パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

RHEL9からSELinuxの無効化の仕様が変更される」記事へのコメント

  • by Anonymous Coward on 2022年03月23日 16時09分 (#4220214)

    SELinuxもエラー時にPermission deniedみたいな非特異的なメッセージしか出さないのが面倒くさがられる一番の理由かと思う。
    忘れたころにでてきて「どうしても動かない。もしや?」と思ってsetenforce 0すると動いて「またお前のせいかよ」と思われる。
    固有のErrnoがないせいで非特異的なメッセージしか出ないわけだが、普通に「SELinux policy violation」みたいなエラーが出るようにしておけばまた状況は違っていたのではないだろうか。

    # disabledにするとハングするのでpermissiveでお願いします。

    • by Anonymous Coward on 2022年03月23日 17時37分 (#4220278)

      権限周りで、特異なメッセージ出しちゃいかんやろ。
      権限無い場合は、なんの権限がないのかわからないように返すのはセキュリティ上の必須要素

      親コメント
      • by Anonymous Coward

        昔はIDとパスワードのどちらが無効か区別できるようなエラーメッセージにしてはいけないとか言われてたのにいつの間にかなかったことになってるの何なの?

        • by Anonymous Coward on 2022年03月23日 18時22分 (#4220315)

          皆様この程度の理解度なのでSELinux無効化のほうがマシという事ですな…

          親コメント
          • by Anonymous Coward

            日本にSELinux理解してる人どれぐらいいるのかな
            現実問題、SELinux有効化してって言われたらシステムが動くことをざっくり確認して結合・システムテストで問題箇所を洗い出そうってやり方しかない気がする

            そして事あるごとにまたSELin(ry

            • by Anonymous Coward

              DockerとかでSELinux無しのrootで動かすのに慣れ切ってしまってる人が増えてそう

              • by Anonymous Coward

                RHELはもうDockerを使ってないが。

            • by Anonymous Coward

              大丈夫だよ、SELinux有効化したら全く動かなくなって、
              やっぱ無しってなるまでが様式美。

      • by Anonymous Coward

        それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
        遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
        諸々のインストールガイドの、SELinuxを無効にしろっていう記載を生み出してきたんだってことも認める必要があると思うんだよね。

        結局使ってもらえないんじゃ、何の意味もないんじゃないの?
        それは、「パスワードをn日ごとに変更しろ」っていうのと同じぐらい、現実を無視してるんじゃないの?

        • by Anonymous Coward

          > それはそのとおりだと思うけど、それがこのSELinuxへのヘイトを生み出し、
          > 遂にはインストールしたら真っ先にdisabledにするっていう人々を生み出し、
           
          いやそういう人は技術者としては不適格だから切り捨てるべきじゃないですかね?
          Fool Proofでカバーする範囲じゃないと思います。

          • by Anonymous Coward

            Linuxが商業利用には不適格と切り捨てられる未来しか見えない。

        • by Anonymous Coward

          おらSELinux解からねぇバカだと思っていたども、プロの皆様も同じだったんだ。

    • by Anonymous Coward

      いやいや、その前に/var/log/audit/audit.logくらい読みましょう。
      読むのが面倒ならaudit2allowに垂れ流しでもいいです(無効化するよりはずっとマシ)。

      • by Anonymous Coward

        ポリシーを一から作るのはなかなか良い日本語の資料がない上に、
        ポリシーをコンパイルするのにツールがたくさん必要すぎて、そういう開発ツール入れたくない環境ではぐぬぬってなる

      • by Anonymous Coward

        ログ読むやつは無効化なんかしないんじゃないかな。
        ログもマニュアルも読まない奴が管理やってること多い。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...