Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Прекратите отключать selinux (и не принимайте советов от Valve)

Мы не раз предупреждали, что SELinux не "глючит", а блокирует реальные проблемы в приложениях, и отключать его не нужно. Если уж очень приспичило, то лучше переводить в режим permissive, но не отключать. Конечно, из-за ошибок в библиотеках бывает, что приложение при SELinux в режиме permissive ведет себя иначе, чем при полностью выключенном SELinux, но эти случаи нечасты, и наши коллеги их быстро поправят, если пользователи сообщат о подобной ситуации. Наш коллега, Elad Alfassa, обратил наше внимание на характерный багрепорт.

Пользователь сообщает в багтрекере Valve, что недавно выпущенная под Linux игра Portal 2 не работает, вываливаясь с ошибкой. Оказалось, что mp3-декодер в игре требует execheap (о вредности execheap в свое время писали вице-президент Goldman Sachs, бывший инженер Red Hat, Ulrich Drepper, и нынешний мэйнтейнер SELinux, Dan Walsh). Однако, вместо изучения ошибки, какой-то из инженеров Valve просто закрыл тикет, порекомендовав отключить SELinux. Выяснилось, что ситуация типична для Valve! Видимо изначальная ориентация на дистрибутив для начинающих, с искусственно заниженными стандартами (в т.ч. и по безопасности), привела к тому, что инженеры Valve порой просто не понимают, о чем речь!

И т.п. В ходе разборок выяснилось, что инженеры Valve для проигрывания музыки выбрали не открытое решение, а проприетарную библиотеку. Вероятно, для кросс-платформенности, по лицензионным соображениям, а может просто по привычке - как привыкли в Windows, так и полезли в Linux.

Обратите внимание, в некоторых комментариях четко видно, что ряд инженеров Valve и помогавших им на начальных этапах, до перехода SteamOS на Debian, инженеров Canonical всерьез утверждали, что это "баг с SELinux", что характерно для начинающих пользователей Linux. И только недавно начало сквозить понимание, что это виноват не SELinux, а приложения (mp3-библиотека), которые просто дырявы (а SELinux просто это сообщает в простой и понятной манере).

Случай получился очень показательный. Тут и проприетарный быдлокод, для хоть какой-то работы которого надо отключать SELinux, и дремучее неприятие и недопонимание ситуации со стороны начинающих пользователей Linux и тех, кто в повседневной жизни пользуется дистрибутивами без SELinux (с искусственно заниженными требованиями безопасности). Но надо отметить и прозрачность и гласность процесса, что позволило быстро привлечь внимание к ситуации. Это, конечно, может стать очень сильной стороной Valve. Практика показывает, что широкое вовлечение участников коммьюнити поможет исправить и гораздо более тяжелые ситуации - вот почему мы, в отличие от других проектов, всячески рекомендуем и стимулируем наших коллег и товарищей принимать деятельное участие в жизни и нашего коммьюнити, и upstream-проектов.

Присоединяйтесь к нам и вы!

Upd. Завязалось интересное обсуждение ситуации с Valve и SELinux на Reddit.

Комментарии