<br><br><div><span class="gmail_quote">On 2/24/06, <b class="gmail_sendername">Robert Nichols</b> <<a href="mailto:rnicholsNOSPAM@comcast.net">rnicholsNOSPAM@comcast.net</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Benjy Grogan wrote:<br>> I'm in favor of SELinux.  I've heard that when writing these policies<br>> the developers have actually improved the applications themselves.  They<br>> realized that an application didn't really need this or that permission
<br>> and so they adjusted the code and wrote an even better policy.  SELinux<br>> seems to have some use in debugging software.<br>><br>> If people are afraid of SELinux I think what's need is more education on
<br>> it.  more "layman" articles getting across a few of the "ideas" behind<br>> SELinux.<br><br>The problem with SELinux is that anyone whose use of a computer involves<br>more than clicking on icons is pretty much forced to become an SELinux
<br>guru.  Simple things like "ping xxx >$HOME/ping.result" failing because<br>ping isn't allowed to write to user_home_t don't make people big fans<br>of SELinux.  I fought with SELinux for quite a while, left it in
<br>permissive mode, ran audit2allow on whatever complaints turned up, and<br>resolved to use enforcing mode if I could ever get through a week<br>without seeing more "AVC ... denied" complaints.  Never made it.
<br>Finally gave up, deleted the ACLs from the file systems, and added<br>"selinux=0" as a kernel parameter.<br></blockquote></div><br>Lots of work to be done.  Security must be taken seriously.  Higher-level functionality will hopefully make SELinux easier to use in future.  Can't compromise on security.  Powerful security must become mainstream.
<br><br>Benjy<br>