45. Принудительный контроль доступа

45. Принудительный контроль доступа - SElinux (RHCSA)

Рет қаралды 9,114

GNU Linux Pro

Күн бұрын

Плейлист: • Основы GNU/Linux и под...
Телеграм: t.me/gnuslashl...
Текстовой вариант: basis.gnulinux...

Пікірлер: 50

@anti-bilan 3 жыл бұрын

Очень полезно. В том числе из-за грамотной подачи. С примерами, поставленной речью, по существу. Класс. Нужен был только SElinux, но теперь поищу среди канала и другие темы, которые могут быть мне интересны.

@AlexAlex-ei7zf 3 жыл бұрын

Вот это как я удачно - то Вас нашел) Спасибо. Привет из Харькова

@GNULinuxPro 3 жыл бұрын

спасибо, удачи вам! =)

@konstantinv3792 Жыл бұрын

Очень хорошая подача материала. Автор, продолжай в том же духе

@ИгорьОзеров-с9ч 2 жыл бұрын

Балдёжный цикл роликов, спасибо

@abc_abc66 3 жыл бұрын

Огромная благодарность! Дай бог автору всех благ. Сколько я мучился, чтобы понять зачем ДВЕ команды: fcontext и restorecon. А тут всё так просто объясняется...

@GNULinuxPro 3 жыл бұрын

спасибо =)

@kak0s91 3 жыл бұрын

Больше спасибо за видео! Много видео очень понятны. Тут прям тяжеловато. Если возможно, как нибудь по подробнее, или с примерами другими, аналогиями. Очень удобен формат видео, но пересмотрев несколько раз, нет картинки с пониманием в голове. Ещё раз, большое спасибо за то что делаешь!

@GNULinuxPro 3 жыл бұрын

А в чём именно трудность? Не понимаете, зачем это нужно? Или?

@kak0s91 3 жыл бұрын

@@GNULinuxPro В сравнении с сетями. Там были дороги, города, улицы, дома, адреса. Тут же метка 1, метка2. Не вырисовывается картина, какой параметр, что делает.

@GNULinuxPro 3 жыл бұрын

@@kak0s91 метка она как.. наклейка с текстом. Система клеит наклейку на всё - на пользователей, файлы, процессы. Наклейка с текстом имеет стандартную форму, что-то типа "Василий Пупкин:Инженер:Не назначено", или "Не назначено:Не назначено:Фрукт". Метка, нацепленная на людей, определяет, что именно могут делать люди(если это настроено , в нашей системе таких ограничений нет). А метка, назначеная на фрукт говорит, какой именно процесс может с ним взаимодействовать (скажем, завтрак). И если какой-то процесс, скажем, мытьё посуды, захочет взаимодействовать с фруктом, то Selinux не позволит, потому что процесс мытья посуды связан только с "Не назначено:Не назначено:Посуда"

@sabantica 3 жыл бұрын

Твои видео очень полезны, может немного пока многие моменты для меня слишком замудрены, но полезно. Спасибо за труды, не останавливайся. Было бы интересно послушать про Bacula, про ansible и про puppet.

@TestTest-fi2ok Жыл бұрын

Отличное видео!

@eldarkarimov5791 3 жыл бұрын

Спасибо!!

@alexeremenko3000 3 жыл бұрын

спасибо! вижу ваш контент только включая сходу лайк :)

@gramllin 3 жыл бұрын

Аналогично.😂 Сначала лайк а там как время будет😀

@barash71 2 жыл бұрын

Добрый вечер. Автору огромный респект. С помощью его видео постигаю азы в linux системах. Подскажите пожалуйста, в разделе про MLS как то интересно выстроена логика - "файл с уровнем выше процесс может только изменять не имея доступ к чтению"....как то логично наоборот, нет? Все что выше уровнем можно читать но не изменять? Или тут своя особенность?

@GNULinuxPro 2 жыл бұрын

Добрый вечер Представьте себе условный процесс, который пишет данные в файл. И это "секретные" данные. Если кто-то воспользуется уязвимостью программы и сможет получить над ней контроль, то по идее он получит доступ над данными. Но если этот процесс может только писать, а не может читать - то сами данные останутся в безопасности, максимум он сможет послать лишние данные, не ту информацию. Но вот прочесть секретное он не сможет

@barash71 2 жыл бұрын

@@GNULinuxPro Понял, спасибо большое.

@ICC_ECHR_Request_BY_VS 6 ай бұрын

Скажите пожалуйста, я тут "сюрприз словил". У меня был прошит вероятно bios. (У меня зловред - сосед), приходит прямо домой. Тут как вообще все происходит. Ультразвуком в глубокий сон погружает(да, оказывается.... С помощью инфразвука, ультразвука можно вызывать различные психофизические состояния: эрекция, сон, бодрость, нервное состояние повышенное), но не без вспомогающих., с ними - идеально, но они в еде так же. У организма есть более менее стабильное состояние - минимум химии(пеклосоль ничего вам название не говорит?). Кстати. Димедрол... Посадить на бутылку слышали громкую фразу?... Это так называемое оказывается "указание", для групп лиц. Потом предлагали димедрол, что бы снять неожиданные болевые симптомы(пороги), через возбуждение ультразвуком, да, есть еще и болевые пороги. В общем... с димедролом просто убивали людей. "Инсульт", "инфаркт". Да. Вот от этого отталкиваясь(т.к. черт еще может на мозг воздействовать, что бы он был мутный и была каша в голове), поэтому ищу помощь. В обшем... У меня резко у супервизора появился пароль. И на этом моменте линукс начал грузиться с интересным выводом. Т.к. я сейчас понимаю что все же линукс очень дырявый(для сторонних каналов, да и не только он), оказывается, ноутбук в пластике это чисто открытая шина данных(медь, pci), есстественно с нее куча доступов, в том числе и мультиконтроллеру, и к dma, и в общем то я так понимаю на форуме proxmox обьясняется примерно как фактически подключаться различными способами к удаленной машине, хосту. И вероятно это работает через sdr-rtl, если роутить я так понимаю, или еще и пробрасывать в том числе и устройства... В общем то по сути что... Я хотел бы узнать на сколько вероятность себя обезопасить селинуксом на загрузке от того что он вероятно еще проникает через smbios какой...? Т.к. ему нужен был по сути biis, а bios у меня уже uefi, и это планшет x86, с emmc памятью... Ну да.. не суть... Суть в том что онииполноценно против меня ведут конченную агрессию... И мне необходимо как то безопасно грузиться... Вот в обшем то суть... Т.к. то что файлы иссезали и много сюрпризов было без всяких беспроводных устройств, это не очень приятно.

@eldarkarimov5791 2 жыл бұрын

Здравствуйте, есть некоторые сервисы наподобие nginx которые имеют нескольких контекстов, как определить и найти, что мы какой контекст должны задать для директории (в правилах Selinux)? Заранее благодарю!!!

@GNULinuxPro 2 жыл бұрын

Привет Можно поискать в списке контекстов что-то касательно сервиса и найти более подходящее. Но в идеале стоит поискать в документации, в интернете, манах или файлах конфигов

@eldarkarimov5791 2 жыл бұрын

@@GNULinuxPro Спасибо

@eldarkarimov5791 3 жыл бұрын

У меня возник вопрос был бы длагодарен за ответ , Как я узнал из ващего урока все локальные пользователи по умолчанию привязаны selinux пользователю unconfined , для теста я проверил конфиг файл glusterfs который на fcontext-е этого конфиг файла был другой seelinux пользователь, Вопрос: тогда как я смог редактировать этот файл ? ведь у меня не должно было права для редактирование ,может есть разрешающая политика

@GNULinuxPro 3 жыл бұрын

В Selinux те кто unconfined могут делать практически всё что угодно. Да и даже если бы вы были не unconfined, наверняка вы использовали sudo при редактировании конфига glusterfs, а значит процесс запустился бы от рута и имел бы все права

@eldarkarimov5791 3 жыл бұрын

@@GNULinuxPro благодарю за ответ, тогда пользователь unconfined имеет все права доступа к другим seelinux пользователям?

@GNULinuxPro 3 жыл бұрын

@@eldarkarimov5791 не к юзерам, а к процессам. Там же связка - юзер - процесс - файл. Если не ошибаюсь, unconfined юзер может взаимодействовать с любым другим контекстом. А вот если ты мапишь юзера, то в его правилах ты должен прописывать разрешения, с какими процессами и файлами он может взаимодействовать. Но могу ошибаться, никогда раньше это не делал

@eldarkarimov5791 3 жыл бұрын

@@GNULinuxPro Спасибо Я имею ввиду что контекст моего пользователя и у конфиг файла были разные , Как я понял вы имели ввиду контекст (домен) процесса vi (unconfined) с помощью который я смог редактировать конфиг у которого был разный контекст? Извините если я слишком перепютаю вас вопросами 😕

@GNULinuxPro 3 жыл бұрын

@@eldarkarimov5791 Контекст не обязательно должен совпадать. Всё дело в правилах, кому что разрешено. Но в целом скажу, что по умолчанию никаких ограничений по пользователям нет. Т.е. пока вручную не настроить, из-за селинукс пользователей блокировок не будет. Пока не смогу ответить на всё, но надо будет как-нибудь посидеть, во всём лучше разобраться и выпустить детальный разбор.

@RootRealm 3 жыл бұрын

Расскажи подробнее

@GNULinuxPro 3 жыл бұрын

Когда-нибудь разберу, после того как этот курс закончу. Если интересны детали, то у в манах и на сайте RH всё ооочень подробно - access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/using_selinux/index Плюс в документации генту также всё прекрасно описано - wiki.gentoo.org/wiki/SELinux/Tutorials

@banderaz2 3 жыл бұрын

Хорошие картинки для своих учебников RH нарисовал. Уже лет 10 прошло а их по-прежнему заимствуют для своих видосов/презентаций)

@abc_abc66 3 жыл бұрын

У Red Hat есть УЧЕБНИКИ? Не методички с курсов, а именно учебники, как у Microsoft Press или Cisco Press?

@banderaz2 3 жыл бұрын

@@abc_abc66 Прежде, чем отвечать, хотелось бы уточнить - чем учебник отличается от методички с курса?.. Я просто не видел книг от Cisco Press...

@abc_abc66 3 жыл бұрын

@@banderaz2 В первую очередь стилем изложения и проработкой деталей. У вас рядом нет штатного "преподавателя-на-зарплате" с презентацией на проекторе, который при необходимости подбежит к вашей парте и пояснит непонятный фрагмент. Читатель остаётся с книгой один на один. Тут всё зависит от автора с его знаниями, стилем изложения, умением донести материал. А вообще это долго объяснять. Это как у Рэя Брэдбери в "451 градус по Фарнгейту". Нужно почитать КНИГИ, чтобы понять.ru.wikipedia.org/wiki/451_градус_по_Фаренгейту

@abc_abc66 3 жыл бұрын

@@banderaz2 www.labirint.ru/books/663395/