Re: SELinux: verbreitet oder esoterisch?
On Fri, Mar 28, 2014 at 07:43:09PM +0100, Michael Schuerig wrote:
> On Friday 28 March 2014 14:00:42 Henning Follmann wrote:
> > On Fri, Mar 28, 2014 at 05:16:59PM +0100, Michael Schuerig wrote:
> [...]
> > Schau, es ist alles ganz einfach oder extrem kompliziert.
> > Wenn Dir die standard POSIX access Mechanismen nicht ausreichen oder
> > nicht genug Flexibilitaet bieten, dann kannst Du Dich einfach
> > entscheiden, SELinux einzusetzen.
> > Danach wird alles kompliziert. Du musst genau verstehen, wie jedes
> > einzelne Program auf Derinem Rechner funktioniert. Sonst wirst Du es
> > entweder daran hindern seinen Dienst zu verrichten, oder Deine Regeln
> > sind so grob wie die standard POSIX Rechte. Es gibt hier keinen
> > sanften Einstieg.
>
> Da mag ich nicht folgen. Nur weil der Sachverhalt SELinux komplex ist,
> muss die Lernkurve nicht steil sein.
>
> Man kann einem Anfänger durchaus grob sagen, welche Ergebnisse mit
> welchem Aufwand möglich sind. Etwa: Wenn du nur die Policy(ies)
> verwenden willst, die deine Distribution bereitstellt, dann musst du X
> und Y lernen und im Betrieb regelmäßig Z beachten. Wenn du außerdem
> selbst Policies erstellen willst, dann musst du zusätzlich A bis W
> lernen. Bevor du bei U angekommen bist, solltest du es nicht wagen,
> deine Kenntnisse auf einem Produktivsystem auszutoben.
>
>
Du tust so, als waere Debian ein klar definiertes homogenes OS.
Das kann gerade noch zutreffen, wenn Du nur tasksel benutzt. Aber Du hast
es mit tausenden von Packeten zu tun, die in unterschiedlichen
Kombinationen installiert werden. Und SELinux ist nun einmal ein extremer
Eingriff in das Betriebssyetem. Und hier macht jeder Unterschied etwas aus.
Also nein hier ist das nicht moeglich. Wenn Du SELinux einsetzen willst,
geht kein Weg daran vorbei, Dich damit auseinanerderzusetzen.
-H
--
Henning Follmann | hfollmann@itcfollmann.com
Reply to: