SELinux
Не по теме, но ты можешь знать.
Встречал у ghc-6.6.1 проблемы с pthreads?
А то у меня не собирается darcs-1.0.8.
Да, нет, ибо очевидно, что придётся копать самому.
---
...Я работаю антинаучным аферистом...
Встречал у ghc-6.6.1 проблемы с pthreads?
А то у меня не собирается darcs-1.0.8.
Да, нет, ибо очевидно, что придётся копать самому.
---
...Я работаю антинаучным аферистом...
> Встречал у ghc-6.6.1 проблемы с pthreads?
Нет, не встречал. У меня нормально работает.
> А то у меня не собирается darcs-1.0.8.
Какие симптомы? Не это http://hackage.haskell.org/trac/ghc/ticket/847 ?
Нет, не встречал. У меня нормально работает.
> А то у меня не собирается darcs-1.0.8.
Какие симптомы? Не это http://hackage.haskell.org/trac/ghc/ticket/847 ?
>> Встречал у ghc-6.6.1 проблемы с pthreads?
> Нет, не встречал. У меня нормально работает.
Там сейчас Доран что-то интенсивно ваяет, так что всё может быть.
>> А то у меня не собирается darcs-1.0.8.
> Какие симптомы? Не это http://hackage.haskell.org/trac/ghc/ticket/847 ?
Спасибо, сейчас посмотрим...
---
...Я работаю...
> Нет, не встречал. У меня нормально работает.
Там сейчас Доран что-то интенсивно ваяет, так что всё может быть.
>> А то у меня не собирается darcs-1.0.8.
> Какие симптомы? Не это http://hackage.haskell.org/trac/ghc/ticket/847 ?
Спасибо, сейчас посмотрим...
---
...Я работаю...
Up!
Чего, никто не юзал SELinux?
Чего, никто не юзал SELinux?
SE это чё Scientific Linux?
выброси это убожество и поставь приличную [holywar]мандриву[/holywar]
выброси это убожество и поставь приличную [holywar]мандриву[/holywar]
SE это чё Scientific Linux?Ты не в теме.
SE это чё Scientific Linux?
выброси это убожество и поставь приличную [holywar]мандриву[/holywar]
да это пять
Ты не в теме.похоже что так
> SE это чё Scientific Linux?
Нет, "SE" --- это "second edition."
---
...Я работаю антинаучным аферистом...
Нет, "SE" --- это "second edition."
---
...Я работаю антинаучным аферистом...
Нет, "SE" --- это "second edition."
Ты нихуя не прав. Это Standard Edition
А в теме, если SElinux - Security Enhanced Linux
А буквы "SU" в "SUSE" означают "Soviet Union".
---
"Верь сводке погоды, но доверяй --- интуиции.
Будь особенно бдителен, когда всё хорошо и нет поводов для тревоги."
---
"Верь сводке погоды, но доверяй --- интуиции.
Будь особенно бдителен, когда всё хорошо и нет поводов для тревоги."
Soviet Union Standard Edition Less Inexpensible New User Exclamation 
Soviet Union Special Edition
точняк, клево
точняк, клево
Попробуй почитать man audit2allow
./test1: error while loading shared libraries: /home/oracle/product/10.2.0/client_1/lib/libnnz10.so: cannot restore segment prot after reloc: Permission deniedпо этому поводу Оракл вот что пишет:
Essentially, Oracle Developement is actively working on this compiler version compatibility issue (ICC compilers that are used for several libraries, such as LIBNNZ10.SO and LIBNNZ11.SO) in the RHEL 5 and OEL 5 environments.
The workaround is to shift SELinux to "Permissive" mode.
Essentially, Oracle Developement is actively working on this compiler version compatibility issue (ICC compilers that are used for several libraries, such as LIBNNZ10.SO and LIBNNZ11.SO) in the RHEL 5 and OEL 5 environments.А чего там активно работать-то? Просто пересобрать с правильными опциями и все. Странные люди.
The workaround is to shift SELinux to "Permissive" mode.Отличный workaround! Попросту говоря, они предлагают вырубить SELinux нафиг.
Кстати, а как же всякие там Oracle Unbreakable Linux? Разве Oracle не продвигает Linux как надежную операционную систему? IMHO, SELinux — один из главных компонентов ее защищенности. В чем тогда фишка выпускать продукты, которые требуют отрубания этой самой защиты?
В чем тогда фишка выпускать продукты, которые требуют отрубания этой самой защиты?Э, а разве в энтерпрайз-мире недостаточно просто написать в рекламке, что продукт мегазащищенный, и дать нормальный откат на сертификацию?
Не все так просто в крупных корпорациях. Дело в том, что LIBNNZ10.SO умеет собирать только Ганс из шестого отдела, а он сейчас в отпуске. При попытке разобраться в коде LIBNNZ11.SO поехала крыша у Билла из седьмого, а автор этой либы давно уволился. В данный момент ее переписывает с нуля отряд индусов.
А пока, дорогие пользователи, советуем вам отключать SELinux.
А пока, дорогие пользователи, советуем вам отключать SELinux.
> Отличный workaround! Попросту говоря, они предлагают
> вырубить SELinux нафиг.
Вообще говоря, в параноидальном режиме ядра иксы не запускаются,
несмотря на то, что входят в поставку.
Но это так... Мысли вслух.
---
Q51: Hарод, а вы стабильным софтом пользоваться не пробовали?
A51: Пробовали, но мэйнфреймы с дизель-генераторами не везде есть.
> вырубить SELinux нафиг.
Вообще говоря, в параноидальном режиме ядра иксы не запускаются,
несмотря на то, что входят в поставку.
Но это так... Мысли вслух.
---
Q51: Hарод, а вы стабильным софтом пользоваться не пробовали?
A51: Пробовали, но мэйнфреймы с дизель-генераторами не везде есть.
Просто пересобрать с правильными опциями и все.ну так и баг запостили недавно - 15 августа 2007
RHEL4 ему не подвержен, на RHEL4 у всех вроде давно работает с включённым SELinux
RHEL5 всего-то 5 месяцев как вышел
да и вообще, что ты хочешь?
мы вот ещё с oracle 8 на oracle 10 не всех клиентов перевели, некоторые даже и не планируют пока. а тут последний оракл на последнем RHEL чтоб сразу заработал
вон, в базовом релизе oracle 10g release 2* драйвер ODBC под win32 вообще не работал, и ничего, это не помешало выпустить его в свет
*) или всё-таки после патсчета 10.2.0.3? сорри, запамятовал.
Кстати, а как же всякие там Oracle Unbreakable Linux?если я ничего не пропустил, Oracle Unbreakable Linux == RHEL
не пропустил
Кстати, правильно называть Oracle Enterprise Linux - это название дистрибутива.
Oracle Unbreakable Linux - так называется, вроде, платное сопровождение OEL.
Кстати, правильно называть Oracle Enterprise Linux - это название дистрибутива.
Oracle Unbreakable Linux - так называется, вроде, платное сопровождение OEL.
> Вообще говоря, в параноидальном режиме ядра иксы не запускаются,
Откуда такие сведения?
У меня прекрасно запускаются X.org (причем замечу, с закрытым драйвером nvidia) в режиме Enforcing на дефолтной security policy от Debian (которая весьма параноидальная с отключенными опциями execmod, execmem, execheap и т.д. Могут, если захотят.
Откуда такие сведения?
У меня прекрасно запускаются X.org (причем замечу, с закрытым драйвером nvidia) в режиме Enforcing на дефолтной security policy от Debian (которая весьма параноидальная с отключенными опциями execmod, execmem, execheap и т.д. Могут, если захотят.
> ну так и баг запостили недавно - 15 августа 2007
Как так? В SELinux запрещено маппить сегменты памяти одновременно на WRITE и на EXEC. Так что эти либы не работают с самого первого релиза SELinux. Багу этому сто лет.
Как так? В SELinux запрещено маппить сегменты памяти одновременно на WRITE и на EXEC. Так что эти либы не работают с самого первого релиза SELinux. Багу этому сто лет.
Я одного не понял - с чего ты взял что Oracle должен работать с SELinux?
Oracle поддерживается только на RHEL(==OEL) и SLES, где SELinux, если не ошибаюсь, включён только для избранных демонов (так называемая "targeted policy").
P.S. Если где ошибаюсь - поправьте меня, пожалуйста.
Oracle поддерживается только на RHEL(==OEL) и SLES, где SELinux, если не ошибаюсь, включён только для избранных демонов (так называемая "targeted policy").
Никто никогда и не обещал что Оракл будет работать на произвольном дистрибутиве Linux. Оракл не на RHEL и не на SLES - без поддержки. Следовательно, сами себе злобные буратино.
For Red Hat Enterprise Linux 5, Red Hat supports a single policy, the targeted policy. Under the targeted policy, every subject and object runs in the unconfined_t domain except for the specific targeted daemons. Objects that are in the unconfined_t domain have no restrictions and fall back to using standard Linux security, that is, DAC. The daemons that are part of the targeted policy run in their own domains and are restricted in every operation they perform on the system.
P.S. Если где ошибаюсь - поправьте меня, пожалуйста.
RHEL(==OEL) и SLES, где SELinux, если не ошибаюсь, включён только для избранных демонов (так называемая "targeted policy").Не знаю как RHEL, но в Fedora он включен в Enforcing по-умолчанию.
Это ты к чему?
Охотно верю, но наверняка так же как и в RHEL - только для избранных демонов.
Читай что такое targeted policy и чем отличается от strict. В Fedora, как и в RHEL, сейчас только targeted.
SELinux policies в Fedora/RHEL
Охотно верю, но наверняка так же как и в RHEL - только для избранных демонов.
Читай что такое targeted policy и чем отличается от strict. В Fedora, как и в RHEL, сейчас только targeted.
SELinux policies в Fedora/RHEL
Это ты к чему?А, значит я перепутал понятия из разных плоскостей.
Охотно верю, но наверняка так же как и в RHEL - только для избранных демонов.
Читай что такое targeted policy и чем отличается от strict. В Fedora, как и в RHEL, сейчас только targeted.
>> Вообще говоря, в параноидальном режиме ядра иксы не запускаются,
> Откуда такие сведения?
Из документации, см. 14.3.5.
Иксам нужен /dev/mem.
В линуксе, разумеется, всё иначе, там и параноя, говорят, другая.
Непараноидальная.
---
...Я работаю антинаучным аферистом...
> Откуда такие сведения?
Из документации, см. 14.3.5.
Иксам нужен /dev/mem.
В линуксе, разумеется, всё иначе, там и параноя, говорят, другая.
Непараноидальная.
---
...Я работаю антинаучным аферистом...
> Из документации, см. 14.3.5.
Оригинально. Ты читаешь про SELinux в документации про FreeBSD? Документацию про SELinux не пробовал читать?
> Иксам нужен /dev/mem.
Ну, допустим, нужен. И что? X.org — доступ к /dev/mem разрешен. Остальным — запрещен. В этом и суть SELinux — по умолчанию запретить доступ, но некоторым, которым надо, — разрешить отдельные привелегии.
Оригинально. Ты читаешь про SELinux в документации про FreeBSD? Документацию про SELinux не пробовал читать?
> Иксам нужен /dev/mem.
Ну, допустим, нужен. И что? X.org — доступ к /dev/mem разрешен. Остальным — запрещен. В этом и суть SELinux — по умолчанию запретить доступ, но некоторым, которым надо, — разрешить отдельные привелегии.
> Оригинально.
Я в курсе.
> Ты читаешь про SELinux в документации про FreeBSD?
> Документацию про SELinux не пробовал читать?
Не-а. Я читаю, что пишут о SELinux, в самом SELinux пока не
настолько заинтересован.
> В этом и суть SELinux — по умолчанию запретить доступ, но
> некоторым, которым надо, — разрешить отдельные привелегии.
Надо будет подумать, насколько сложно замутить подобное на kauth...
---
...Я работаю антинаучным аферистом...
Я в курсе.
> Ты читаешь про SELinux в документации про FreeBSD?
> Документацию про SELinux не пробовал читать?
Не-а. Я читаю, что пишут о SELinux, в самом SELinux пока не
настолько заинтересован.
> В этом и суть SELinux — по умолчанию запретить доступ, но
> некоторым, которым надо, — разрешить отдельные привелегии.
Надо будет подумать, насколько сложно замутить подобное на kauth...
---
...Я работаю антинаучным аферистом...
некоторым, которым надо, — разрешить отдельные привелегии.а почему нельзя тогда ораклу разрешить привилегии?
а почему нельзя тогда ораклу разрешить привилегии?Потому что настоящий корпоративный продукт на мелочи не разменивается и требует привилегий не ниже, чем на исключительное владение Вселенной!
Оставить комментарий
Landstreicher
Сегодня поставил (точнее — настроил/включил) себе на комп SELinux.Порадовало, много сразу заработало без ошибок. Во всяком случае система нормально загрузилась, запустились X-ы (с драйвером от NVidia залогинило с правильным context. Подавляющее большинство программ, которыми я пользуюсь, заработало out-of-box. Однако обнаружились и неприятности.
1) не работает Java
2) не работают клиентские либы от Oracle:
execstack -c не помогает
3) не работает Skype
Очень странное поведение. Остальные хотя бы пишут почему. Впрочем, после неудивительно.
4) не работает libGL.so.1 он NVidia
Наблюдается интересная закономерность.
Почти все, что не работает, — закрытый софт. Open-source программы (за несколькими исключениями) работают нормально. Причем производители кладут на это х@й. Везде в tech support-е написано: такие ошибки возникают из-за SELinux, отключите SELinux полностью. Например:
http://forum.skype.com/lofiversion/index.php/t91504.html
http://www.oracle-base.com/articles/10g/OracleDB10gR2Install...
Нет бы пофиксить баги с своем приложении! Не вижу никаких способов, какими бы в клиентской Oracle-овой библиотеке можно было использовать исполнимый стек или генерировать код на лету.
Вобщем, вопрос к пользователям SELinux: кто умеет это лечить?
Баг с libGL.so.1 я пока вылечил так
С остальными ошибками пока не понял, чего делать. Включать allow_execmem или allow_execheap глобально не хочу — какой тогда смысл от SELinux?
Еще обнаружился очень неожиданный эффект — GHC (Glasgow Haskell Compiler) не работает под SELinux
http://hackage.haskell.org/trac/ghc/ticket/738 (баг помечен как fixed, но на самом деле он
до сих пор актуален)
http://haskell.org/haskellwiki/GHC:FAQ#GHC_and_SELinux
Причем, тут проблема посложнее. Если GHC еще можно запустить с помощью
то как быть со скомплированными программами?