- Hunger blogja
- A hozzászóláshoz be kell jelentkezni
- 1209 megtekintés
Hozzászólások
Ilyenkor a megoldást is érdemes belinkelni. Ebből például kiderül, hogy ha nem akarod, akkor nem kell kikapcsolnod a SELinuxot a cluster üzemeltetéséhez.
- A hozzászóláshoz be kell jelentkezni
Úgyérted az a "megoldás", hogy ne a vendor hivatalos leírását kövesd, hanem a bugzillában felbukkanó, harmadjára módosítgatott, nem túlságosan tesztelt és nem megbízható forrásból származó policy fileokat töltögess le és használj az Enterprise Linuxodon? :)
- A hozzászóláshoz be kell jelentkezni
Erről előző munkahelyemen egyik kollégám jut eszembe, aki lelkemre kötötte, hogy friss RHEL-telepítés után az első, amit kikapcsolok, az az SELinux lesz; különben széjjelszopjuk magunkat. :))
--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.
- A hozzászóláshoz be kell jelentkezni
Default Gnome desktopot ugye felrakta?
- A hozzászóláshoz be kell jelentkezni
En mar lattam ilyent. SLES, Gnome-al. "Megmutatom hogy nez ki egy szerverunk.".. :)
- A hozzászóláshoz be kell jelentkezni
Ennél sokkal jobb, ha az adminisztrátor a szolgáltatások panaszai alapján készíttet egy új policyt például az audit2allow eszközzel. Valahogy így:
http://wiki.centos.org/HowTos/SELinux#head-faa96b3fdd922004cdb988c1989e…
Ahogy Totya kolléga írta lentebb: Permissive-be kapcsolni, futtatni egy ideig a szolgáltatásokat, utána az audit2allow-val új policyt készíttetni.
Biztos van más módszer is, lásd programgyűjtemény SELinux-hoz.
- A hozzászóláshoz be kell jelentkezni
Én is találkoztam a SELinux és a Red Hat Cluster Suite gyönyörűségeivel, miután openais 0.80.3-22-nél újabbra frissítettem. A cluster tagjai nagyon nem akartak összefütyülni.
Akkor megoldottuk okosban a dolgot. Ehhez Permissive módba kellett rakni a SELinux-ot, és a keletkezett logok alapján megszületett egy local SELinux policy.
De a RHEL5.4 release notes-ban legalább már beleírták, hogy RHCS5.4+SELinux nem támogatott. ;-)
Egyszer talán megírják hozzá ők is a "támogatott" SELinux policy-t.
- A hozzászóláshoz be kell jelentkezni
Olvasgattam róla, egy gépen használom. Egyelőre arra jutottam, hogy ez tulajdonképpen egy túlbonyolított jail.
- A hozzászóláshoz be kell jelentkezni
???
- A hozzászóláshoz be kell jelentkezni
Folyamatokat/tárterületet szeparálsz el egymástól.
Bár talán csak azért gondolom így, mert egyszerre görcsöltem ezzel meg az OpenVZ-vel. :)
- A hozzászóláshoz be kell jelentkezni
Azért mielőtt kitör a háború, egy apró dolgot legyen szabad megjegyeznem: sokszor, sok helyen (pl. én is a Red Hat tanfolyamokon) elmondtuk, hogy az SELinux nem csodaszer, amely mindig mindenhol bevethető és használható, igenis vannak olyan helyzetek, ahol a leggyorsabb (nem az egyetlen!) megoldás a permissive mód vagy a teljes kikapcsolás. Az SELinux gyári állapotában teljesen jó a default szolgáltatások védelmére, azonban abban a pillanatban, ahogy valamit szeretnénk testreszabni benne (pl. service más portra helyezése, az alapértelmezettől eltérő app útvonalak használata), egy kicsit hozzá kell nyúlni. Az SELinux támogatott, ha valami bajod van vele, akkor lehet support case-t nyitni a Red Hatnél, válaszolnak, segítenek.
Ha nagyon komoly környezeted van, akkor nem a targeted policy-t használod, hanem mondjuk az MLS-t vagy a strictet, ezekhez viszont külön supportszerződés kell - szintén teljeskörű támogatással.
--
SELinux, Xen, RHEL, Fedora: http://sys-admin.hu
- A hozzászóláshoz be kell jelentkezni
A SELinux-szal kapcsolatban én azért elvárnám, hogy a Red Hat Cluster Suite esetén ne az legyen "a hivatalos" mondás, hogy kapcsold ki. Pláne, hogy a RHCS a Red Hat egy támogatott terméke/megoldása.
Szeretném a SELinux által nyújtott biztonság (még ha nem is "csodaszer") és a cluster suite szolgáltatásokat egyszerre élvezni.
De ezek csak az én elvárásaim, és gondolom a Red Hat el is készíti majd a támogatott megoldást. Idővel... Addig is van saját.
Egy kicsiny csalódottság azért van bennem.
PS: Ettől még nem dobom ki a cluster-eket az ablakon. ;-)
- A hozzászóláshoz be kell jelentkezni