> Понятное дело что после получения рута selinux дизейблить - не проблема. И
> все же, целесообразность не ясна, так как при наличии прав суперпользователя selinux - не помеха.Поэтому не могли бы вы пояснить - чего все так про него орут в контексте новости о повышении прав из-за дырки в ядре? Есть какая-то уверенность что с selinux дырку с повышением прав поюзать не удастся? А откуда она проистекает?
> Будет. Сегодня нет - завтра есть. ИИ на подходе (гипотетически допустимо и
> то что новые методы также на подходе).
Хм... человек, который любому ИИ фору даст - и то вон ошибается. Как-то пока не видно прорыва, тем более что математику так просто не обманешь. Как максимум - придумали пилить одну большую задачу на независимые модули, уйдя хотя-бы от квадратичной сложности отладки (местами). Ну ядро и попилено на кучу относительно независимых частей.И то не все так просто - возникают проблемы на границе стыковки оных, etc. Полная валидация всего этого перебором всех параметров невозможна по причине дикого количества комбинаций.
>>решать задачи так как мне удобно. А с этим вашим селинуксом сами сношайтесь. Гемора
>>много а толку мало, судя по сплойтам. Тогда как пролом до рута в машине на xen/kvm
>>атакующему ничего особо не дает.
> SELinux, AppArmor отражают очевидное и нужное решение в сфере безопасности приложении.
Оно отражает всего лишь еще одну реализацию мандатного контроля доступа. В той же NT ACLы реализующие оный есть с середины 90х если не раньше, но почему-то никто в здравом уме не допирает козырять этим фактом (наглость хакерских взломов видимо не способствует).
> Вопрос, кстати был такой и по теме: "Значит ли это что наличие selinux
> и тру администратора в системе равносильно его (selinux) остутствию?"
Если честно - я не вижу как SELinux может эффективно защитить в рассматриваемой ситуации (повышение прав из-за ошибки в ядре). По-моему в указанной ситуации - индифферентно. Т.к. сама возможность делать сисколы, вызвав какими-то параметрами проблемы у атакующего от наличия SELinux никуда не девается. Единственное что от SELinux не станет хуже, если вы действительно хорошо в нем и его простынках политик разбираетесь и действительно понимаете какой набор прав фактически будет действовать (imho при этом можно вывихнуть мозг, но вы можете быть и иного мнения). Может даже станет немного лучше (если действительно грамотно использовать). А может и хуже (если появится ложное чувство защищенности). Уж как повезет. Я - сторонник простых сущностей. Чтобы все было просто и прозрачно. А это imho не про политики SELinux, являющие собой довольно жутковатые простынки.
> Расскажите, причем же тут (в узком контексте вопроса) вообще контейнеры/виртуалки.
Да примерно при том что и SELinux - изоляция частей системы друг от друга. При том в случае полновесных виртуалок - изоляция прочнее чем стандартными методами. В случае контейнеров - в разы проще в восприятии чем простынки политик SELinux и зарубает некоторые классы атак + на корню снижается возможность хакера шариться по системе и спереть что-то лишнее (особенно если где-то в конфигурации ошибка).
> И раз уж пошла такая пьянка, прошу учесть что контейнеры/виртуалки и SELinux/AppArmor как
> бы разного уровня решения. SELinux/AppArmor может работать внутри контейнера/виртуалки
> но не наоборот, поэтому их сравнивать несколько неуместно.
Ну так легкие контейнеры - это тоже фича ядра, тоже по части изоляции. Просто чуть более кардинально - лепится отдельный неймспейс, и там живут себе сущности. Они вообще не видят ничего кроме своего загона, а потому не могут стандартными методами сильно напакостить. Да и рут в контейнере - фэйковый, его получение не дает возможность взгреть систему на хосте, только саму песочницу (что несколько отличается от SELinux в лучшую сторону, пожалуй). Потенциальная проблема которая остается в этом случае - это если атака на сискол позволяет выполнить код в ядре. Так хакер может прорваться и из контейнера в хост-систему. Если и от такого надо защититься - логично смотреть на полные виртуализаторы. Тем более что KVM в ядро встроен (что впрочем как достоинство так и недостаток одновременно, xen для параноиков получше будет). Кстати а чему противоречит запуск контейнера/виртуалки которые на хосте еще до кучи огорожены и SELinux'ом так или иначе? Тот же LXC - по сути вызов обычного clone() с хитрыми параметрами, указывающими ему что мы хотим отдельные неймспейсы и свой загончик. А почему SELinux перестанет действовать на это? И перестанет ли, собственно?
> Комбайн хорош и весьма удобен.
Удобство выходит боком когда встает вопрос о безопасности. Иногда ну вот натурально надо секурный туннель и ничего больше. А оно тут такой швейцарский нож с 120 лезвиями. Да блин! В секурити хорошо когда все просто и понятно, а такой пепелац обкусить до состояния только секурного туннеля - надо _сильно_ попотеть. Хотя по идее должно бы быть наоборот.
> Нормальный админ сможет, даже если не умеет/не работал/никогда прежде.
> Мне ли Вам это объяснять?
Да, а еще как видим хакеры тоже смогут. Всякого лишнего понаделать. Хотя фактически был нужен то всего лишь секурный туннель до гита с авторизацией.
> Времена совпали, но контексты нет. Поэтому незачет.
:P
