https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html Ресурс Phoronix провел (http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ) серию тестов производительности Fedora 15 Linux в трех конфигурациях: c отключенным SELinux, с SELinux в режиме enforce и с SELinux в режиме permissive (SELinux только выдает предупреждение, без выполнение блокировки). Результаты тестирования показали, что включение SELinux хоть и приводит к замедлению системы, но это замедление весьма незначительное - 1-2%. В тесте Apache Benchmark отставание в производительности достигает 10%, а в тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например, 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не проявляется.<br><br>URL: http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=30777<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#25 Thu, 09 Jun 2011 14:32:35 GMT Для отключения SELinux достаточно arbitrary write bug, который можно было бы спровоцировать из-под ограниченного домена. Что такое "практически все механизмы ядра"?<br><br>Не путайте "удалось сделать" и "было продемонстрировано в public exploit'е". За прошлый год был присвоен CVE более чем сотне багов (а обнаружено и того больше), на каждую уязвимость писать эксплоит - увольте :)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#24 Mon, 06 Jun 2011 08:34:26 GMT &gt;KVM/XEN/VB<br><br>Это меньший оверхед??? "Нужны ли тут слова?" (с)<br><br>Да и касаемо защищенности. Вам напомнить про vt-d? Пожалуйста:<br>http://www.linux.org.ru/forum/talks/6264190<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#23 Mon, 06 Jun 2011 04:40:21 GMT В федоре не все сервисы и проги защищены механизами selinux! за счёт этого малая потеря производительности. Раз. Два -по умолчанию политика selinux :target. То есть тоже не все обрабатываются вызовы. То есть в принципе как рассчитывали при создании селинукс должно уходить 10-20 % производительности. В сильно защищёной системе может уходить на системы защиты до 90 % ресурсов.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#22 Sun, 05 Jun 2011 21:10:03 GMT &gt; selinux такой selinux, кому положено оно всё дозволит сделать <br><br>Решаемо. Какова стоимость заказа?<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#21 Sun, 05 Jun 2011 19:27:32 GMT &gt;при отдаче статики или postmark при работе с файловой системой...<br><br>Кэширование же...<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#20 Sun, 05 Jun 2011 17:28:04 GMT Если не ошибаюсь, то раньше это работало на старой железке. Но после сильной жары в Австралии пару лет тому железка сгорела. Теперь в виртуалке.<br>selinux такой selinux, кому положено оно всё дозволит сделать :)<br>И защищает же selinux не только и не столько файловый доступ. И о том что реально было запрещено судить можно только по логам, но не по выдаваемым на консоль ошибкам.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#19 Sun, 05 Jun 2011 16:50:47 GMT Оно в XEN засунуто - чего они очкуют?! <br><br>Все ограничения на максимуме. Там них..я не сделаешь, <br>так как с такими ограничениями администрирование не возможно!!!<br><br># useradd roooot<br>useradd: cannot lock /etc/passwd; try again later.<br><br>И кому нах...й такая система нужна?<br><br>Проще сделать <br><br># mount -o remount,ro /<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#18 Sun, 05 Jun 2011 16:31:39 GMT Пожалуйста: http://www.coker.com.au/selinux/play.html<br> https://ssl.opennet.dev/openforum/vsluhforumID3/77632.html#17 Sun, 05 Jun 2011 11:12:40 GMT # echo 0 &gt; /selinux/enforce<br>echo: write error: read-only file system<br><br>&gt;Я уничтожЫл все механизьмы заshitы ядра?<br><br>Ты фигню какую-то написал.<br>