The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Оценка влияния SELinux на производительность Fedora 15

04.06.2011 21:46

Ресурс Phoronix провел серию тестов производительности Fedora 15 Linux в трех конфигурациях: c отключенным SELinux, с SELinux в режиме enforce и с SELinux в режиме permissive (SELinux только выдает предупреждение, без выполнение блокировки). Результаты тестирования показали, что включение SELinux хоть и приводит к замедлению системы, но это замедление весьма незначительное - 1-2%. В тесте Apache Benchmark отставание в производительности достигает 10%, а в тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например, 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не проявляется.

  1. Главная ссылка к новости (http://www.phoronix.com/scan.p...)
Лицензия: CC-BY
Тип: Практикум
Ключевые слова: selinux, fedora, benchmark
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:59, 04/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    это ж вам не кашперский
     
     
  • 2.2, плохо (?), 22:11, 04/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да тока вайн откалывается и плагины к фф типа foxmarks просто не работают
     
     
  • 3.3, Funt (?), 22:14, 04/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    возможно для них стоит отключить selinux или правила подредактировать
     
  • 3.4, анон (?), 22:24, 04/06/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >да тока вайн откалывается и плагины к фф типа foxmarks просто не работают

    Всё правильно, вредоносный код блокируется :)

     
     
  • 4.7, Аноним (-), 23:24, 04/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен в настройке, а вот все боевые эксплойты его зато отключают в два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем эскалацию прав есть вырубка SELinux первым делом.
     
     
  • 5.8, ананим (?), 00:48, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    и в этом месте следует пруф на эсплоит отключающий селинух.
     
     
  • 6.9, pavlinux (ok), 02:44, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    рута делаешь и всё.
     
     
  • 7.10, анон (?), 03:43, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и что ты в селинуксе сделаешь от рута, если контекст от простого пользователя остался?
     
     
  • 8.14, pavlinux (ok), 14:16, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вырублю SELinux ... текст свёрнут, показать
     
     
  • 9.18, ungifted (?), 20:31, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Пожалуйста http www coker com au selinux play html ... текст свёрнут, показать
     
     
  • 10.19, pavlinux (ok), 20:50, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Оно в XEN засунуто - чего они очкуют Все ограничения на максимуме Там них я... текст свёрнут, показать
     
     
  • 11.20, ungifted (ok), 21:28, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если не ошибаюсь, то раньше это работало на старой железке Но после сильной жар... текст свёрнут, показать
     
     
  • 12.22, pavlinux (ok), 01:10, 06/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Решаемо Какова стоимость заказа ... текст свёрнут, показать
     
  • 7.12, anonymous (??), 08:07, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всего лишь надо иметь права супервользователя? Вот дыра так дыра.
     
  • 5.11, анон (?), 03:46, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
    > в настройке, а вот все боевые эксплойты его зато отключают в
    > два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
    > эскалацию прав есть вырубка SELinux первым делом.

    Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux, нужно уничтожить практически все механизмы защиты ядра. За всю историю линакса это удалось сделать всего один раз, с использованием рутовой дыры в pulseaudio и грубейшей ошибки в ядерном модуле tun. И то лишь за счёт того, что pulseaudio не было прикрыто selinuxом.

     
     
  • 6.15, pavlinux (ok), 14:20, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
    >> в настройке, а вот все боевые эксплойты его зато отключают в
    >> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
    >> эскалацию прав есть вырубка SELinux первым делом.
    > Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux,
    > нужно уничтожить практически все механизмы защиты ядра.

    # echo 0 > /selinux/enforce
    # newrole -r sysadm_r

    Я уничтожЫл все механизьмы заshitы ядра?

     
     
  • 7.17, анон (?), 15:12, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    # echo 0 > /selinux/enforce
    echo: write error: read-only file system

    >Я уничтожЫл все механизьмы заshitы ядра?

    Ты фигню какую-то написал.

     
  • 6.25, segoon (ok), 18:32, 09/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Для отключения SELinux достаточно arbitrary write bug, который можно было бы спровоцировать из-под ограниченного домена.  Что такое "практически все механизмы ядра"?

    Не путайте "удалось сделать" и "было продемонстрировано в public exploit'е".  За прошлый год был присвоен CVE более чем сотне багов (а обнаружено и того больше), на каждую уязвимость писать эксплоит - увольте :)

     

  • 1.5, Аноним (-), 23:17, 04/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    смешное сравнение.
    какой было смысл мерять на числодробилках - если в них не выполняется не одной функции которая подлежит контролю?
    Зато на тех операциях где есть контроль все показывает хорошо - 10% замедления.
     
  • 1.6, Аноним (-), 23:22, 04/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В тесте Apache Benchmark отставание в производительности достигает 10%, а в
    > тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например,
    > 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не
    > проявляется.

    Капитан Очевидность ушел работать в Фороникс? Вроде бы логично что при просто вычислениях SELinux не у дел, а вот при отдаче статики или postmark при работе с файловой системой SELinux и выдает свою сущность.

     
     
  • 2.21, umbr (ok), 23:27, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >при отдаче статики или postmark при работе с файловой системой...

    Кэширование же...

     

  • 1.13, ПолныйАнонимус (?), 12:59, 05/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень защищённости при меньшем оверхеде?
     
     
  • 2.16, pavlinux (ok), 14:24, 05/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень
    > защищённости при меньшем оверхеде?

    KVM/XEN/VB

     
     
  • 3.24, Онаним (?), 12:34, 06/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >KVM/XEN/VB

    Это меньший оверхед??? "Нужны ли тут слова?" (с)

    Да и касаемо защищенности. Вам напомнить про vt-d? Пожалуйста:
    http://www.linux.org.ru/forum/talks/6264190

     

  • 1.23, DmA (??), 08:40, 06/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В федоре не все сервисы и проги защищены механизами selinux! за счёт этого малая потеря производительности. Раз. Два -по умолчанию политика selinux :target. То есть тоже не все обрабатываются вызовы. То есть в принципе как рассчитывали при создании  селинукс должно уходить 10-20 % производительности. В сильно защищёной системе может уходить на системы защиты до 90 % ресурсов.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру