… государственная служба NSA разработала систему безопасности для ядра и окружения Linux, и назвала ее SELinux. И с тех пор люди разделились на две категории: disabled/permissive и enforcing. Сегодня я покажу вам путь Силы и переведу на другую сторону всех желающих.
Предположения
В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:
Имеет какое-то приложение (демон), которое должно работать с SELinux
Сегодня мы поговорим о SELinux-пользователях, их создании, привязке, правам и другим вещам.
Зачем это делать? Есть много причин. Для меня главной причиной было выдать доступ для техподдержки для рутинных операций (таких как ребут, чистка логов, диагностика итд), но без доступа к критичным данным и изменению системных функций.
Предположения
В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:
И сегодня она попала в поток «Администрирование». Сегодня мы не будем писать модули или настраивать RBAC, а пойдем по пути наименьшего сопротивления и просто захарденим обычный LAMP-сервер при помощи готовой политики, включив необходимые настройки.
Если кто забыл, за аббривиатурой LAMP скрывается Linux, Apache, Mysql, PHP, т.е. это большая часть всех VDS, которые покупают люди для хранения своих личных блогов. Надеюсь, что этот поможет всем им стать немного безопаснее :)
… государственная служба NSA разработала систему безопасности для ядра и окружения Linux, и назвала ее SELinux. И с тех пор люди разделились на две категории: disabled/permissive и enforcing. Сегодня я покажу вам путь Силы и переведу на другую сторону всех желающих.
Сегодня мы поговорим о SELinux-пользователях, их создании, привязке, правам и другим вещам. 
И сегодня она попала в поток «Администрирование». Сегодня мы не будем