[devel] SELinux в ядрах ALT
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вс Мар 9 17:07:10 MSK 2008
On Sun, Mar 09, 2008 at 03:52:35PM +0200, Eugene Ostapets wrote:
> 09.03.08, Dmitry V. Levin<ldv altlinux.org> написал(а):
> >
> > Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
> > от ядра, собранного без поддержки SELinux.
> >
> > Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
> > runtime, но ядро всё равно получается немного (или много?) другое.
> >
> > Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
> > включения SECURITY_SELINUX при неиспользовании SELinux.
> Беглое чтение инета выявило одну причину для сборки всех ядер с
> SELinux - метки в iptables, и потенциальная проблема с бинарной
> несовместимостью утилит iptables собранных для ядра sel на ядрах без
> него... Возможно имеет смысл вести несколько пакетов iptables-<flavor>
> с переключением симлинка где-нибудь в rc.sysinit в зависимости от
> текущего ядра? Тогда можно будет вернуть ядро с patch-o-matic...
Переключение можно и в runtime сделать, по аналогии с
gcc_wrapper/libtool_wrapper. Если это действительно нужно.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/fd01d656/attachment-0002.bin>
Подробная информация о списке рассылки Devel