> Это мнение в духе "я не асилил, значит это остой".А у меня нет в жизни цели "асилить %s". У меня есть задачи и хотелки. Лично мои. И в моих же интересах сделать так чтобы мне было с ними просто разобраться. Геморрой из принципа - это не мой подход. Назовите мне преимущества которые я реально получу - и я подумаю стоит ли соотношение геморроя и преимуществ моих затрат сил, или же решение идет в сад. Мне вот как-то соотношение затрат сил и результата в случае контейнеров нравится гораздо больше. Результат примерно тот же и даже лучше: довольно параноидальная изоляция с отделением от основной системы, вплоть до того что это будет выглядеть для софта как якобы отдельная машина, вообще без доступа к файлам и процессам "хоста" и могут быть даже некие лимиты на жрач ресурсов.
> Все там просто. Для тех, кто не хардкорный админ есть куча гуевых утилит,
Только вот гуевые утилиты - они годны для наиболее типовых случаев. Для типовых случаев и шаблоны готовые есть, етц. Жопа начнется когда готовых решений вдруг не окажется - вот тут этого SELinux можно будет отхватить на всю катушку. А мне это надо??? У меня нет цели "осилить Selinux". У меня задачи и хотелки есть. Например вида "а давайте ка я отгорожу вон тот демон от всех остальных, чтоб он мог только по своим файлам шариться, а все остальное - denied напрочь".
> есть куча переменных selinux, разрешающих определенные возможности (getsebool -a и в
> путь..), есть простые объяснения, как решать типичные (для 99% пользователей) проблемы
> вроде http://www.linuxtopia.org/online_books/rhel6/rhel_6_selinux/...
Все круто, кроме того что мне не особо понятно какие преимущества мне даст эта прорва геморроя. Зато я вижу очевидные грабли: как только случай окажется хоть немного нестандартным, придется очень некисло поплясать с бубном осваивая это мегамонстрило, и да, я совсем не прусь от перспективы прогреть свой мозг вопросом "ой, а что это за 100500 переменных кучей?". Задача как правило ну совсем не так выглядит. Вы в вашем праве решать сие Selinux'ом. А я какнить контейнераим обойдусь, спасибо. Во всяком случае, с ними я будучи разбужен посреди ночи легко и с закрытыми глазами назову действующий там эффективный набор прав по отношению к хост-системе. А вот то что я смогу такое же повторить с Selinux - это еще совсем не факт :-)
> А уж сэндбоксами пользоваться совсем несложно, перечисляете, к каким файлам иметь доступ
> и пускаете sandbox ваше-приложение - вот и все (http://people.fedoraproject.org/~dwalsh/SELinux/Presentation...).
1) Почему-то этим козыряют только федоровцы. А у других это вообще насколько работать будет и насколько большие грабли и пляски с бубнами там будут ждать? Я не собираюсь юзать федору, как минимум из-за абсолютно блевотного пакетного манагера, традиционного для редхатов и систем на его основе.
2) Извиняюсь, но с контейнерами в минимуме я могу отделаться считанными сисколами из мизерной програмки, если мне приспичит нечто нестандартное. Я могу ее перекроить как угодно. Она целиком умещается в моем мозгу, как и все происходящее. Все эти нее...ческие селинуксы подпираются не менее нее..ческими политиками и нее...ческими скриптами. Все это в сумме хочет занять слишком много места в моем мозгу без очевидного профита взамен за это. А это мне нафига? Пусть федористы и греют мозг на ровном месте, имхо :)
> То, что вы описываете - принудительный мандатный контроль всего - действительно актуально
> для ФСБ, а вот то, что работает по умолчанию, отлично защищает
> и не мешается.
Оно защищает *и* не мешается только до тех пор пока вы юзаете абсолютно стандартные конфигурации и "типовые" программы, что имеет свои минусы. А чуть щаг в сторону - и или нет защиты, или вы уже во всю сношаетесь с монструозным фреймворком и его аццкими политиками. Видал я такое счастье, аж 2 раза.
> У меня среди серверов на 5-ке (в основном) и чуток на 6-ке нужно
> настройки selinux править буквально на паре из нескольких десятков,
Да, но даже для этого если не повезет придется глубоко лезть в этот монструозный крап. Зачем бы мне это? Я не страдаю мазохизмом и почему-то наглейше полагаю что контейнеры изолируют нифига не хуже, благо, их то же самое ядро обеспечивает :). А вот понимать что там происходит, мониторить нежелательную активность, понимать кому и что льзя/нельзя с ними как-то шибко проще получается.
> при этом только на одном пришлось создавать политику с разрешением
> (и, представьте себе, не вручную, а полностью автоматически, одной
> командой) - на остальных включить пару опций в setsebool и переключить
> контекст через semanage, при этом разумеется по логам совершенно очевидно, какому
> каталогу какой контекст нужно поставить, и все.
А с контейнерами все это нафиг не надо - можно вынести потенциально проблемные программы (e.g. сетевые демоны) в их собственную песочницу. И готово. И просто, и эффективно, и мониторить состояние дел потом несложно. А мандатный контроль ради мандатного контроля самоцель в основном для всяких бюрократов типа спецслужб, у которых сто лет такой регламент и менять его они нифига не собираются, потому что бюрократия - решает :)
> это намного проще и удобнее ваших сисколлов.
Ну, для тех кому впадлу сисколы изучать - тоже есть готовые утилиты :)))). Просто с сисколами - понятно как по факту работает вся эта механика, что и какого хрена произойдет и почему вот так, а не иначе :P. И можно легко сделать что-то нестандартное (гугл кстати сделал). И оно даже будет работать в любом не сильно ископаемом линухе (контейнеры в ядре сделали довольно давно уже).
Вариант для распечатки
