SELinux telepítés az alapokról

Reggel félálomban átfutottam.

1) nekem nem tetszik, hogy a cikk fele arról szól, hogy mi módon legyen egy olyan rendszerünk, amin _majd_ próbálni fogunk

2) nekem nem tetszik, hogy közli, policy-t be lehet futtában is tölteni, de juszt is a reboot-os módszert mutatom meg. Kérnék hozzá okokat is tőle.

3) az meg egyenesen vicc, hogy csinálunk rc-szkriptet az enforce bekapcsolásához.

4) ja, és a csúcs: a csodás példa a végén. Csinálunk egy /secret -et, és bemutatjuk, hogy milyen jó. Ja, hogy az eddig előállított környezettel ezt nem tudjuk, mert nincs enforce-olva a Selinux, tehát nem secret a secret. Nosza. Enforce-oljuk. Ja, hogy most meg teljesen secret az egész, még az is, amit publikussá akartunk tenni? Nagy ügy, odaírjuk a végére, hogy semmi gáz, csinálunk egy hard linket a fájlhoz, és máris megoldottuk, hogy van /secret -ünk, meg a /secret-ben valami, ami mégse az.

4a) bocs, hogy csináljak hard linket? Nem férek hozzá. (Tudom, reboot enforce nélkül, és utána. (Remélem nem akarja senki azt javasolni, hogy szedjem le az enforce -ot, mert ha ezt meg lehet csinálni, akkor ez minden, de nem biztonsági keretrendszer.)

4b) ha van nekem egy hardlinkem a /secret -en kívül, akkor ugye senki nem akarja bemagyarázni, hogy a /secret-nek volt bármi értelme is.

(Biztos el vagyok nagyon kényeztetve, de a cikkben is emlegetett CentOS-ban boot-paraméterrel is (?) lehet az enforce-ot kiválasztani. Aki meg Selinux-ot akar heggeszteni, az minimum a Red6/CentOS oldaláról töltse le a R6-féle doksit, és azzal induljon el (*). Tény és való, sokkal nehezebben emészthető olvasmány. Ja, weben olvasható link, ha valakinek nem megy a gugli: http://www.centos.org/docs/4/html/rhel-selg-en-4/selg-preface-0011.html - amúgy letölthető egyben is, úgy pl, kényelmesebb nyomtatni.)

(*) OK, van könnyebb módszer is az elinduláshoz; pl. Jabber-en el kell kapni J-t, és kiszedni belőle fél órában az alapokat :-) - és csak ez után nekiülni fent említett doksinak