[devel] SELinux в ядрах ALT

[Dmitry V. Levin]

On Sun, Mar 09, 2008 at 11:02:07AM +0300, Anton Farygin wrote:
> Dmitry V. Levin пишет:
> >On Sun, Mar 09, 2008 at 01:38:46AM +0300, Anton Farygin wrote:
> >>Igor Zubkov пишет:
> >>>08.03.08, Eugene Ostapets написал(а):
> >>>>Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> >>>>ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> >>>>разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> >>>Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
> >>>случае, я свежую версию хотел отправить на сборку.
> >>Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
> >>Особенно std-*
> >>
> >>Миша, включи SELinux, оно ничего не поломает.
> >
> >Включать selinux во всех ядра нельзя.
> >Но хорошо бы в каждом flavour держать по subflavour'у с включённым selinux.
> 
> Почему нельзя ? Дим, не говори загадками, поясни ;)

Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
от ядра, собранного без поддержки SELinux.

Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
runtime, но ядро всё равно получается немного (или много?) другое.

Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
включения SECURITY_SELINUX при неиспользовании SELinux.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/3ff8ce5c/attachment-0002.bin>