到還不一定看得懂大部分的衝突都是file label錯了，比如說把/home底下的東西直接搬去/var/www httpd就不會吃。再來是有些第三方lib要relax，用chcon -t textrel_shlib_t改掉就行最後大絕招就是自訂規則，也不難，都有現成工具，只要把selinux denied的訊息餵入就可以產生自定規則了。Fedora Doc有很完整的selinux說明文件至於安全，我曾經有跑過一台Fedora Core 5三年，早就過了更新支援，沒事但其它兩台Solaris卻被駭，所以我架server一定會開selinux -- Nice to meld you. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.101.162