Выкл списка блокировки avc что это
Выбор редакции
Топ-400 лучших фантастических.
Топ-25 лучших аниме про вампиров.
Топ-1000 лучших зарубежных.
5 опций в режиме разработчика Android, которые пригодятся всем
Режим разработчика – скрытый пакет настроек в системе Android. Это не root-права, включить его может каждый (при желании можно и отключить). Статья расскажет, как активировать этот режим, и немного о том, что в нем можно сделать.
Далеко не все знают о том, что в операционной системе Android есть скрытый набор настроек. Он называется «Для разработчиков» и находится в разделе «Система». Несмотря на то, что эти дополнительные настройки в основном нужны создателям ПО при тестировании приложений, воспользоваться ими могут и простые обыватели.
Как активировать режим разработчика на Android?
Когда вы в него зайдете, первое, что вы увидите, будет переключатель, с помощью которого можно активировать и деактивировать заданные настройки. Далее идет длинный список опций. Мы познакомимся только с пятью наиболее важными.
Что можно сделать в режиме разработчика на Android?
Указать фиктивное местоположениеЧтобы пользоваться этой опцией, необходимо иметь приложение, которое позволяет скрывать геолокационные данные (например, FakeGPS). После его установки зайдите в меню разработчика и выберите его в строке «Выбрать приложение для фиктивных местоположений».
Эта опция пригодится на те случаи, когда вам необходимо зайти на сайт с региональной блокировкой или установить приложение, не предназначенное для скачивания в стране вашего пребывания.
Выбрать Hi-Fi кодеки
В Android Oreo Google добавила поддержку Hi-Fi аудиокодеков. При использовании Bluetooth-гарнитуры или колонок у пользователя есть возможность переключаться между кодеками для повышения качества звука. По умолчанию указаны системные.
Принудительно открывать приложения в режиме сплит-экран
Мультиоконный режим официально поддерживается Android со времен Nougat. Однако некоторые программы отказываются запускаться в нем. Решить проблему можно с помощью активации «Изменение размера в многооконном режиме». После перезагрузки смартфона в сплит-экране будут доступны приложения, которые изначально в нем не отображались. Но как будет выглядеть их интерфейс и удобно ли будет ими пользоваться – неизвестно.
Повысить качество графики в тяжелых играх
Мощный смартфон станет еще мощнее, если воспользоваться опцией «Включить 4x MSAA». В результате вы получите более плавную отрисовку, однако дополнительная нагрузка скажется на батарее, и автономность устройства сильно сократится. Ограничить фоновые приложения.
Хотите еще больше производительности?
Найдите «Лимит фоновых процессов» и выберите количество приложений, которым будет позволено работать в фоновом режиме – максимум четыре, минимум ноль. Если указать последний вариант, все приложения будут останавливать работу сразу, как только вы закроете.
«Нажмут на ту же кнопку». Как россиян оставят без анонимности в интернете
Технический эксперт Лосев оценил возможность полной блокировки Tor в России
С двух флангов
Специалист по информационной безопасности, технический эксперт Роскомсвободы и Privacy Accelerator Вадим Лосев сообщил «Газете.Ru», что работу Tor пытаются сразу ограничить в нескольких направлениях. Как минимум, блокируются не только ресурсы для доступа к одноименному браузеру, но и сами сети Tor, которые обеспечивают выход в интернет.
«Начали блокировать сайт Tor Project, откуда можно скачать официальный браузер Tor. Как минимум с 3 декабря у многих пользователей в России фиксируются проблемы — им блокируют доступ в сеть Tor», — отметил специалист.
По его словам, Tor во многом лучше VPN-сервисов, но из-за этого привлекателен не только для поклонников анонимности.
«Tor дает сильно большую анонимность, чем VPN, — за счет того, что Tor контролируется разными операторами. В этой сети нет никого, кто понимал бы одновременно, кто пользователь и куда он идет», — пояснил Лосев.
Блокировки сети Tor проводили с помощью технических средств противодействия угрозам (ТСПУ), заявил в беседе с «Газетой.Ru» главный аналитик РАЭК (Российская ассоциация электронных коммуникаций) Карен Казарян.
«Изначально через ТСПУ была заблокирован список известных публичных узлов сети Tor. Это достаточно простое действие. Противодействий протоколу не применялось и подозреваю, что не будет», — добавил он.
Однако Казарян не исключил, что при усилении давления на Tor «может случиться всякое» вплоть до сбоев в работе рунета.
Лосев предположил, что текущие блокировки сети могут быть связаны с действиями Роскомнадзора, но пока подтверждений этому нет.
«Судя по тому, что блокируют в основном мобильные операторы, похоже на ТСПУ. Это предположение похоже на правду. Но что происходит точно, пока сказать не можем. Нужна реакция Роскомнадзора или исследование. Пока ни того, ни другого нет», — добавил он.
Лосев считает, что если другие провайдеры «нажмут на ту же кнопку, что в начале декабря нажали сотовые операторы», то доступ к Tor постепенно начнет исчезать во всей России.
Сторонники анонимности
Лосев отметил, что попытки блокировать Tor со стороны государства могут быть куда более активными, чем в случае с VPN-сервисами, так как вероятность случайного ущерба снижена. «VPN — это технология, которая много используется в бизнесе, банковском деле. Поэтому его блокировать надо аккуратнее, чтобы ничего не поломать», — пояснил он.
По словам эксперта, пользователи Tor считают ценностью саму онлайн-анонимность, так как остается все меньше возможностей получать и искать информацию, когда никто не записывает, что ты ищешь и смотришь.
«Есть люди, которые предпочитают делать через Tor запросы по медицинским диагнозам, так как не хотели бы от поисковиков получить привязки таких словосочетаний к их профилям. Или по другим личным и конфиденциальным вопросам, не для нарушения закона», — рассказал Лосев.
Казарян рассказал, что у браузера Tor есть три базовых применения. Первое — анонимный заход на ресурсы, в том числе те, которые предполагают анонимное использование. Это обычные сайты, не входящие в даркнет.
Второе — это сам даркнет и все, что с ним связано. Третье — это специфические тестирования ресурсов (пентест). Их проводят специалисты в области информационной безопасности.
По словам эксперта, текущие блокировки — лишь усложнение для тех, кто менее технически подкован. «Вероятно те, кто пользуется им для даркнета, спокойно найдут способы обхода», — уточнил он.
Итеративный процесс
По мнению Вадима Лосева, полностью заблокировать в интернете доступ к Tor невозможно.
«Это распределенная сеть. На 100% не получится, просто не сработает. Получится ли на 80%? Наверное, да. Сейчас оборудование для блокировок стало достаточно совершенным и производители занимаются этой задачей. Одна из таких — заблокировать Tor для большинства», — отметил эксперт.
Он также считает, что блокировка Tor может привести к постоянным попыткам обойти ограничения — стороны будут реагировать на действия друг друга, так как у сервиса очень технически грамотное сообщество.
«Они постоянно что-то придумывают. Логично предположить, что начнутся новые разработки и в ответ на сегодняшние блокировки», — сказал Лосев.
С ним согласен Карен Казарян. «Играть в кошки-мышки можно чрезвычайно долго. Есть интересанты того, чтобы поддерживать финансирование Tor для развития проекта, в том числе из даркнета. Если даже новые методы блокировок будет появляться, то будут находиться пути обхода», — уверен он.
Специалист Лосев сообщил, что в браузер Tor уже встроено как минимум два способа обхода блокировки. Первый из них — мосты. Это узел Tor, которого нет в открытом списке и у которого изменены настройки для соединения.
Согласно комментарию создателей Tor, мосты нужны пользователям в том числе с целью избежать использования публичного IP-адреса узла Tor. Публичные IP-адреса доступны в том числе регуляторам и могут быть заблокированы.
«Есть еще один способ — настройка Snowflake. Эта функция позволяет другому человеку через обычный браузер, типа Mozilla Firefox или Google Chrome, с помощью плагина зайти в Tor», — сообщил Лосев.
По его словам, система создает из обычного браузера прокси для Tor и предназначена для тех, у кого нет доступа к Tor. Они могут запросить доступ через так называемого волонтера.
8 декабря Роскомнадзор объявил о блокировке сайта Tor Project. Ресурс попал в Единый реестр запрещенной в России информации по решению Саратовского районного суда. Соответствующий вердикт был вынесен еще в декабре 2017 года.
В регуляторе объяснили блокировку тем, что на сайте можно найти «информацию, обеспечивающую работу средств, предоставляющих доступ к противоправному контенту».
Прячемся от Anti-P2P организаций
Тут сейчас конечно популярно стало шифровать разделы, для защити от масок-шоу и прочих представителей органов наказания. Но судя по информации из западных стран все не так жестко, и занимаются этим частные фирмы, представители правообладателей, просто подавая на вас в суд, без какого-либо выламывания дверей, наручников, снайперов по периметру квартала и пр. И у вас, скорее всего, будет куча времени физически уничтожить компьютер со всей информацией, не дожидаясь пока суд решит проверить его содержимое.
К тому же у вас может быть вполне легально на компьютере альбом в mp3 — потому что вы официально купили CD, все понимают что сам CD слушать в наше время никто не будет. Вы можете даже скачать альбом с торрентов, потому что CD у вас есть, но вы не знаете как его перевести в MP3. Что точно нельзя, так это раздавать, не важно как полученный, альбом.
Поэтому не важно что у вас там на зашифрованном разделе, если антипират зафиксирует раздачу с вашего IP, то у вас уже есть проблемы, и никто не будет разбираться в том что диск у вас заполнен якобы случайными данными. Может быть суд ничего и не докажет, но вам обеспечат такой геморрой, что вы сами согласитесь договориться полюбовно, и выплатите какую-то устраивающую обе стороны сумму. А милиция, наручники, понятые и прочие будут если вас хотят привлечь за использование нелицензионного софта (и насколько я понимаю они должны будут доказать то что вы извлекаете из этого коммерческую выгоду), что в случае Ubuntu не столь актуально, как выкачивание свежей серии любимого сериала.
Как вы понимаете торрент-трекер сдает всем подключившимся к ним IP адреса всех остальных участников, как только вы начали качать об этом узнают все, таковы уж принципы peer-2-peer. Так вот, чтобы не попасть на радары правообладателей нужно блокировать к ним и от них доступ. Для этого, в частности, есть разные, постоянно обновляющиеся, списки их IP адресов.
В Убунте можно поставить замечательный файрвол (или как его назвать?), конкретно под это заточенный: MoBlock. Он ежедневно обновляет список IP адресов которые как-то могут быть связаны правообладателями, и через iptables блокирует исходящий и входящий трафик с этими адресами.
Дописываем в /etc/apt/sources.list источник (далее все примеры для Ubuntu 9.10):
Ставим ключ источника:
Обновляемся:
sudo apt-get update
И ставим:
sudo aptitude install moblock blockcontrol mobloquer
Избавляемся от лишнего: десять функций, которые стоит отключить в вашем смартфоне прямо сейчас
Бесполезные и даже вредные штуки в смартфонах на Android, не приносящие ничего, кроме головной боли
Все производители Android-смартфонов и примкнувший к ним Google стараются причинить как можно больше пользы владельцам аппаратов. Для этого они постоянно добавляют или усовершенствуют функционал смартфона. Но действительно ли все эти функции несут только лишь пользу, а владельцу смартфона не нужно ничего дополнительно настраивать?
Увы, нет. Во-первых, разработчики далеко не всегда подробно рассказывают об особенностях этих полезных функций. Во-вторых, сами они иногда работают не так, как задумывали их создатели. В итоге смартфоны начинают тормозить, быстрее разряжаться и бесить своего владельца разными способами.
Мы собрали десять таких функций, вреда от которых куда больше, чем пользы.
1. Менеджеры процессов
Изначально менеджеры процессов, или, как их еще называют, Таск Киллеры (Task Killers), были созданы для ограничения фоновых процессов, что должно освобождать оперативную память и также экономить заряд смартфона. Иногда действительно может быть полезно, чтобы при заблокированном экране аппарат потреблял минимальное количество энергии, а во время запуска тяжелых игр или приложений весь остальной софт оказался бы автоматически закрыт.
Что не так с менеджерами процессов
Иногда они в своем рвении не знают меру, блокируют все подряд, или значительно задерживают появление оповещений от различных приложений. Ведь вы же не хотите пропустить сообщения или звонки в мессенджерах или информацию о письмах, пришедших на электронную почту?
Как отключить менеджер процессов в смартфоне Android
В зависимости от смартфона менеджер процессов может находиться в разных частях настроек и скрываться под разными названиями. К примеру, в смартфонах, работающих на процессоре MediaTek, часто встречается функция DuraSpeed, которая как раз и контролирует процессы. Не обязательно выключать контроль полностью — можно лишь ограничить его действие для наиболее нужных приложений, сдвинув ползунок настроек.
В других смартфонах менеджер процессор может находиться в меню настроек энергопотребления, имея название Контроль или что-то похожее. Такой менеджер может негативно влиять на производительность устройства, хотя и экономя при этом ресурсы аккумулятора.
2. Автообновление прошивки
Часто в смартфоне по умолчанию включена функция, которая обнаруживает новые прошивки, скачивает, и в некоторых случаях даже автоматически устанавливает их. Пользователю нет нужды следить за обновлениями, а в случае появления уязвимостей и «дыр» в прошивке их легко ликвидировать.
Что не так с автообновлением
Не все новые прошивки могут похвастаться стабильной работой, и иногда пользователи жалеют об их установке, а вернуть старую прошивку обычно сложно или невозможно. Так что, не надо спешить устанавливать новую прошивку, а лучше подождать и почитать отзывы первых ее пользователей специализированных форумах
Как выключить автообновление прошивки на смартфоне Android
Отключить автообновление в зависимости от смартфона можно примерно следующим образом:
Находим в настройках смартфона пункты Система/Обновление системы/Настройки/Автоматически загрузить пакет обновления/Выключить автообновление.
3. Автообновление приложений в Google Play
Здесь все так же, как и в случае с автообновлением прошивки, только разница в том, что для различного софта, как правило, обновления выходят чаще, поэтому нужно больше времени для того, чтобы отследить все изменения в приложениях и играх.
Что не так с автообновлением приложений в Google Play
Помимо того, что нововведения тоже не всегда бывают удачными, есть и еще один нюанс. Часть приложений может обновляться настолько часто, что это серьезно повлияет на время работы Android-устройства
Как выключить автообновление приложений в Google Play на смартфоне Android
Заходим в магазин приложений Google Play, открываем вкладку с настройками и в пункте «Автообновление приложений» выставляем значение «Никогда» или «Только через Wi-Fi».
Заодно выключаем автоматическое воспроизведение видео, чтобы при присмотре информации о приложении видеоролики включались только по требованию пользователя, и это тоже сэкономит как заряд, так и интернет-трафик.
4. Реклама на смартфонах Xiaomi и других устройствах
Время от времени на рынок выходят крайне интересные смартфоны, которые стоят куда дешевле, чем модели конкурентов с похожими характеристиками. Особенно славится этим компания Xiaomi. Но как, практически не получая прибыль от их продажи, этой компании тогда удается зарабатывать?
Ответ кроется в встроенной в прошивку рекламе, которая отображается в предустановленном софте.
Что не так с рекламой на смартфонах
Главным образом то, что она бесит. Но есть и кое-что похуже. Малоизвестные производители дешевых китайских смартфонов не брезгуют вшивать в программное обеспечение своих смартфонов не только рекламу, но и вирусы. И вот тогда реклама и «самопроизвольная» установка всяких приложений на смартфон может стать самой невинной из ваших проблем.
Как убрать рекламу на смартфоне Xiaomi и других производителей
К счастью, солидные производители смартфонов (а Xiaomi, безусловно, к ним относится) не только тщательно следят за тем, чтобы в их прошивках не было вредоносного стороннего кода, но и оставляют пользователям возможность отключить рекламу стандартными средствами прошивки. Правда, процесс полного отключения занимает далеко не одно действие.
Вот целый список настроек, отвечающих за рекламную часть. Все их придется обойти и отключить:
Что делать с Android-смартфонами других брендов? Тут все очень индивидуально. Где-то, например, в смартфонах Tecno, реклама в меню приложений отключается просто — путем нажатия на 3 точки в верхней части экрана и выбора соответствующего пункта.
А вот в смартфонах Fly раньше нужно было устанавливать сторонний лаунчер, чтобы не видеть ничего лишнего. В совсем сложных случаях, когда способ отключения рекламы не гуглится или не работает, можно установить софт Adguard, блокирующий абсолютно все, что связано с рекламой.
5. Неиспользуемые частоты LTE
Смартфоны могут поддерживать огромное количество диапазонов LTE, что на самом деле полезно, если вы путешествуете по миру и используете заграницей СИМ-карты местных операторов. Таким образом, гарантируется работа быстрого интернета, где бы вы не находились.
Что не так с частотами LTE
Сканирование лишних частот — лишние затраты энергии для вашего аппарата. Отключите неиспользуемые частоты, и ваш Android-смартфон перестанет заниматься ерундой и проработает чуть дольше на одном заряде.
Как отключить неиспользуемые частоты LTE на смартфоне Android
Это возможно не всегда. Способ отключения работает только на девайсах с процессором MTK, но в части устройств инженерное меню просто вырезано из прошивки.
При проблемах со связью рекомендуется заново включить ранее отключенные частоты, либо поочередно включать каждую частоту, методом исключения выясняя, какой диапазон LTE необходим для работы сети.
В случае со смартфоном на чипсете Qualcomm Snapdragon об отключении частот лучше забыть: это долго, сложно и в большинстве случаев невозможно без root-прав.
6. Автозамена текста
Под автозаменой подразумевается автоматическое исправление ошибок, которые пользователь может совершить во время печатания текста. Иногда ее называют T9, по аналогии со способом быстрого набора текста в кнопочных телефонах.
Что не так с автозаменой текста
Казалось бы, это полезная функция, которая поможет избежать неловких ситуаций, но на деле нередко получается совсем наоборот, и вместо задуманного слова система иногда выдает нечто, кардинально отличающееся по значению, и не всегда приличное.
Как отключить автозамену на смартфоне Android
7. Предустановленные приложения в Android-смартфоне
К сервисам от Google в смартфонах мы все давно привыкли, как привычным стал и тот факт, что весь предустановленный софт от знаменитой компании удалить нельзя, во всяком случае, стандартными способами. Также далеко не всегда удаляются и фирменные приложения от производителей, но иногда также в прошивках встречаются игры и приложения, польза которых выглядит сомнительной.
Что не так с предустановленными приложениями
Дело не только в том, что они занимают место в памяти смартфона. Когда вы устанавливаете приложения, вы сами определяете, какие разрешения им дать. В случае же предустановки же набор этих разрешений определяет производитель, и не факт, что вам понравится этот набор. Если же мы говорим о ультрадешевых смартфонах малоизвестных производителей, то не исключен и вариант со встраиванием вредоносного кода.
Как удалить предустановленные приложения в смартфоне на Android
8. Анимация переходов
Не несущая особой смысловой нагрузки анимация в прошивке смартфона, которая делает операционную систему более красивой, добавляя приятные на вид иконки загрузки и эффекты перелистывания страниц, не всегда полезна для самого устройства.
Что не так с анимацией переходов
Она создает ненужную нагрузку и тормозит работу операционной системы. Это заметно, если у вас бюджетный или ультрабюджетный смартфон, а также некогда мощный аппарат, железо которого успело устареть.
Как отключить анимацию в смартфоне на Android
Для отключения анимации необходимо открыть настройки разработчика. В большинстве Android-смартфонов это можно сделать, зайдя в основные настройки, затем выбрав пункт «Система/сведения о ПО» и кликнув 5 раз на надпись «Номер сборки». После того, как появится сообщение «Поздравляем, вы стали разработчиком!», в настройках появится дополнительный пункт «Для разработчиков» — он-то нам и нужен. Далее ищем пункты «Анимация окон» и «Анимация переходов» и выставляем значение «Без анимации».
9. Частые уведомления от некоторых приложений для Android
Есть такие приложения и игры, которые не хочется удалять, или которые невозможно удалить стандартным способом. При этом некоторый софт может быть слишком назойливым в плане отправки уведомлений, оповещая о далеко не всегда полезной информации — например, что появилась скидка на ненужную вещь, или о том, что пора продолжить игру.
Что не так с уведомлениями на смартфоне
Они просто бесят и отвлекают внимание.
Как отключить уведомления от приложений в смартфоне на Android
Нередко оповещения позволено отключить в настройках самого приложения, но если подобных настроек в нем нет, придется воспользоваться средствами операционной системы. Для выключения действуем так:
10. Отслеживание предпочтений в Google Chrome и в других браузерах
Сайты, на которые вы заходите, склонны собирать данные о ваших предпочтениях, чтобы показывать вам рекламу на основе поисковых запросов и посещаемых страниц. Изначально, как правило, в браузерах выключен запрет отслеживания, и это единственная функция из всех, что мы перечислили, которую, наоборот, стоит включить, а не выключить.
Что не так с отслеживанием предпочтений
Да, с одной стороны вы лишаетесь показа потенциально интересных вам товаров и услуг. С другой стороны, вы избавляетесь и от неприятного чувства, что кто-то отслеживает каждый ваш шаг. Конечно, это иллюзия ложная, так как смартфоны, как известно, подслушивают наши разговоры, подглядывают за текстом, который мы набираем и делают еще массу не очень красивых вещей. Но с этим бороться крайне сложно, а вот отслеживание сбора данных в браузерах отключить нам по силам.
Как запретить отслеживание посещенных сайтов в Google Chrome
Включается запрет отслеживания в Google Chrome следующим образом:
Для браузера Firefox тоже есть похожая инструкция:
Вот и все. Теперь вы управляете смартфоном, а не он вами.
Что такое SELinux? Настройка, включение и отключение
SELinux, или Security Enhanced Linux, — это продвинутый механизм управления доступом, разработанный Агентством национальной безопасности (АНБ) США для предотвращения злонамеренных вторжений. Он реализует мандатную модель управления доступом (MAC — Mandatory Access control) в дополнение к уже существующей в Linux дискреционной модели (DAC — Discretionary Access Control), то есть разрешениям на чтение, запись, выполнение.
У SELinux есть три режима работы:
1. Enforcing — ограничение доступа в соответствии с политикой. Запрещено все, что не разрешено в явном виде. Режим по умолчанию.
2. Permissive — ведёт лог действий, нарушающих политику, которые в режиме enforcing были бы запрещены, но не запрещает сами действия.
3. Disabled — полное отключение SELinux.
Изменение режима SELinux
Файл конфигурации по умолчанию, где можно изменять режим работы — /etc/selinux/config.
Чтобы узнать текущий режим работы, нужно выполнить следующую команду (для работы с SELinux необходимы root-привилегии, поэтому здесь и далее приводятся команды для root-пользователя):
Изменение режима работы на permissive:
и наоборот, на enforcing:
Полностью отключить SELinux можно только через файл конфигурации. Откройте его любым текстовым редактором
и измените параметр SELINUX на disabled:
После чего перезагрузите систему
Политики SELinux
В основе структуры безопасности SELinux лежат политики. Политика — это набор правил, определяющих ограничения и права доступа для всего, что есть в системе. Под “всем” в данном случае понимаются пользователи, роли, процессы и файлы. Политика определяет связь этих категорий друг с другом.
Для понимания политик необходимо понимание базовых терминов. Политика SELinux определяет доступ пользователей к ролям, доступ ролей к доменам и доступ доменов к типам. Разберём значение этих терминов.
Пользователи
В SELinux есть набор предварительно заданных пользователей. Каждая стандартная учётная запись пользователя Linux соответствует одному или нескольким пользователям SELinux.
В Linux пользователи запускают процессы. Это может быть пользователь ivan, открывший документ в редакторе vi (учётная запись ivan запускает процесс vi) или служебная учётная запись, запустившая демон httpd. В SELinux процесс (демон или запущенная программа) называется субъектом.
Роли
Роль определяет, какие пользователи могут осуществлять доступ к заданному процессу. Роли не тождественны группам, они больше похожи на фильтры: пользователь может принадлежать к роли в любое время, если роль это позволяет. Определение роли в политике безопасности SELinux задаёт пользователей, имеющих доступ к этой роли. Роли используются потому, что один из элементов SELinux реализует ролевую модель управления доступом (RBAC — Role Based Access Control).
Субъекты и объекты
Субъект — это процесс, который может потенциально влиять на объект.
Объектом в SELinux называется все, над чем можно выполнять какие-либо действия. Это может быть файл, директория, порт, tcp-сокет, курсор, X-сервер. Действия, которые субъект может выполнить над объектом, являются разрешениями субъекта.
Домены
Домен — это контекст, в котором может работать субъект SELinux (процесс). Этот контекст представляет собой как бы оболочку вокруг субъекта, которая сообщает процессу, что он может и не может делать. Например, домен определяет, какие файлы, директории, ссылки, устройства или порты доступны для субъекта.
Типы
Тип — это контекст для файла, который устанавливает предназначение файла. Например, контекст файла может указывать, что это веб-страница, или что файл находится в директории /etc, или что владелец этого файла — конкретный пользователь. В терминах SELinux контекст файла называется его типом.
Политика SELinux определяет доступ пользователей к ролям, доступ ролей к доменам и доступ доменов к типам. Сначала пользователь должен быть авторизован для получения роли, затем роль должна быть авторизована для доступа к доменам. Домен, в свою очередь, может осуществлять доступ только к определенным типам файлов.
Механизм, при котором процесс, запущенный в определенном домене, может осуществлять только определенные действия над определенными типами объектов, называется принудительным присвоением типов (Type Enforcement — TE).
Работа политики SELinux
Политика SELinux не заменяет традиционную дискреционную модель управления доступом (DAC). Если правило DAC запрещает пользователю доступ к файлу, правила политики SELinux не будут применяться, потому что первая линия обороны уже заблокировала доступ. SELinux начинает работать уже после DAC.
Результат будет выглядеть примерно следующим образом:
Можно заметить, что файлы связаны с различными приложениями:
Следующая команда показывает активную политику:
Изменение переключателей SELinux
Несмотря на то, что прочитать файлы модулей политики невозможно, есть простой способ их настройки. Она осуществляется при помощи булевых переключателей SELinux (boolean).
Чтобы разобраться, как они работают, запустим команду semanage с опцией boolean:
Если у вас будет ошибка
То нужно установить policycoreutils-python
Теперь запускаем semanage с опцией boolean
Будет выведен список различных переключателей, которые можно включить или выключить, краткое описание их функций и текущее состояние:
Первый пункт в этом списке позволяет демону FTP осуществлять доступ к домашним директориям пользователей. В данный момент переключатель выключен (off), то есть доступ запрещен.
Для изменения значений используется команда setsebool. В качестве примера давайте разрешим анонимный доступ FTP на запись. Проверим состояние переключателя командой getsebool:
Она покажет, что в данный момент переключатель выключен:
Изменим значение переключателя и включим его:
Снова проверим состояние переключателя, оно должно поменяться:
Теперь после перезагрузки изменения не потеряются
Заключение
Мы рассмотрели базовые принципы работы SELinux, включение системы и режимы её работы, показали пример обеспечения безопасности системы. Также была разобрана работа политики безопасности и ее настройка при помощи булевых переключателей. Более подробную информацию о SELinux можно найти в соответствующих man-страницах.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.