CentOS Linux 7 (1708) for 64 bit x86

"Vagy ha mar basznak rendesen megcsinalni, akkor esetleg azt az 1 mondatot talan nem lett volna tul megerolteto beleirni a relnotes-ba, hogy a Tomcat mostantol a tomcat_t context alatt fut. De nem, erre nem futotta. 2 honappal release utan meg mindig nem. Helyette kulon bekezdest szenteltek annak, hogy",
"lehet, hogy te szeretsz a sotetben dofkodni, elvegre majdcsak eltalalod egyszer, en nem annyira."

Igen, mint mondtam, a release note hiánya miatt korbáccsal kell végigverni az elkövető tetszőleges kilógó testrészén, abban nincs vita, ezt tovább nem ragoznám.

Viszont a policy milyenségével való kifogásaid azért kétségések.

1) "Tomcat mostantol a tomcat_t context alatt fut,
Valóban lehetett volna egy automata relabel. Kérdés persze, hogy ott tartod-e a dolgaidat az fsen, ahol azt defaultból gondolja? Mert ha nem, akkor azt bizony minden másnál is neked kell labelezni.

2) "hogy mondjuk a Tomcat tudjon mar levelet kuldeni, mert a webappoknak van egy ilyen szokasa, hogy igen gyakran levelet kuldenek"
Na, ez egy big no-no. A selinux célja, hogy korlátozza az általa szabályozott szolgáltatásokat, hogy azok kompromittálódása esetén ne tudjanak a rendszer mindenféle más részéhez hozzászólni. A tomcat alapvetően webszolgáltató, elég ordas hülyeség lenne, ha megengednénk neki alapból, hogy levelet küldjön, abban a világban, ahova a beírod a gugliba, hogy webpage sendmail, akkor tippre az első 150 oldal azzal lesz tele, hogy hogy lehet megcsinálni valahogy shared hostingnál, hogy ne legyél spamrelay a random nálad futó szemét miatt minden másnap. Szóval az egy igen sane defaultja annak a policynak, aki lábon akarja lőni magát, az lehetőleg írja alá előtte a papírt, hogy direkt volt. Ha ezt alapból lehetne, azonnal reportolnám bugnak. Lehet, hogy még valami fórumon is picsognék :D

3) "Meg a Java tudja mar generalni a Java font cache-t, mivel ezt amugy o csinalta az elmult 20 evben,"
Az emlegetett font cache is azért erősen véleményes, az a java font cache-e, nem a tomcaté. Élnék a gyanúperrel, hogy jó az úgy, legyen neki valami kapcsolója, hogy ki basztathassa, de alapból mindenféle javas fosnak nem lenne muszáj, mert szintén támadási felület.

"Aztan a harmadik problema, hogy 2 honap alatt sem sikerult a RHEL-nek kivasalnia elegge blocker bugokat sem"
Mondjuk az a bug láthatólag a redhat szerint még baromira unpsecified. Tán szólni kellene nekik a supporton keresztül, hogy ez márpedig blocker neked. Ha meg nem, akkor el kell fogadni, hogy az RH ügyfeleinek mégsem tűnik blockernek. :) Egyébként sem tudom, hogy pl a tomcat rendesen supportált-e, nem csak mondjuk tech preview véletlen?

"Es szerintem az nem csak a Java-sokat, hanem az open source kozosseget ugy zusammen minositi, hogy a mai napig nem sikerult egy olyan SQLite drivert irni, ami nem a cache-bol akar execute-olni."
Már melyiket? Én olvastam már mindenféle nyelven sqliteból úgy, hogy senki nem akart a /tmpből execelni valami odafosott trágyát, szóval maradjunk csak a javasoknál. De mondjuk ha nem is, ezt azért selinux nyakába varni erős.

"Akarhogy szamolom, ez egyik sem engem minosit, meg nem az en inkompetenciam, de persze jogod van a velemenyedhez."
Hát, azért én úgy látom, hogy technikailag kaptál egy fél pontot, ha az automata relabel valóban nem megy, meg esetleg még egy felet a font cache miatt. Az van, hogy ha bele lett volna írva a release noteba, hogy a tomcet mostantól selinux alatt fut, akkor ezeket mind végig kellett volna nézni, mert a selinux az sajnos ezt igényli, pláne, ha nem zöldmezősen kezded. Szóval igen, a doksi hiányára való teljesen jogos észrevételed után azért a tech része, hogy ezzel dolgozni kell, az bizony picsogás szagú :)