Ресурс Phoronix провел (http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ) серию тестов производительности Fedora 15 Linux в трех конфигурациях: c отключенным SELinux, с SELinux в режиме enforce и с SELinux в режиме permissive (SELinux только выдает предупреждение, без выполнение блокировки). Результаты тестирования показали, что включение SELinux хоть и приводит к замедлению системы, но это замедление весьма незначительное - 1-2%. В тесте Apache Benchmark отставание в производительности достигает 10%, а в тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например, 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не проявляется.URL: http://www.phoronix.com/scan.php?page=news_item&px=OTUyOQ
Новость: https://www.opennet.ru/opennews/art.shtml?num=30777
это ж вам не кашперский
да тока вайн откалывается и плагины к фф типа foxmarks просто не работают
возможно для них стоит отключить selinux или правила подредактировать
>да тока вайн откалывается и плагины к фф типа foxmarks просто не работаютВсё правильно, вредоносный код блокируется :)
Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен в настройке, а вот все боевые эксплойты его зато отключают в два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем эскалацию прав есть вырубка SELinux первым делом.
и в этом месте следует пруф на эсплоит отключающий селинух.
рута делаешь и всё.
Ну и что ты в селинуксе сделаешь от рута, если контекст от простого пользователя остался?
> Ну и что ты в селинуксе сделаешь от рута,Вырублю SELinux :)
Пожалуйста: http://www.coker.com.au/selinux/play.html
Оно в XEN засунуто - чего они очкуют?!Все ограничения на максимуме. Там них..я не сделаешь,
так как с такими ограничениями администрирование не возможно!!!# useradd roooot
useradd: cannot lock /etc/passwd; try again later.И кому нах...й такая система нужна?
Проще сделать
# mount -o remount,ro /
Если не ошибаюсь, то раньше это работало на старой железке. Но после сильной жары в Австралии пару лет тому железка сгорела. Теперь в виртуалке.
selinux такой selinux, кому положено оно всё дозволит сделать :)
И защищает же selinux не только и не столько файловый доступ. И о том что реально было запрещено судить можно только по логам, но не по выдаваемым на консоль ошибкам.
> selinux такой selinux, кому положено оно всё дозволит сделатьРешаемо. Какова стоимость заказа?
Всего лишь надо иметь права супервользователя? Вот дыра так дыра.
> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
> в настройке, а вот все боевые эксплойты его зато отключают в
> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
> эскалацию прав есть вырубка SELinux первым делом.Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux, нужно уничтожить практически все механизмы защиты ядра. За всю историю линакса это удалось сделать всего один раз, с использованием рутовой дыры в pulseaudio и грубейшей ошибки в ядерном модуле tun. И то лишь за счёт того, что pulseaudio не было прикрыто selinuxом.
>> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
>> в настройке, а вот все боевые эксплойты его зато отключают в
>> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
>> эскалацию прав есть вырубка SELinux первым делом.
> Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux,
> нужно уничтожить практически все механизмы защиты ядра.# echo 0 > /selinux/enforce
# newrole -r sysadm_rЯ уничтожЫл все механизьмы заshitы ядра?
# echo 0 > /selinux/enforce
echo: write error: read-only file system>Я уничтожЫл все механизьмы заshitы ядра?
Ты фигню какую-то написал.
Для отключения SELinux достаточно arbitrary write bug, который можно было бы спровоцировать из-под ограниченного домена. Что такое "практически все механизмы ядра"?Не путайте "удалось сделать" и "было продемонстрировано в public exploit'е". За прошлый год был присвоен CVE более чем сотне багов (а обнаружено и того больше), на каждую уязвимость писать эксплоит - увольте :)
смешное сравнение.
какой было смысл мерять на числодробилках - если в них не выполняется не одной функции которая подлежит контролю?
Зато на тех операциях где есть контроль все показывает хорошо - 10% замедления.
> В тесте Apache Benchmark отставание в производительности достигает 10%, а в
> тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например,
> 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не
> проявляется.Капитан Очевидность ушел работать в Фороникс? Вроде бы логично что при просто вычислениях SELinux не у дел, а вот при отдаче статики или postmark при работе с файловой системой SELinux и выдает свою сущность.
>при отдаче статики или postmark при работе с файловой системой...Кэширование же...
Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень защищённости при меньшем оверхеде?
> Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень
> защищённости при меньшем оверхеде?KVM/XEN/VB
>KVM/XEN/VBЭто меньший оверхед??? "Нужны ли тут слова?" (с)
Да и касаемо защищенности. Вам напомнить про vt-d? Пожалуйста:
http://www.linux.org.ru/forum/talks/6264190
В федоре не все сервисы и проги защищены механизами selinux! за счёт этого малая потеря производительности. Раз. Два -по умолчанию политика selinux :target. То есть тоже не все обрабатываются вызовы. То есть в принципе как рассчитывали при создании селинукс должно уходить 10-20 % производительности. В сильно защищёной системе может уходить на системы защиты до 90 % ресурсов.