Sta te interesuje konkretno ?

Generalno iskustva sa SELinux-om. Da li su to neki third party servisi koji nisu dosli uz RedHat ili standardni apache, bind, dhcpd, samba i slicni koji su podrzani u defaultnoj instalaciji RHEL-a.

Mene su dvije stvari odbile da da probam SELinux.
Napomene da neki servisi/programi mozda nece raditi.
I vaznije, prakticno svaki kernel bug je mogao da se exploituje bez obzira da li je ukljucen SELinux ili ne.

SELinux je zaheban za konfigurisanje. Polise su mrak, tomoyo i apparmor su dosta laksi od istog, + sto rece Tyler moguce je da neki programi nece raditi pogotovo ako se omasi sa polisama.

A nije ni on siguran 300%...

Sto se tice RHEL-a stize uz default instalaciju. Pomenuti servisi rade bez problema uz SELinux. Nije toliko komplikovano ali ti treba malo znanja. Jedino o cemu treba da brines da li tvoj fajl ili direktorijum ima odgovarajuci tip SELinux konteksta i da li su ti ukljucene odgovarajuce SELinux boolean promenljive. Ako omasis tip servis moze da ima problem sa pristupom (read/write) a ako ne ukljucis promenljivu mozes da izgubis neku funkcionalnost. Sto se tice tipa drzi se standardnih direktorijuma i neces imati problema a sto se tice promenljivih prosto prilikom setovanja servisa moras da proveris koje funkcionalnosti su zasticene. Ako vec hoces da pravis svoju polisu (skup pravila) onda ti vec treba mnogo znanja :)

Ja sam oduvek imao neku vrstu "straha" od SELinux-a ali vidim da je u RHEL5 to mnoogo olaksano. Cak je i pisanje pravila dosta uprosceno koriscenjem userland alata (audit2allow). I kad je vec kolega Boris tu da ga pitam koliko je kod polaganja za RHCE potrebno poznavanje SELinux-a?

Ja sam citao o SeLinux, ideja je sjajna i sprovedena u delo odlicno. Medjutim kada dodje do Third Party programa tu je sareno, neki podrzavaju, neki ne (cak i ne rade). Svi imaju mogucnost da naprave modul za selinux, pa bi njihova aplikacija radila bez problema, e sad koliko to njih radi?!

Reko' bih da RedHat tu gura koliko moze, najbolje da se vidi sta se koristi na produkcijskom serveru i onda odluci o upotrebi SeLinux.

Verovatno je pitanje da li uopste vredi maltretirati se. Odgovor i je da i ne.

Koriscenjem dobija se layer sigurnosti oko kernela koji filteruje aplikacije i njihove zahteve koje mogu da kompromizuju sistem. Recimo da je vsftpd kompromizovan ni sa root shellom ne bi moglo da se pristupi ostatku sistema.

Ne, ukoliko third party ne podrzava SeLinux.

Sorry ali na to pitanje ne mogu da odgovorim. Umesto toga iskopiracu ti informaciju koju mozes da nadjes na Red Hat sajtu. Ako pogledas sta kurs RH253 obuhvata naleteces na sledece.

Unit 2: System Service Access Controls

* Implement secure access to system and network services using host-based access, SELinux, and system services management.

Pretpostavio sam da ne mozes :) U svakom slucaju hvala. Pozz :)

Ja spremam RHCE. Imam i knjigu Michael Jang, koja sigurno pokriva 99%...Elem. treba ti SELinux i zaista nije tesko. Na ispitu ti je potrebno da obezbedis osnovnu funkcionalnost servisa - ili ti da radi, sto ukljucuje i SELinux. Ukoliko ne mozes da se setis, uvek mozs da koristis man koji su u slucaju SeLinux kratki, sazeti sa komandama i objasnjenjem. Nece ti trebati vise od minuta da nadjes sta ti treba.

Na Vmware ja imam 3 CentOS i svima je ukljucen Selinux od pocetka, prosao sam celu knjigu i selinux tu nije nakakav problem.

Ja ne smijem reci, ali mislim da ti smijem dati link :)

http://blog.expnetworks.net/?p=8