[devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

В Пнд, 30/08/2010 в 17:16 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 03:30:40PM +0400, Alexey Gladkov wrote:
> > 30.08.2010 15:16, Mikhail Efremov wrote:
> > >> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?
> > > 
> > > Потому что на самом деле неизвестно, включен ли SELinux. И решать что
> > 
> > Без смонтированого /proc selinux работать будет ?
> 
> Вопрос не в том, будет ли работать SELinux, а в том, будет ли работать
> приложение с SELinux.
> 
> > > делать должен вызывающий код, эта функция не должна принимать таких
> > > решений.
> > 
> > Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
> > том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
> > не значит что SELinux выключен (вы сами про это говорите), но и не
> > значит, что включён.
> 
> Это означает, что приложение не может работать с SELinux.
> 
> > Сейчас делается упор, что
> > 
> > if (!is_selinux_enabled())
> > 
> > неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
> > неправильно, так как решение отдано на откуп приложения. Если -1 нужно
> > расценивать как 0, то так и нужно возвращать.
> 
> Есть некоторые приложения, которые могут отличать эти две ситуации
> (выключен или недоступен),

например dbus, о чем он собственно и говорит

>  но большинству приложений должно быть всё
> равно.

-- 
Valery V. Inozemtsev
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20100830/9e7c31d5/attachment.bin>