Eric6d ago
I really need to dive into #SELinux and #AppArmor at some point. For the stuff I host for myself in VMs, I have it disabled for my own convenience, but I know I should have these protections enabled. Anyone have any good guides for beginners? While you're at it, I could probably use some good #CrowdSec beginner resources as well.
ferricoxideMay 27
Automating the installation of a #Windows package that is really not designed for multi-user installation is decidedly un-fun. It's especially unfun when:

1. The setup.exe doesn't prompt for a multi-user vs "self" install

2. The setup.exe absolutely refuses to install to paths with spaces in their name (you know, like C:\Program Files\<APPLICATION_NAME>

Ultimately had to kludge around the limitations by leveraging temporary #NTFS filesystem-junctions (what we, who normally only dick with #Linux, might call "symbolic links").

1. Create junction

2. Point the setup.exe at the junction-path

3. Once the setup.exe completes, nuke the junction-path

4. Update the registry-entries that tell Windows where to find the application's uninstaller

The #Linux installation wasn't great, either, but the "installer" limitations were marginally less-kludgey to work around. The software doesn't come as an #RPM, so, it didn't come with any #SELinux rules (on the plus side of not being an RPM, I didn't have to worry if it used a signature or file-digest algorithms that weren't FIPS-compatible). Since the installation-targets are SELinux (and #FIPS!) enabled, had to add further logic to the automation to set up the proper SELinux contexts. We'll see how well that works, once the whitelist daemon is activated…

But still, "ugh. I hate Windows".
HabrMay 27

Root в контейнере — это root на хосте? Разбираю особенности прав доступов в контейнерах Docker/Podman

Если назначить файлу владельца root на хосте — будет ли это тот же самый root внутри контейнера? Если на хосте существует пользователь gtosss — можно ли переключиться на него внутри контейнера и получить доступ к файлу? Если создать пользователя gtosss внутри контейнера и выдать ему права на файл — сможет ли хост обратиться к этому файлу под таким же пользователем? Большинство разработчиков знают, что контейнеры изолируют процессы. Но мало кто задумывается о том, что происходит с правами, когда например директория с хоста монтируется внутрь контейнера через volume (bind mount). Разобрал три конкретных сценария на Ubuntu с Docker и Fedora с Podman: как UID/GID влияют на доступ к файлам, почему root в контейнере может быть root на хосте и что с этим делает user namespace. Эксперименты, cli и доступные объяснения.

https://habr.com/ru/articles/1040300/

#Docker #Podman #Linux #UID #GID #user_namespace #bind_mount #SELinux #rootless #контейнеры

Root в контейнере — это root на хосте? Разбираю особенности прав доступов в контейнерах Docker/Podman

Контейнеры, в отличие от виртуальных машин, разделяют ядро с хостом. Это порождает важный вопрос: как Unix-права соотносятся между процессами внутри контейнера, соседними контейнерами и хостовой...

Хабр
Docker BlogMay 27

Mitigating CVE-2026-31431 (“Copy Fail”) in Docker Engine
#Docker #Engineering #AF_ALG #CopyFail #CVE202631431 #Dockerengine #Seccomp #Security #Selinux

https://www.docker.com/blog/mitigating-cve-2026-31431-copy-fail-in-docker-engine/

Mitigating CVE-2026-31431 ("Copy Fail") in Docker Engine

Learn how Docker Engine mitigates CVE-2026-31431 “Copy Fail” for containers on unpatched Linux kernels using seccomp, AppArmor, and SELinux hardening.

Docker
cobratbq - cranky-by-designMay 26
#mozilla #firefox want to make a better browser? Make it possible to run the browser without JIT in #memory W^X restrictions. This allows running in strict #SELinux or under sandboxing restrictions, thus helping to prevent vulnerabilities. (It is possible. Chromium without JIT can do this, as you'll know.)
LobstersMay 24

Debian SE Linux and PinTheft

https://etbe.coker.com.au/2026/05/24/debian-selinux-pintheft/

#Security #Linux #SELinux

Debian SE Linux and PinTheft

We have a new Linux exploit called PinTheft [1]. I did some tests of it with Debian kernel 6.12.74+deb13+1-amd64. user_t When I run the exploit as user_t I see the following in the audit log: type=…

etbe - Russell Coker
Who Let The Dogs Out 🐾May 17

SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике

#SELinux

Полезные утилиты

- restorecon;
- semanage;
- sesearch;
- audit2allow;
- sealert;

Синтаксис политик

- Контекст SELinux
- Синтаксис файлов при описании политик
- Структура правил (.te файлы)
- Типы
- Атрибуты
- Классы
- Макросы (макропроцессор m4, интерфейсы, .if файлы)
- Домен
- Соглашение по именованию

Разбираемся на практике

https://habr.com/ru/articles/1035908/

HabrMay 16

SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике

В статье пойдет речь о SELinux. Главная моя задача — провести быстрый онбординг о том, как работать с политиками доступов. Я хочу показать, что это вовсе не так сложно, как может показаться на первый взгляд. Буквально 15 минут ознакомления с базовыми понятиями дает 80% понимания как работать с SELinux более уверенно. Статья не совсем про написание политик, скорее про их понимание. Все описанное необходимо, чтобы уверенно пользоваться утилитами, более осмысленно работать с системой, решать проблемы и задачи, с которыми придется столкнуться в процессе эксплуатации SELinux.

https://habr.com/ru/articles/1035908/

#SELinux #политики_доступа #контекст_безопасности #semanage #sesearch #audit2allow #restorecon #podman #контейнеры #Linux_security

SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике

В статье пойдет речь о SELinux. Главная моя задача — провести быстрый онбординг о том, как работать с политиками доступов. Я хочу показать, что это вовсе не так сложно, как может показаться на первый...

Хабр
HiSolutionsMay 15
Ein Konfigurationsfehler legt die komplette .de-Zone lahm. Drei Linux-Kernel-Exploits zielen auf dasselbe Angriffsmuster. Und Daniel Stenberg beschreibt, wie KI-generierte Bug-Reports curl gleichzeitig besser und anstrengender machen.
 
Unser aktueller Security Digest ordnet ein, was die letzten Wochen wirklich relevant war:
🔐 Copy Fail, Dirty Frag, Dirty Pipe: Local Privilege Escalation bleibt eine der häufigsten Schwachstellenklassen im Linux-Kernel. Unser Take: SELinux ist kein Nice-to-have, sondern die wirksamste Gegenmaßnahme. Nicht-privilegierte Accounts sollten nicht unter unconfined_u laufen. Punkt.
🌐 DNSSEC-Ausfall der .de-Zone: Ein Signierfehler bei der DENIC hat am 05.05. gezeigt, wie fragil zentralisierte DNS-Infrastruktur sein kann.
🤖 KI und Open Source: curl erlebt nach der AI-Slop-Welle jetzt hochwertige Meldungen. Gleichzeitig steigt die Last für Maintainerinnen und Maintainer massiv.
📱 Android Intrusion Logging: Google liefert mit dem Advanced Protection Mode endlich eine echte Datenquelle für mobile Forensik. Wir empfehlen die Aktivierung für exponierte Personen und Organisationen mit erhöhtem Schutzbedarf.
 
Das Security-Modell aus dem Mobilbereich wird zunehmend zum Vorbild für Desktop und Server. Wer heute noch ohne Mandatory Access Control arbeitet, liefert eine Angriffsfläche, die sich mit wenigen Konfigurationsschritten deutlich reduzieren ließe. Den vollständigen Digest mit allen Quellen und unserer Einordnung finden Sie hier: https://research.hisolutions.com/2026/05/
 
Wie gehen Sie in Ihrer Organisation mit SELinux um? Und nutzt jemand von Ihnen bereits Android Intrusion Logging in der Vorfallsbehandlung?
 
#Cybersecurity #SELinux #DNSSEC #AndroidSecurity #OpenSource @brahms @jrt
Show threadYGGverseMay 14
@me it would be even faster by disabling local search features, #SELinux indexer and moving logs/~.cache from SSD to RAM (tmpfs)