Ahoj,
se mi zdá, že LSM je framework kernelu pro psaní security modulů do jádra (tedy i SELinux) a je to tedy něco jiného než modularita SELinux Reference policy.
Jinak docela pěkné intro do SELinuxu.
SELinux nedoporucuji a na desktop v zadnem pripade, PAX, GrSec, Medusa, NX bit a je po starostech, mozna jeste nekdo muze uvazovat o patchich do cstdlib, pridavajicich automaticky boundary checking, sice to znatelne snizi vykon, ale je to narozdil od SELinux nemainstreamove reseni, ktere tedy bude znat mensina utocniku a jen minimum z teto mensiny to cele dokaze obejit. Nadruhou stranu si myslim, ze pokud se vam nekomu zavede rootkit do interrupt table, ze jej nikdy v zivote nenajdete, takze asi tak, ...
PAX ma zmysel tak na 64-bit stroji, takze dnes uz neni problem vacsinou. S tou Medusou si zaspal dobu - niekolko rokov. GRSecurity je fajn a lahko konfigurovatelne dokonca aj s RBAC, takze sa "na desktop" IMHO "hodi asi najviac". SELinux je vsak lepsi ale nevhodny pre paranoikov. Ja osobne co sa tyka tazkeho kalibru odporucam RSBAC.
Nezaspal jsem dobu, vsechny security patche do kernelu, ktere jsem uvedl, jsou velmi zastarale, vy si mozna volite dle toho, co je vice zastarale ci mene zastarale, ja ne. Mozna to vyzni neuveritelne, ale stale spousta serveru uziva Linux rady 2.4 a to prave z bezpecnostnich duvodu, rada 2.4 ma totiz vetsinu chyb jiz zalatanych a na 2.6 se prechazi az kdyz je to nevyhnutelne kvuli podpore HW. Radovi admini maji deb* a ridi se heslem "Never touch the running server".
Reagoval som na prispevok ktory z ktoreho to dost zavanalo, ze sa momentalne bavime o desktope, kde je IMHO 2.4 uz zo spominanych HW dovodov dost neprakticka a tym padom si stojim za svojim, ze je Medusa uz dost mimo.
PS: ja sam som debianista, takze som v podstate tiez zastanca vami spominaneho hesla: "Never touch the running server". Zas na druhej strane pokrok nezastavite a hold medusa to uz ma za sebou a stava sa historiou - hoc velmi kvalitnou.
PPS: povinneho citania podobneho razenia som mal pri pisani DP az az, takze netreba, aj ked som si to rad prebehol :)