Why don't we have a compromise policy, where interactive users are not restricted except their browsers? System daemons would be restricted of course.<br>Another suggestion, is when something breaks because of selinux, and I get a balloon about it. However, I am unable to modify selinux policy to "correctly" fix that problem. The suggestion is to allow the user a mechanism to launch the affected program in selinux-free mode ( like launch as administrator from the Vista world!). Basically, selinux builds very tight walls around the system, the end user, needs a hammer to break some of these walls to get his work done. If we don't provide the hammer, he'll end up turnning it off completely!<br>
<br><div class="gmail_quote">On Thu, Jul 3, 2008 at 11:29 AM, Alan Cox <<a href="mailto:alan@redhat.com">alan@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Wed, Jul 02, 2008 at 05:20:50PM -0400, Jon Masters wrote:<br>
> I think the only way to "fix" it for the foreseeable future is to<br>
> simplify policy, so that only a very limited set of services are<br>
> confined. Then, when the graphical tools and user experience have<br>
> eventually caught up, it'll be trivial to switch policy again.<br>
<br>
</div>How will you know you have "fixed" it if you have the bits in question<br>
turned off - you won't. You have no meaningful way to make progress.<br>
<br>
Sorry if I sound fed up of all of this but I spent 9 months fighting people<br>
years back to get firewalling enabled by default, and that had all the same<br>
arguments. Today nobody (even Microsoft) would propose otherwise.<br>
<br>
This is the same thing ..<br>
<br>
As to Setroubleshoot it would be nicer if it spoke more "end user" ese and<br>
could prompt/fix common mislabelling (eg html files)<br>
<div><div></div><div class="Wj3C7c"><br>
--<br>
fedora-devel-list mailing list<br>
<a href="mailto:fedora-devel-list@redhat.com">fedora-devel-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/fedora-devel-list" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-devel-list</a><br>
</div></div></blockquote></div><br>