МН
Ну, может, в rosa2021.1 сделаем так, чтоб из коробки файлы в пакетах из репозитория были подписаны, тогда гораздо проще будет во многих случаях
Size: a a a
2021 August 28
AB
для immutable окружений есть ostree, пользователь в загончике может делать всё, что хочет и при этом не навредит base OS e.g. fedora silverblue
МН
То есть я это как вижу. Ставишь десктоп - из коробки работает защита. Ставишь сервер - работает. Собираешься контейнер, если в нем есть файлы не из родного репозитория, подписываешь их. Гораздо проще селинукса, но и задачи иные решает
AB
верификация supply chains?
МН
Задача предотвратить запуск руткита и т.п., насколько это возможно, а не гарантировать неизменность файловой системы
VK
Ну это пошло от того, что даже сама redhat долгое время не могла сделать так, что бы ничего не глючило в свежеустановленном дистрибутиве. Как сейчас - не знаю. Подозреваю, что так же
МН
Пакеты в репо подписаны GPG, помимо пока отсутствующих по файловых има-подписей в пакете
AB
потому что это не состояние, а процесс - нужно реагировать
МН
Чтоб ничего не глючило с селинуксом при малейшем шаге в сторону от дефолта - такое нереально
VK
Ну поэтому его и вырубают, потому что он написан бесполезниками для бесполезников и не помогает, а мешает
МН
Ну, он помогает , но нужно очень сильное желание его использовать, что массово не имеется
МН
Контейнер банально намного проще и быстрее, а изоляция даже лучше. Это если без мандатки
VK
Не, желание имеется, сил и возможности нет. Это как я тут решил попробовать yubykey для 2fa. начитался, начал пробовать ... в общем, второй ключик я даже из упаковки не доставая, забросил в ящик стола.
МН
Согласен про силы
VK
Тот же selinux - почему его не используют? Да потому что к нему документации нет нормальной. Вообще. Как класса. Даже детская книжка сразу переходит к уровню "вот сова и готова". Тоже и с yubi - нет ни софта, ни поддержки, вот вам фигня и трахайтесь с ней сами, она клевая, зуб даем
VK
Но это у меня давно пригорело, так сказать профессиональная деформация
ЮВ
а еще у него по умолчанию дефолты плохие
VK
У, таких книжек море :) Но все равно любая инструкция начинается с "вырубайте нафиг selinux" ;)
МН
Дока есть. По крайне мере вот такая сторонняя книжка. Селинукс сложная система, понять её не так просто, как готовы большинство девопсов и пр