07 октября 2008

SELinux User Guide для Fedora 10

Релиз Fedora 10 не за горами, и уже сейчас желающие могут протестировать бета-версию дистрибутива. Еще одна бета-версия, но уже руководства по SELinux для Fedora 10, также доступна для ознакомления уже сейчас. Security-Enhanced Linux User Guide особенно актуален с учетом относительного «информационного голода» в том, что касается данной реализации системы мандатного контроля доступа. Приятного чтения.

8 комментариев:

poige комментирует...

http://poige.livejournal.com/393265.html

Andrey Markelov комментирует...

Уфф.. Я уж не буду читать комментарии - очень много :) Думаю что автор пишет о следующем. Взляните на контекст:
[root@server1 ~]# ls -Zd /var/named/
drwxr-x--- root named system_u:object_r:named_zone_t /var/named/
[root@server1 ~]# ls -Zd /var/named/slaves/
drwxrwx--- named named system_u:object_r:named_cache_t /var/named/slaves/
и на переключатели:
[root@server1 ~]# getsebool -a | grep named
named_disable_trans --> off
named_write_master_zones --> on
У мастер-зон и слейв разный контекст. И при помощи переключателя named_write_master_zones можно грубо говоря задать в политике - мастер сервер это или слейв.

Вывод получен на RHEL. Актуальной Fedora под рукой у меня нет. Там
скорее всего вывод должен быть другим, disable_trans по-моему хотели поавбрасывать для всех доменов - это не лучшее решение, да и переключателей наверняка больше :)

poige комментирует...

«Я уж не буду читать комментарии - очень много :)»

— А все можно и не читать, вот этого будет достаточно: http://poige.livejournal.com/393265.html?thread=2589489#t2589489

Andrey Markelov комментирует...

Еще раз пишу, что слейв-сервер НЕ должен иметь право переписывать мастер-зоны. Это и задается в полтитике SELinux. Откуда вы взяли "у slave-зон запрет на уровне SELinux named-у обновлять "кеш файлы"?

Я ковырял политику named достаточно давно но такого не помню. Откуда вы берете то что сами называете "бредом"? :) В вашей цитате из руководства такого нет.

P.S. удобнее если вы все-таки комментарии будете оформлять не в виде ссылок. Надеюсь я все правильно понял из того что вы хотели сказать.

Andrey Markelov комментирует...

P.S. Не поленился и прочел там же следующий комментарий. :) Что касается багов правильнее писать не непосредственно на почтовый адрес (хотя я Дену писал и он относительно оперативно реагировал) а в https://bugzilla.redhat.com/enter_bug.cgi?product=Fedora%20Documentation

а там уже выбрать конкретную документацию - в нашем случае selinux-guide. Так точно ничего не затеряется.

poige комментирует...

«слейв-сервер НЕ должен иметь право переписывать мастер-зоны»

Вы либо не понимаете как работает DNS, либо одно из 2-х.

poige комментирует...

«… Надеюсь я все правильно понял из того что вы хотели сказать. …»

— В тех комментариях, которых «очень много», всё изложено предельно ясно, и постепенно. Если вы хотите понять о чём речь, у вас есть такая возможность.

P. S. До чего неудобно у вас тут в этом блоггеркоме вести диалог, вы б знали. Всё-таки LJ на порядок рульнее…

Andrey Markelov комментирует...

"Вы либо не понимаете как работает DNS, либо одно из 2-х."

Ок. Тогда на этом закончим дисскуссию. :) В конце-концов вы не сидите у меня на курсе и я не обязан донести до вас свою мысль, хотя и пытался :)

Рекомендую:

1) Разобраться с тем как работает DNS.
2) еще раз прочесть мой мой самый первый ответ. Слейв получает файлы зоны с мастера и пишет их в slaves/. Еще раз он НЕ доллжен изменять файлы мастер-зоны. Мы говорим именно о RHEL/Fedora и тех умолчаниях которые и подразумевает политика SELinux.
3) если в SELinux Guide по английски менее понятно, то рекомендую посмотреть named_selinux(8) который я перевел на русский в Fedora еще два года назад.