SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике

[Granulex]

Хорошая системная подача – особенно пример с Podman, он сразу показывает разницу между изменением контекста файла и написанием правила. Кстати, к блоку про audit2allow стоит добавить важное предупреждение: утилита генерирует правила по принципу "что было запрещено – разрешим", не анализируя, почему это было запрещено. Если Apache пытается прочитать /root/.ssh – это не ошибка политики SELinux, это ошибка конфигурации Apache. audit2allow честно выдаст allow httpd_t user_home_t:dir search и создаст дыру, которую вы примете за исправление.

[UplandDivan]

Спасибо за статью. Не выключаю selinux, но как же его наличие бесит. Это как иметь в стране сразу две независимые ГАИ - у каждой свои правила, свой набор документов, своя система дорожных знаков, на перекрёстках стоит два набора светофоров, и при езде по дорогам надо знать, помнить и соблюдать правила сразу обеих этих ГАИ. По мне классической системы безопасности Unix вполне достаточно для жизни.

[amironov]

А почему не выключаешь? Мне кажется, оставлять его включенным можно только, если за это на работе деньги платят. Сложный, медленный в конфигурации, создает больше проблем чем решает. Стал отключать его после того, как система не загрузилась из-за обновлённых политик.

[Master_II]

Очень не хватает таких материалов. Обычно про SELinux либо пишут совсем базу, либо сразу уходят в дебри политик и compile-time магии. А тут как раз нормальный мост между “ничего не понимаю” и “могу уже сам дебажить AVC”.

[Zalechi]

Я на слове «контекст» файлов посыпался.

Статью не дочитал.

Ща, просто ИИ поспрашиваю и делов то…

[vlad196]

Тоже так подумал. Единственное, в статьей мне не хватило некоторых переходных объяснений, например в шаблоне есть субъекты и объекты, но а дальше сразу идёт описание типов, без объяснения что тип относиться к субъектам, что ещё можно отнести, что такое объект и т.д.

[Pulsating_Star]

Прекрасная статья, почаще бы было такое на Хабре :)