[devel] SELinux в ядрах ALT

[Eugene Ostapets]

09.03.08, Dmitry V. Levin<ldv altlinux.org> написал(а):
>  > Почему нельзя ? Дим, не говори загадками, поясни ;)
>
>
> Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
>  от ядра, собранного без поддержки SELinux.
>
>  Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
>  runtime, но ядро всё равно получается немного (или много?) другое.
>
>  Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
>  включения SECURITY_SELINUX при неиспользовании SELinux.
Беглое чтение инета выявило одну причину для сборки всех ядер с
SELinux - метки в iptables, и потенциальная проблема с бинарной
несовместимостью утилит iptables собранных для ядра sel на ядрах без
него... Возможно имеет смысл вести несколько пакетов iptables-<flavor>
 с переключением симлинка где-нибудь в rc.sysinit в зависимости от
текущего ядра? Тогда можно будет вернуть ядро с patch-o-matic...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets на jabber.ru