<div dir="ltr"><br><br><div class="gmail_quote">2008/7/22 Arthur Pemberton <<a href="mailto:pemboa@gmail.com">pemboa@gmail.com</a>>:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
2008/7/22 David Nielsen <<a href="mailto:gnomeuser@gmail.com">gnomeuser@gmail.com</a>>:<br>
<div class="Ih2E3d">><br>
><br>
> 2008/7/22 max <<a href="mailto:maximilianbianco@gmail.com">maximilianbianco@gmail.com</a>>:<br>
</div>[ snip ]<br>
<div class="Ih2E3d">>> Don't implement it or if you do make that nonsense optional and not the<br>
>> default. Everyone wants things to be simpler, there is no easy way out.<br>
>> System security is not something simple.  Developer's continue to indulge in<br>
>> running permissive or turning SELinux off entirely, all this accomplishes is<br>
>> to make it take longer to establish good policy, SELinux isn't going<br>
>> anywhere. People need to get used to it. There are a number of tools<br>
>> available to troubleshoot any issue but nobody seems to want to use any of<br>
>> them. The kerneloops for SELinux is a good idea but it isn't going to<br>
>> instantly solve anyone's problems. All those reports still have to sorted<br>
>> and reviewed to determine how to fix policy to suit the majority of users,<br>
>> it still may take weeks to sort it all out. People often are not even trying<br>
>> the fixes suggested by SETroubleshoot. SETroubleshoot does a good job of<br>
>> suggesting fixes. Audit2allow is great for this until upstream can figure<br>
>> out how to work it out. All this talk of allow/deny buttons is absolute<br>
>> insanity and it will ruin one of the few useful security tools that exist.<br><br>
</div>What are you responding to?</blockquote><div><br>The above seems to indicate to me an opinion that the current solutions are sufficient, though could be expanded with automated gathering of information akin. Every SELinux prompt I have seen so far suggests terminal usage instead of a direct "click to implement this" solution. I merely point out cases where this is not sufficient. If I read this wrong I apologize, I stand by my opinion that SELinux should be useful even in cases where there are holes in the policy, currently it is not. If we want to grab a higher market share we do need to design solutions to encompass Aunt Tilly type people, at least every solution we deploy by default such as SELinux.<br>
</div></div></div>