s
Или я что то пропустил?
Size: a a a
2019 August 19
k
Именно для того чтобы нельзя было обойти используя уязвимости это и нужно
k
То есть даже если и найдётся какая-то уязвимость, которая позволит выйти из виртуалки, то сделать что-то на хосте будет крайне затруднительно, т.к. для вашего процесса будет назначен только минимальный набор правил, всё остальное будет запрещено по умолчанию
s
Теперь понял, спасибо.
s
А вообще повсеместно применяется? Или опять в зависимости от задач и загонов о безопасности?
2019 August 20
k
А вообще повсеместно применяется? Или опять в зависимости от задач и загонов о безопасности?
В rhel и centos selinux включен по умолчанию для всего, именно по этому, бывает случаются ситуации, когда пытаешься что-то настроить, сидишь несколько часов решаешь ни с того ни с сего возникшую проблему доступа, тут вдруг пробуешь отключить selinux и всё начинает работать🤦
Именно поэтому его часто не любят и советуют отключить на момент установки чего-либо.
По хорошему его потом нужно включить обратно, собрать все варнинги и сформировать готовый профиль - но как правило этого почти никто не делает.
Именно поэтому его часто не любят и советуют отключить на момент установки чего-либо.
По хорошему его потом нужно включить обратно, собрать все варнинги и сформировать готовый профиль - но как правило этого почти никто не делает.
k
С Ubuntu и AppArmor ситуация чуть лучше, так как он включён по умолчанию только для тех приложений для которых есть готовые профили, профили для AppArmor как правило поставляются вместе с пакетами приложения.
s
С Ubuntu и AppArmor ситуация чуть лучше, так как он включён по умолчанию только для тех приложений для которых есть готовые профили, профили для AppArmor как правило поставляются вместе с пакетами приложения.
Ну да, выше в гайде который скинул, почитал, что с пакетом qemu/kvm идёт профиль для apparmor. Только на счёт того, что он включен пропустил момент. Если уж оно по умолчанию включено и настроено, тогда волноваться не о чем. А то после прочтения чата появилась паранойя.
s
Как раз убунту и юзаю)
k
Ну да, выше в гайде который скинул, почитал, что с пакетом qemu/kvm идёт профиль для apparmor. Только на счёт того, что он включен пропустил момент. Если уж оно по умолчанию включено и настроено, тогда волноваться не о чем. А то после прочтения чата появилась паранойя.
ну для полной уверенности я бы всёже удостоверился работает ли он через `apparmor_status`)
i
просто каждая вторая инструкция начинается с того что дизеблим селинукс ребутаем
В SangomaOS выключен из коробки
VR
В центоси тоже.
s
ну для полной уверенности я бы всёже удостоверился работает ли он через `apparmor_status`)
Сейчас проверю)
VR
В
привет! в репах cenos нашел ceph-selinux.x86_64. Это годно?
TF
привет! в репах cenos нашел ceph-selinux.x86_64. Это годно?
проверь
В
проверяю. интересно вылезет ли через время.
k
Привет, подкиньте идей:
Есть две идентичные виртуалки на alpine (разные версии по разному установленны), в одной hotplug для сетевых интерфейсов работает в другой нет.
Udev запущен.
Есть две идентичные виртуалки на alpine (разные версии по разному установленны), в одной hotplug для сетевых интерфейсов работает в другой нет.
Udev запущен.
udevadm monitor отображает события добавления/удаления pci-устройств, но сами сетевухи в системе не появляются до ребута, даже вcat /proc/net/dev
i
Хотплаг PCI-устройств включен в qemu?
i
В небуле это через аргументы к бинарнику делается, или во фронтенде опция?