The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Оценка влияния SELinux на производительность Fedora 15"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от opennews (??) on 04-Июн-11, 21:59 
Ресурс Phoronix провел (http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ) серию тестов производительности  Fedora 15 Linux в трех конфигурациях: c отключенным  SELinux, с SELinux в режиме enforce и с SELinux в режиме permissive (SELinux только выдает предупреждение, без выполнение блокировки). Результаты тестирования показали, что включение  SELinux хоть и приводит к замедлению системы, но это замедление весьма незначительное - 1-2%. В тесте Apache Benchmark отставание в производительности достигает 10%, а в тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например, 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не проявляется.

URL: http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ
Новость: http://www.opennet.dev/opennews/art.shtml?num=30777

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Оценка влияния SELinux на производительность Fedora 15"  +4 +/
Сообщение от Аноним (??) on 04-Июн-11, 21:59 
это ж вам не кашперский
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от плохо on 04-Июн-11, 22:11 
да тока вайн откалывается и плагины к фф типа foxmarks просто не работают
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от Funt email on 04-Июн-11, 22:14 
возможно для них стоит отключить selinux или правила подредактировать
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Оценка влияния SELinux на производительность Fedora 15"  +4 +/
Сообщение от анон on 04-Июн-11, 22:24 
>да тока вайн откалывается и плагины к фф типа foxmarks просто не работают

Всё правильно, вредоносный код блокируется :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от Аноним (??) on 04-Июн-11, 23:24 
Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен в настройке, а вот все боевые эксплойты его зато отключают в два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем эскалацию прав есть вырубка SELinux первым делом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от ананим on 05-Июн-11, 00:48 
и в этом месте следует пруф на эсплоит отключающий селинух.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 05-Июн-11, 02:44 
рута делаешь и всё.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от анон on 05-Июн-11, 03:43 
Ну и что ты в селинуксе сделаешь от рута, если контекст от простого пользователя остался?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 05-Июн-11, 14:16 
> Ну и что ты в селинуксе сделаешь от рута,

Вырублю SELinux :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от ungifted on 05-Июн-11, 20:31 
Пожалуйста: http://www.coker.com.au/selinux/play.html
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 05-Июн-11, 20:50 
Оно в XEN засунуто - чего они очкуют?!

Все ограничения на максимуме. Там них..я не сделаешь,
так как с такими ограничениями администрирование не возможно!!!

# useradd roooot
useradd: cannot lock /etc/passwd; try again later.

И кому нах...й такая система нужна?

Проще сделать

# mount -o remount,ro /

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от ungifted (ok) on 05-Июн-11, 21:28 
Если не ошибаюсь, то раньше это работало на старой железке. Но после сильной жары в Австралии пару лет тому железка сгорела. Теперь в виртуалке.
selinux такой selinux, кому положено оно всё дозволит сделать :)
И защищает же selinux не только и не столько файловый доступ. И о том что реально было запрещено судить можно только по логам, но не по выдаваемым на консоль ошибкам.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 06-Июн-11, 01:10 
> selinux такой selinux, кому положено оно всё дозволит сделать

Решаемо. Какова стоимость заказа?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

12. "Оценка влияния SELinux на производительность Fedora 15"  +1 +/
Сообщение от anonymous (??) on 05-Июн-11, 08:07 
Всего лишь надо иметь права супервользователя? Вот дыра так дыра.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Оценка влияния SELinux на производительность Fedora 15"  +2 +/
Сообщение от анон on 05-Июн-11, 03:46 
> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
> в настройке, а вот все боевые эксплойты его зато отключают в
> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
> эскалацию прав есть вырубка SELinux первым делом.

Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux, нужно уничтожить практически все механизмы защиты ядра. За всю историю линакса это удалось сделать всего один раз, с использованием рутовой дыры в pulseaudio и грубейшей ошибки в ядерном модуле tun. И то лишь за счёт того, что pulseaudio не было прикрыто selinuxом.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 05-Июн-11, 14:20 
>> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
>> в настройке, а вот все боевые эксплойты его зато отключают в
>> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
>> эскалацию прав есть вырубка SELinux первым делом.
> Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux,
> нужно уничтожить практически все механизмы защиты ядра.

# echo 0 > /selinux/enforce
# newrole -r sysadm_r

Я уничтожЫл все механизьмы заshitы ядра?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от анон on 05-Июн-11, 15:12 
# echo 0 > /selinux/enforce
echo: write error: read-only file system

>Я уничтожЫл все механизьмы заshitы ядра?

Ты фигню какую-то написал.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от segoon email(ok) on 09-Июн-11, 18:32 
Для отключения SELinux достаточно arbitrary write bug, который можно было бы спровоцировать из-под ограниченного домена.  Что такое "практически все механизмы ядра"?

Не путайте "удалось сделать" и "было продемонстрировано в public exploit'е".  За прошлый год был присвоен CVE более чем сотне багов (а обнаружено и того больше), на каждую уязвимость писать эксплоит - увольте :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

5. "Оценка влияния SELinux на производительность Fedora 15"  –1 +/
Сообщение от Аноним (??) on 04-Июн-11, 23:17 
смешное сравнение.
какой было смысл мерять на числодробилках - если в них не выполняется не одной функции которая подлежит контролю?
Зато на тех операциях где есть контроль все показывает хорошо - 10% замедления.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Оценка влияния SELinux на производительность Fedora 15"  –1 +/
Сообщение от Аноним (??) on 04-Июн-11, 23:22 
> В тесте Apache Benchmark отставание в производительности достигает 10%, а в
> тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например,
> 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не
> проявляется.

Капитан Очевидность ушел работать в Фороникс? Вроде бы логично что при просто вычислениях SELinux не у дел, а вот при отдаче статики или postmark при работе с файловой системой SELinux и выдает свою сущность.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от umbr (ok) on 05-Июн-11, 23:27 
>при отдаче статики или postmark при работе с файловой системой...

Кэширование же...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от ПолныйАнонимус on 05-Июн-11, 12:59 
Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень защищённости при меньшем оверхеде?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от pavlinux (ok) on 05-Июн-11, 14:24 
> Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень
> защищённости при меньшем оверхеде?

KVM/XEN/VB

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от Онаним on 06-Июн-11, 12:34 
>KVM/XEN/VB

Это меньший оверхед??? "Нужны ли тут слова?" (с)

Да и касаемо защищенности. Вам напомнить про vt-d? Пожалуйста:
http://www.linux.org.ru/forum/talks/6264190

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Оценка влияния SELinux на производительность Fedora 15"  +/
Сообщение от DmA (??) on 06-Июн-11, 08:40 
В федоре не все сервисы и проги защищены механизами selinux! за счёт этого малая потеря производительности. Раз. Два -по умолчанию политика selinux :target. То есть тоже не все обрабатываются вызовы. То есть в принципе как рассчитывали при создании  селинукс должно уходить 10-20 % производительности. В сильно защищёной системе может уходить на системы защиты до 90 % ресурсов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру