Se tem alguma coisa que me dá nos nervos é quando alguém diz aqui no forum: "basta desabilitar o SELinux". Pra esses que ficam esbarrando em permissões, eu tenho uma dica melhor. Basta digitar na linha de comando, como root, "chmod 777 / -R". Nunca mais alguém terá problema de permissão¹.

Para quem acha que o SELinux está de graça no sistema e não tem nenhuma funcionalidade, sugiro duas pequenas leituras:
http://www.nsa.gov/selinux/info/faq.cfm e
http://www.lurking-grue.org/selinuxHOWTO.html

Bem, mas afinal de contas, quem percisa de segurança?

Será que é à toa que o logwatch, mail interno, selinux e um monte de tranqueira está habilitada só pra infernizar o pobre usuário comum, impedindo-o de entrar no mundo do linux. Deve ser, né?

Eis aqui um exemplo do que o meu root recebe todos os dias no seu email.
# mail
Mail version 8.1 6/6/93. Type ? for help.
"/var/spool/mail/root": 5 messages 5 new
>N 1 root@esparta.olimpo Tue Jul 11 02:25 21/746 "status report from ddclient@esparta.olimpo"
N 2 root@esparta.olimpo Tue Jul 11 04:00 26/1043 "Cron <root@esparta> /usr/bin/avgupdate -n --no-daemons --priority 2 --online"
N 3 logwatch@esparta.oli Tue Jul 11 04:02 125/4449 "Logwatch for esparta.olimpo (Linux)"
N 4 root@esparta.olimpo Tue Jul 11 04:06 25/940 "Cron <root@esparta> run-parts /etc/cron.daily"
N 5 root@esparta.olimpo Tue Jul 11 06:22 401/280276 "Cron <root@esparta> (FILENAME=/root/.avg7/testresults/testreport.`date +%s`; /u"

O primeiro: atualização do DynDNS, se foi feito ou nao com sucesso.
O segundo: atualização do Free AVG, que busca virus de windows no sistema e nos anexos de email.
O terceiro: tudo que aconteceu no sistema, quantas vezes o sistema inicializou, o que o cron executou, quem se logou, quem usou su ou sudo, que rpms foram instalados/atualizados, tentativas de invasão, uso do estatisticas do servidor de emails, uso do disco, etc.
O quarto: atualização da hora com o relógio nuclear do Observatório Nacional, ntp.on.br
O quinto: o report da varredura do Free AVG.

Enquanto os sistemas Windows estão caminhando para as políticas do Linux, não é possível conceber que os usuários do Linux caminhem para as políticas do Windows.

¹Para quem não percebeu, isso é a coisa mais absurda que alguém pode fazer para resolver o problema de permissões num linux.
_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

Usuário Doméstico Funcional (com acesso remoto): Samba, SSH, FTP, su, sudo, flash, mplayer, amsn, gravador de dvd, usbflash, mount restrito pelo fstab, o que mais?


_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

Mythus,
valeu pela dica meu velho!!
eu mesmo tinha na cabeça isso de que o SELinux so atrapalha...
valeu mesmo!

Existe uma filosofia no linux, a KIS (Keep It Simple). Cada ferramenta faz apenas uma função. Isso com o tempo foi mudando. Hoje, grandes "gavetões" de botões e aplicações estão "dificultando" as configurações, mas pelo menos o sistema de segurança do SELinux ainda mantém o termo "segurança" todo concatenado, apesar de ferir o KIS, mexendo no sistema inteiro.

Mas, não há de quê! Na verdade estou fazendo um "favor" a mim mesmo, postando isso aqui.
_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

chmod 777 / -R

isso ai eh pra q??

sou noob mermo em linux, mas to tentando aprender.

markysnr escreveu:

chmod 777 / -R isso ai eh pra q?? sou noob mermo em linux, mas to tentando aprender.

Rapaz... QUEM FOI O ASSASINO QUE MANDOU DAR UM COMANDO DESSES?

Isso foi aqui Mytus? Se foi pelo amor de Deus me mostra o topico para que eu corriga isso.

markysnr...

esse comando da Permissão total no diretório / (raiz) dizendo que qualquer usuário comum pode apagar qualquer coisa no sistema.

Nunca faça uma coisa dessas ok?

Em relação ao Selinux, por ser uma coisa nova o povo tem medo de mexer nele, e usuário final não precisa logo no inicio se preocupar em mexer no selinux pois é muito complicado. Abraços.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

jasonn amigao, esse comando (chmod 777 / -R ) da permição total ao usuario comuns. certo até ai ta blz... mas se quiser disfazer essa opção de alguma maquina o que devo fazer ??

valew

ah!! O Festival foi um espetaculo viu... PARABÉNS!

jasonn escreveu:

Rapaz... QUEM FOI O ASSASINO QUE MANDOU DAR UM COMANDO DESSES? Isso foi aqui Mytus? Se foi pelo amor de Deus me mostra o topico para que eu corriga isso. markysnr... esse comando da Permissão total no diretório / (raiz) dizendo que qualquer usuário comum pode apagar qualquer coisa no sistema.

O assassino fui eu mesmo Basta ler este mesmo tópico que você vai ver onde escrevi e em que tom. O markysnr, provavelmente, ao ler deve ter percebido que aquele exemplo era algo como "a coisa mais absurda que alguém pode fazer para resolver o problema de permissões num linux". Eu apenas omiti o que era, mas ele, que é um rapaz bastante inteligente, percebeu o tom de piada e ficou curioso para saber do que se tratava. E se você achar engraçado, pode rir também.

Mas a verdade é que eu e você temos um ponto de vista bem diferente em relação à segurança. Como o próprio markysnr percebeu no topico do Flash, o SElinux pode ser muito mais amistoso se ficar em PERMISSIVE MODE, e para quem quiser deixar o linux mais seguro, pode deixá-lo em ENFORCED com as configurações que coloquei aqui.

Se "para o usuário comum" o SELinux é inútil e desnecessário como você defende, eu posso também dizer que o sistema de permissões é inútil para o "para o usuário comum" que é dono da máquina, que só a sua família mexe, que todos podem fazer o que quiser porque todos têm a senha de root e, sinceramente, um "chmod 777 / -R", numa situação dessas, não faz a menor diferença.

Confesso que quando defendo o uso do SELinux (tudo, menos disable), é um zelo de quem quer ser precavido, para quem acredita que política de segurança não é algo a ser posto de lado. Quanto a maturidade do SELinux, no Fedora, ele passou a ser funcional a partir da versão 3 e já era instalado por padrão. Na versão 2 já existia, mas havia problemas com upgrade de kernel. Estamos caminhando para o FC6 com SELinux, acredito que isso já é prova de maturidade e não é nada "novo".

Convido a todos para que possam novamente esse tópico que foi, inclusive, uma das minha últimas boas contribuições. :)
_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

Então por que você não cria um artigo sobre o SElinux para o fedora core ? Faça isso então, mostre o funcionanmento, sua tese sobre ele para os usuários. O que não podemos fazer é deixar um usuário que esta migrando hoje para linux se matar para configurar um SElinux sem ao menos saber o que é um 777 755 ou rwx r-- . Conto com a sua ajuda para isso. Abraços.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

Mythus escreveu:

Se tem alguma coisa que me dá nos nervos é quando alguém diz aqui no forum: "basta desabilitar o SELinux". Pra esses que ficam esbarrando em permissões, eu tenho uma dica melhor. Basta digitar na linha de comando, como root, "chmod 777 / -R". Nunca mais alguém terá problema de permissão."

tah ai jasonn....

eita q o negócio aki tah phoda!

uma dúvida sobre flash e ja deu o gás na conversa sobre SELinux.

jasonn e mythus. valeu ai a ajuda de vcs. consegui geral instalar o flash e agora to entendendo um pouco mais sobre o SELinux.

Concordo em não desabilitar o SELinux, e sim ensinar os usuários q estao começando agora a entendê-lo e usá-lo.

valeu ai!

to dando o maior gás aki no meu FC5. minha outra dúvida era sobre o FC5 enxergar os arquivos dos meus outros hds, q estao em ntfs. mas ja dei uma cutucada na net e consegui fazer isso.

valeu!!!

Se cada um quizer habilitar e usar o Selinux que usem horas.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

Jasonn, mas isso já existe. Já apontei o link do faq e do Howto lá em cima.

Veja só um trechinho do texto do howto, como é direcionado:

Citação:

1.4. policy source directory for Fedora users On Debian, the policy source directory is /etc/selinux. On Fedora it is /etc/security/selinux/src/policy. In this document I refer to the Debian policy source directory, so if you're a Fedora user, substitute /etc/selinux with /etc/security/selinux/src/policy.

O máximo que eu poderia fazer era uma tradução do que já foi escrito. Quanto a minha "tese", ela já está registrada nesse post logo nas primeiras entradas, inclusive com o SELinux completo. Basta ler.
_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

Jeferson_Fedora escreveu:

jasonn amigao, esse comando (chmod 777 / -R ) da permição total ao usuario comuns. certo até ai ta blz... mas se quiser disfazer essa opção de alguma maquina o que devo fazer ??

Extraido do man rpm: rpm --setperms PACKAGE_NAME

Isso deve ser feito para cada pacote rpm instalado no computador. Para obter a lista de pacotes: rpm -qa

Para os arquivos que não vieram de rpm, você deverá ajustar a permição manualmente.
_________________
Abraços,
_________________
Não é programador; não é hacker
Formado em Direito pela UFPb
Usuário de Linux em tempo integral
Linux User Number: 174012

Estava tentando configurar o Samba em meu PC, mas sempre esbarrava em permissoes. Dai comecei a procurar na net um solucao para essas permissoes.
Encontrei um topico q falava para eu executar o comando: "chmod 777/ -R" q nunca mais teria problema com as permissoes. Executei-o sem ler o resto do artigo.
Agora nao consigo entrar como ROOT.

Se alguem souber concerto essa "falha", por favor me ajude...

Grato