SELinux’у в RussianFedora быть

Читайте также:

комментариев 26

  1. Алексей:

    Tigro, дайте только инструкцию, как его безболезненно удалить.

  2. Tigro:

    Да. Я на ушах стоял всю ночь. Так было всё хорошо. Нет, заставили включить. И первый пост сразу просят выключить:)

    Значит либо перед установкой в меню параметр selinux=0 передать Anaconda, либо после установки запустить system-config-selinux и там отключить.

  3. Алексей:

    На всех не угодишь, пусть будет, только выключенный.
    Я просто уже не помню, пробовал вместо Permissive выставить Disable – начались какие-то проблемы. Потом попробовал его удалить из системы – вообще загружаться перестало. Пришлось с аварийного грузиться, и ставить обратно. Еле выкарабкался. Щас тупо боюсь его трогать )))

  4. Anganar:

    Режим Permissive – это когда SELinux работает, выполняет все операции, размечает объекты, проводит проверки, но при этом ничего не запрещает.

    Соответственно, работать никаким программам это не мешает, но при этом позволяет “одним кликом” включить SELinux в “строгий” режим для тех, кому это нужно.

    Если тем не менее хочется совсем выключить SELinux, то надо запустить system-config-selinux, выбрать “System Default Enforcing Mode” – “Disabled” и перезагрузиться.

    Если хочется включить SELinux в “строгий режим”, то надо опять же запустить system-config-selinux, выбрать “System Default Enforcing Mode” – “Enforcing” и перезагрузиться.

  5. Алексей:

    [quote]Если тем не менее хочется совсем выключить SELinux, то надо запустить system-config-selinux, выбрать “System Default Enforcing Mode” – “Disabled” и перезагрузиться.[/quote]
    вот на этом-то и начались проблемы. повторять боюсь.

    В пермиссив тоже мешает. в том случае, если я из виртуальной машины (qemu) лезу на расшаренный локальный диск, вываливает окна с предупреждениями. Сколько раз обращаюсь к шаре, столько раз выскакивает. Как отключить – не нашёл.

  6. dennisfen:

    А как его работа на производительности сказывается?

  7. Андрей:

    > вываливает окна с предупреждениями. Сколько раз обращаюсь к шаре, столько раз выскакивает. Как отключить – не нашёл.

    # service setroubleshoot stop; chkconfig setroubleshoot off

  8. Anganar:

    2Алексей:

    Андрей уже ответил на Ваш вопрос – нужно остановить службу setroubleshoot.

    2dennisfen:

    Потери производительности ни разу не смог измерить. 🙂 Так что, видимо, кеши AVC реализованы действительно разумно. (Описание архитектуры: http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/selg-chapter-0013.html )

  9. Андрей:

    в RHEL 5 около 5% потери производительности
    в Fedora – не знаю.

  10. Anatol:

    не нужно было идти на поводу.

    имхо выключть, тк кому это надо включат

    а кому не надо(в основном новички) те просто не найдут где выключить

  11. > а кому не надо(в основном новички) те просто не найдут где выключить
    Пусть учатся работать с SELinux.

  12. Алексей:

    Андрей, спасибо за совет.

  13. simak:

    при загрузке системы передать параметр ядру selinux=0 не пробовали?

    А потом если сработает в grub.conf вписать.

  14. 2 Алексей
    Вы бы почитали уведомление от SELinux, в F10 теперь даже по русски почти все.Там есть пункт ‘Разрешения доступа’

  15. simak:

    Ждём с нетерпением Russian Fedora, Tedora9.1 плохо работает (коротко говоря и не вдаваясь в подробности), на материнке P5Q3 Deluxe, но всё же как то работает(пишу из под неё как раз)… Так, что надеемся может обновление системы и соответсвенно ядра, возможно, поможет.

  16. 2 simak
    >при загрузке системы передать параметр ядру selinux=0
    Верху есть пост, как отключить.

    # service setroubleshoot stop; chkconfig setroubleshoot off
    или в system-config-selinux

    PS Не понимаю, зачем его отключать.

  17. Алексей:

    ребят, не все умные “искаропки”.
    на изучение не всегда есть время и приоритеты у всех разные.
    Я принимаю на веру, что всё и так безопасно, а лишние окошки меня настораживают, но не более того. А изучать – повторюсь не всегда есть возможность, надо и работу работать. Поэтому на мой субъективный взгляд, такая малоочевидная и малопринципиальная для неспециалиста вещь как

    # service setroubleshoot stop; chkconfig setroubleshoot off
    должна быть отключена и не вводить уверовшего во искушение.

    В конце концов, вспомните тётинек в работающих в винде – ведь страшное дело какой стресс каждый день испытывают от страшных всплывающих сообщений от файроволов и прочего. Зачем это повторять здесь..

  18. Tigro:

    Алексей
    >должна быть отключена и не вводить уверовшего во искушение.

    Отключена!

  19. Centurion:

    Tigro
    >Отключена!

    Правильно.

  20. Коля:

    В этот раз 10-ка до релиза не доступна!?

    http://mirror.yandex.ru/fedora/linux/releases/10/Fedora/
    403 – Forbidden

  21. Tigro:

    Не-а, только 8-я была доступна:)

  22. Anatol:

    ftp://seeder.yandex.net/fedora/linux/releases/10/Fedora/i386/iso/Fedora-10-i386-DVD.iso

    получется что федора уже доступна???
    или я что то не понимаю?

  23. Да надо было в Enforced включать!

    А то потом красноглазики на ЛОРе и кругом опять будут орать что типа не надежная…

    И почему официальная Fedora включенным держит, и никто не страдает… Или типа русским не надо чувствовать себя защищенными?

  24. Мда, проходил я на официальных курсах RedHat SELinux. И меня окончательно убедили его отключать. Так как необходим он для сверх-секретных военных американских организаций. Да и то, как-то попадался мне руткит простенький, от которого SEL не спасал. Более того, какой нормальный админ будет использовать F10 в продакшене, где требуется такая безопасность, а тем более русскую сборку 🙂
    А дома F10 Russian поставил с огромным удовольствием. Дома кстати даже фаерволл не нужен.
    PS Отключается он в /etc/sysconfig/selinux (если не опечатался).

  25. MakBry:

    SELinux после очередного обновления F10, при отключенном варианте блокирует запуск system-config-services (и не только) даже под root что само по себе не есть хорошо пока не сформируешь правила.