Очень полезно. В том числе из-за грамотной подачи. С примерами, поставленной речью, по существу. Класс. Нужен был только SElinux, но теперь поищу среди канала и другие темы, которые могут быть мне интересны.
Огромная благодарность! Дай бог автору всех благ. Сколько я мучился, чтобы понять зачем ДВЕ команды: fcontext и restorecon. А тут всё так просто объясняется...
Больше спасибо за видео! Много видео очень понятны. Тут прям тяжеловато. Если возможно, как нибудь по подробнее, или с примерами другими, аналогиями. Очень удобен формат видео, но пересмотрев несколько раз, нет картинки с пониманием в голове. Ещё раз, большое спасибо за то что делаешь!
@@GNULinuxPro В сравнении с сетями. Там были дороги, города, улицы, дома, адреса. Тут же метка 1, метка2. Не вырисовывается картина, какой параметр, что делает.
@@kak0s91 метка она как.. наклейка с текстом. Система клеит наклейку на всё - на пользователей, файлы, процессы. Наклейка с текстом имеет стандартную форму, что-то типа "Василий Пупкин:Инженер:Не назначено", или "Не назначено:Не назначено:Фрукт". Метка, нацепленная на людей, определяет, что именно могут делать люди(если это настроено , в нашей системе таких ограничений нет). А метка, назначеная на фрукт говорит, какой именно процесс может с ним взаимодействовать (скажем, завтрак). И если какой-то процесс, скажем, мытьё посуды, захочет взаимодействовать с фруктом, то Selinux не позволит, потому что процесс мытья посуды связан только с "Не назначено:Не назначено:Посуда"
Твои видео очень полезны, может немного пока многие моменты для меня слишком замудрены, но полезно. Спасибо за труды, не останавливайся. Было бы интересно послушать про Bacula, про ansible и про puppet.
Скажите пожалуйста, я тут "сюрприз словил". У меня был прошит вероятно bios. (У меня зловред - сосед), приходит прямо домой. Тут как вообще все происходит. Ультразвуком в глубокий сон погружает(да, оказывается.... С помощью инфразвука, ультразвука можно вызывать различные психофизические состояния: эрекция, сон, бодрость, нервное состояние повышенное), но не без вспомогающих., с ними - идеально, но они в еде так же. У организма есть более менее стабильное состояние - минимум химии(пеклосоль ничего вам название не говорит?). Кстати. Димедрол... Посадить на бутылку слышали громкую фразу?... Это так называемое оказывается "указание", для групп лиц. Потом предлагали димедрол, что бы снять неожиданные болевые симптомы(пороги), через возбуждение ультразвуком, да, есть еще и болевые пороги. В общем... с димедролом просто убивали людей. "Инсульт", "инфаркт". Да. Вот от этого отталкиваясь(т.к. черт еще может на мозг воздействовать, что бы он был мутный и была каша в голове), поэтому ищу помощь. В обшем... У меня резко у супервизора появился пароль. И на этом моменте линукс начал грузиться с интересным выводом. Т.к. я сейчас понимаю что все же линукс очень дырявый(для сторонних каналов, да и не только он), оказывается, ноутбук в пластике это чисто открытая шина данных(медь, pci), есстественно с нее куча доступов, в том числе и мультиконтроллеру, и к dma, и в общем то я так понимаю на форуме proxmox обьясняется примерно как фактически подключаться различными способами к удаленной машине, хосту. И вероятно это работает через sdr-rtl, если роутить я так понимаю, или еще и пробрасывать в том числе и устройства... В общем то по сути что... Я хотел бы узнать на сколько вероятность себя обезопасить селинуксом на загрузке от того что он вероятно еще проникает через smbios какой...? Т.к. ему нужен был по сути biis, а bios у меня уже uefi, и это планшет x86, с emmc памятью... Ну да.. не суть... Суть в том что онииполноценно против меня ведут конченную агрессию... И мне необходимо как то безопасно грузиться... Вот в обшем то суть... Т.к. то что файлы иссезали и много сюрпризов было без всяких беспроводных устройств, это не очень приятно.
Добрый вечер. Автору огромный респект. С помощью его видео постигаю азы в linux системах. Подскажите пожалуйста, в разделе про MLS как то интересно выстроена логика - "файл с уровнем выше процесс может только изменять не имея доступ к чтению"....как то логично наоборот, нет? Все что выше уровнем можно читать но не изменять? Или тут своя особенность?
Добрый вечер Представьте себе условный процесс, который пишет данные в файл. И это "секретные" данные. Если кто-то воспользуется уязвимостью программы и сможет получить над ней контроль, то по идее он получит доступ над данными. Но если этот процесс может только писать, а не может читать - то сами данные останутся в безопасности, максимум он сможет послать лишние данные, не ту информацию. Но вот прочесть секретное он не сможет
Здравствуйте, есть некоторые сервисы наподобие nginx которые имеют нескольких контекстов, как определить и найти, что мы какой контекст должны задать для директории (в правилах Selinux)? Заранее благодарю!!!
Привет Можно поискать в списке контекстов что-то касательно сервиса и найти более подходящее. Но в идеале стоит поискать в документации, в интернете, манах или файлах конфигов
@@banderaz2 В первую очередь стилем изложения и проработкой деталей. У вас рядом нет штатного "преподавателя-на-зарплате" с презентацией на проекторе, который при необходимости подбежит к вашей парте и пояснит непонятный фрагмент. Читатель остаётся с книгой один на один. Тут всё зависит от автора с его знаниями, стилем изложения, умением донести материал. А вообще это долго объяснять. Это как у Рэя Брэдбери в "451 градус по Фарнгейту". Нужно почитать КНИГИ, чтобы понять.ru.wikipedia.org/wiki/451_градус_по_Фаренгейту
У меня возник вопрос был бы длагодарен за ответ , Как я узнал из ващего урока все локальные пользователи по умолчанию привязаны selinux пользователю unconfined , для теста я проверил конфиг файл glusterfs который на fcontext-е этого конфиг файла был другой seelinux пользователь, Вопрос: тогда как я смог редактировать этот файл ? ведь у меня не должно было права для редактирование ,может есть разрешающая политика
В Selinux те кто unconfined могут делать практически всё что угодно. Да и даже если бы вы были не unconfined, наверняка вы использовали sudo при редактировании конфига glusterfs, а значит процесс запустился бы от рута и имел бы все права
@@eldarkarimov5791 не к юзерам, а к процессам. Там же связка - юзер - процесс - файл. Если не ошибаюсь, unconfined юзер может взаимодействовать с любым другим контекстом. А вот если ты мапишь юзера, то в его правилах ты должен прописывать разрешения, с какими процессами и файлами он может взаимодействовать. Но могу ошибаться, никогда раньше это не делал
@@GNULinuxPro Спасибо Я имею ввиду что контекст моего пользователя и у конфиг файла были разные , Как я понял вы имели ввиду контекст (домен) процесса vi (unconfined) с помощью который я смог редактировать конфиг у которого был разный контекст? Извините если я слишком перепютаю вас вопросами 😕
@@eldarkarimov5791 Контекст не обязательно должен совпадать. Всё дело в правилах, кому что разрешено. Но в целом скажу, что по умолчанию никаких ограничений по пользователям нет. Т.е. пока вручную не настроить, из-за селинукс пользователей блокировок не будет. Пока не смогу ответить на всё, но надо будет как-нибудь посидеть, во всём лучше разобраться и выпустить детальный разбор.
Когда-нибудь разберу, после того как этот курс закончу. Если интересны детали, то у в манах и на сайте RH всё ооочень подробно - access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/using_selinux/index Плюс в документации генту также всё прекрасно описано - wiki.gentoo.org/wiki/SELinux/Tutorials
Очень полезно. В том числе из-за грамотной подачи. С примерами, поставленной речью, по существу. Класс. Нужен был только SElinux, но теперь поищу среди канала и другие темы, которые могут быть мне интересны.
Вот это как я удачно - то Вас нашел) Спасибо. Привет из Харькова
спасибо, удачи вам! =)
Балдёжный цикл роликов, спасибо
Очень хорошая подача материала. Автор, продолжай в том же духе
Огромная благодарность! Дай бог автору всех благ. Сколько я мучился, чтобы понять зачем ДВЕ команды: fcontext и restorecon. А тут всё так просто объясняется...
спасибо =)
Больше спасибо за видео! Много видео очень понятны. Тут прям тяжеловато. Если возможно, как нибудь по подробнее, или с примерами другими, аналогиями. Очень удобен формат видео, но пересмотрев несколько раз, нет картинки с пониманием в голове. Ещё раз, большое спасибо за то что делаешь!
А в чём именно трудность? Не понимаете, зачем это нужно? Или?
@@GNULinuxPro В сравнении с сетями. Там были дороги, города, улицы, дома, адреса. Тут же метка 1, метка2. Не вырисовывается картина, какой параметр, что делает.
@@kak0s91 метка она как.. наклейка с текстом. Система клеит наклейку на всё - на пользователей, файлы, процессы. Наклейка с текстом имеет стандартную форму, что-то типа "Василий Пупкин:Инженер:Не назначено", или "Не назначено:Не назначено:Фрукт". Метка, нацепленная на людей, определяет, что именно могут делать люди(если это настроено , в нашей системе таких ограничений нет). А метка, назначеная на фрукт говорит, какой именно процесс может с ним взаимодействовать (скажем, завтрак). И если какой-то процесс, скажем, мытьё посуды, захочет взаимодействовать с фруктом, то Selinux не позволит, потому что процесс мытья посуды связан только с "Не назначено:Не назначено:Посуда"
Твои видео очень полезны, может немного пока многие моменты для меня слишком замудрены, но полезно. Спасибо за труды, не останавливайся.
Было бы интересно послушать про Bacula, про ansible и про puppet.
Отличное видео!
спасибо!
вижу ваш контент только включая сходу лайк :)
Аналогично.😂
Сначала лайк а там как время будет😀
Спасибо!!
Скажите пожалуйста, я тут "сюрприз словил". У меня был прошит вероятно bios. (У меня зловред - сосед), приходит прямо домой. Тут как вообще все происходит. Ультразвуком в глубокий сон погружает(да, оказывается.... С помощью инфразвука, ультразвука можно вызывать различные психофизические состояния: эрекция, сон, бодрость, нервное состояние повышенное), но не без вспомогающих., с ними - идеально, но они в еде так же. У организма есть более менее стабильное состояние - минимум химии(пеклосоль ничего вам название не говорит?). Кстати. Димедрол... Посадить на бутылку слышали громкую фразу?... Это так называемое оказывается "указание", для групп лиц. Потом предлагали димедрол, что бы снять неожиданные болевые симптомы(пороги), через возбуждение ультразвуком, да, есть еще и болевые пороги. В общем... с димедролом просто убивали людей. "Инсульт", "инфаркт".
Да. Вот от этого отталкиваясь(т.к. черт еще может на мозг воздействовать, что бы он был мутный и была каша в голове), поэтому ищу помощь.
В обшем... У меня резко у супервизора появился пароль. И на этом моменте линукс начал грузиться с интересным выводом. Т.к. я сейчас понимаю что все же линукс очень дырявый(для сторонних каналов, да и не только он), оказывается, ноутбук в пластике это чисто открытая шина данных(медь, pci), есстественно с нее куча доступов, в том числе и мультиконтроллеру, и к dma, и в общем то я так понимаю на форуме proxmox обьясняется примерно как фактически подключаться различными способами к удаленной машине, хосту. И вероятно это работает через sdr-rtl, если роутить я так понимаю, или еще и пробрасывать в том числе и устройства... В общем то по сути что... Я хотел бы узнать на сколько вероятность себя обезопасить селинуксом на загрузке от того что он вероятно еще проникает через smbios какой...? Т.к. ему нужен был по сути biis, а bios у меня уже uefi, и это планшет x86, с emmc памятью... Ну да.. не суть... Суть в том что онииполноценно против меня ведут конченную агрессию... И мне необходимо как то безопасно грузиться... Вот в обшем то суть... Т.к. то что файлы иссезали и много сюрпризов было без всяких беспроводных устройств, это не очень приятно.
Добрый вечер. Автору огромный респект. С помощью его видео постигаю азы в linux системах. Подскажите пожалуйста, в разделе про MLS как то интересно выстроена логика - "файл с уровнем выше процесс может только изменять не имея доступ к чтению"....как то логично наоборот, нет? Все что выше уровнем можно читать но не изменять? Или тут своя особенность?
Добрый вечер
Представьте себе условный процесс, который пишет данные в файл. И это "секретные" данные. Если кто-то воспользуется уязвимостью программы и сможет получить над ней контроль, то по идее он получит доступ над данными. Но если этот процесс может только писать, а не может читать - то сами данные останутся в безопасности, максимум он сможет послать лишние данные, не ту информацию. Но вот прочесть секретное он не сможет
@@GNULinuxPro Понял, спасибо большое.
Здравствуйте, есть некоторые сервисы наподобие nginx которые имеют нескольких контекстов, как определить и найти, что мы какой контекст должны задать для директории (в правилах Selinux)? Заранее благодарю!!!
Привет
Можно поискать в списке контекстов что-то касательно сервиса и найти более подходящее.
Но в идеале стоит поискать в документации, в интернете, манах или файлах конфигов
@@GNULinuxPro Спасибо
Хорошие картинки для своих учебников RH нарисовал. Уже лет 10 прошло а их по-прежнему заимствуют для своих видосов/презентаций)
У Red Hat есть УЧЕБНИКИ? Не методички с курсов, а именно учебники, как у Microsoft Press или Cisco Press?
@@abc_abc66 Прежде, чем отвечать, хотелось бы уточнить - чем учебник отличается от методички с курса?.. Я просто не видел книг от Cisco Press...
@@banderaz2 В первую очередь стилем изложения и проработкой деталей. У вас рядом нет штатного "преподавателя-на-зарплате" с презентацией на проекторе, который при необходимости подбежит к вашей парте и пояснит непонятный фрагмент. Читатель остаётся с книгой один на один. Тут всё зависит от автора с его знаниями, стилем изложения, умением донести материал. А вообще это долго объяснять. Это как у Рэя Брэдбери в "451 градус по Фарнгейту". Нужно почитать КНИГИ, чтобы понять.ru.wikipedia.org/wiki/451_градус_по_Фаренгейту
@@banderaz2 www.labirint.ru/books/663395/
У меня возник вопрос был бы длагодарен за ответ , Как я узнал из ващего урока все локальные пользователи по умолчанию привязаны selinux пользователю unconfined , для теста я проверил конфиг файл glusterfs который на fcontext-е этого конфиг файла был другой seelinux пользователь, Вопрос: тогда как я смог редактировать этот файл ? ведь у меня не должно было права для редактирование ,может есть разрешающая политика
В Selinux те кто unconfined могут делать практически всё что угодно.
Да и даже если бы вы были не unconfined, наверняка вы использовали sudo при редактировании конфига glusterfs, а значит процесс запустился бы от рута и имел бы все права
@@GNULinuxPro благодарю за ответ, тогда пользователь unconfined имеет все права доступа к другим seelinux пользователям?
@@eldarkarimov5791 не к юзерам, а к процессам. Там же связка - юзер - процесс - файл. Если не ошибаюсь, unconfined юзер может взаимодействовать с любым другим контекстом. А вот если ты мапишь юзера, то в его правилах ты должен прописывать разрешения, с какими процессами и файлами он может взаимодействовать. Но могу ошибаться, никогда раньше это не делал
@@GNULinuxPro Спасибо Я имею ввиду что контекст моего пользователя и у конфиг файла были разные , Как я понял вы имели ввиду контекст (домен) процесса vi (unconfined) с помощью который я смог редактировать конфиг у которого был разный контекст? Извините если я слишком перепютаю вас вопросами 😕
@@eldarkarimov5791 Контекст не обязательно должен совпадать. Всё дело в правилах, кому что разрешено.
Но в целом скажу, что по умолчанию никаких ограничений по пользователям нет. Т.е. пока вручную не настроить, из-за селинукс пользователей блокировок не будет.
Пока не смогу ответить на всё, но надо будет как-нибудь посидеть, во всём лучше разобраться и выпустить детальный разбор.
Здравствуйте, как создать новую роль в SELinux?
Я так понимаю, нужно компилировать свой selinux модуль, как тут: wiki.gentoo.org/wiki/SELinux/Tutorials/Creating_your_own_policy_module_file
@@anon3696 верно - selinuxproject.org/page/RefpolicyBasicRoleCreation
В IRC канале проедложили решение: echo '(role myrole)' > mytest.cil && sudo semodule -i mytest.cil && seinfo -r | grep myrole
Расскажи подробнее
Когда-нибудь разберу, после того как этот курс закончу.
Если интересны детали, то у в манах и на сайте RH всё ооочень подробно - access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/using_selinux/index
Плюс в документации генту также всё прекрасно описано - wiki.gentoo.org/wiki/SELinux/Tutorials
Сейчас rhcsa удаленно можно сдать из России?
Насколько я знаю, да. Но могу ошибаться
Можно, но это сильно дороже, чем очно. Раза в четыре
а что там закрыто в логах было?
на какой секунде?
@@GNULinuxPro извини это мои кривые глаза, так увидели( там все нормально
Плз