И ДВА: из недоступного тебе напрочь контекста новости явствует, что речь идет о том, чтобы рут НЕ ПОЛУЧАЛ ДОСТУПА к персональным данным пользователя, например.

Как это заведено в приличных системах: создать юзера и наделить полномочиями админ может, а почитать его мыло — как бы шиш. Даже из под рута.

Рут с неограниченными полномочиями — это самая роскошная дыра изо всех, что можно вообразить.

sudo не позволяет управлять capabilities, а даёт всё сразу для заданного пользователя и приложения. Впрочем, я не понимаю, зачем использовать SELinux, если для описанных в статье целей достаточно capabilities.

Вот собственно и предлагается от контроля пользователя (вы и так знаете какую программу поставили и явно хотите ее запустить, не зная что у нее там внутри) перейти к полному контролю программ.

Ситуация кстати похожа на текущие доступы программ и планы цианогена. Сейчас устанавливая прогу тебе показывается что она может ходить в нет, читать контакты ... и все что ты можешь это либо согласиться, либо не устанавливать. Большинство просто забили и не читают уже эти разрешения. Но вот цианоген обьявили что хотят дать пользователю контроль за разрешениями чтоб ты мог сам отобрать какие то права у программы, и это было бы очень круто.

Вы можете в судо написать правила для всех написанных и ненаписанных программ да еще и с абсолютными путями? вы представляете размер файла sudoers?

SeLinux - это хорошо, но он позволяет только описывать доступ к прописанным политикам внутри ядра. А если мне надо будет что-то что там не прописано?

В общем ЦМ сделал годный вброс. Бурление будет дай боже...

действительно...

Ну и что, после этого он не принимает пароль рута?
Типа, «Нет, этот напиток не хочешь ты?»

зыж
Просто возможности рута… пардон, Администратора стали подтверждать интерактивно.
И то не всегда. Вот запилю прогу как сервис и запущу её от имени сислогина и всё, нет больше вопросов. При этом админиских полномочий мне ничего другого для этого не надо.
Весь этот UAC, как затычки в розетки для детей.
Да, от «червя за 5 минут и на коленке» может и поможет, но если у вас есть рут (… пардон, Администратор) это не поможет.

Политики selinux хранятся как атрибут самого файла где бы он не валялся и влияют на аспекты работы запущенного(!!!) приложения даже если "видит" это приложение впервые.
А не только на возможность его запуска и хранение его же настроек.

Зыж
Ну, в общем думаю без удаления зонда тяжело разобраться вот так сразу.

Зыж
chroot НЕ отличается ничем от остальных программ.
Просто меняет root (фс, не пользователя) для приложения, которое запускает.

и вообще:
># eix selinux|wc
>   1196    4762   78768

зыж
>SELinux borrowed the concept of modules from the Linux kernel and implemented a similar approach for its policies. Just like how you can dynamically add in (and remove) driver support in the Linux kernel through kernel modules, you can add in (and remove) policies using SELinux modules.
>The list of SELinux modules that are currently loaded on a system can be obtained with semodule -l.
>root # semodule -l
>alsa    1.11.4
>apache  2.6.10
>apm     1.11.4
>application     1.2.0
>...

подробности тут https://wiki.gentoo.org/wiki/SELinux/Tutorials/How_is_the_policy_provided_and_
И не путайте модули linux-ядра и модули selinux!!! Это модули для модуля! :D

Ага удалите в винде все процессы в юзерспейсе или все файлы на системном диске...)))

NTFS подвержена дикой фрагментации в процессе перезаписи кластеров (блоков ФС), но вот деградация скорости обмена данными с диском от этого незаметна. И в этом смысле специалисты MS преуспели. И очень долго после своего внедрения NTFS не имела фирменного дефрагментатора в качестве необходимого инструмента обслуживания ФС именно по этой причине. То же самое можно сказать и о ФС в Unix: да, со временем и они фрагментируются, но это не значит, что нужно (прям кровь из ушей) иметь инструмент дефрагментации — для многих ФС (в том числе CoW ФС) такие утилиты так и не появились. Скорость доступа к данным на диске всё равно достаточна для 95% запущенных задач.