Мы не раз предупреждали, что
SELinux не "глючит", а блокирует реальные проблемы в приложениях, и отключать
его не нужно. Если уж очень приспичило, то лучше переводить в режим permissive,
но не отключать. Конечно, из-за ошибок в библиотеках бывает, что приложение
при SELinux в режиме permissive ведет себя иначе,
чем при полностью выключенном SELinux, но эти случаи нечасты, и наши коллеги их
быстро поправят, если пользователи сообщат о подобной ситуации. Наш коллега,
Elad Alfassa, обратил наше
внимание на характерный багрепорт.
Пользователь сообщает в багтрекере Valve, что недавно выпущенная под Linux
игра Portal 2 не работает,
вываливаясь с ошибкой. Оказалось, что mp3-декодер в игре требует execheap (о
вредности execheap в свое время писали вице-президент Goldman Sachs, бывший
инженер Red Hat, Ulrich Drepper, и нынешний мэйнтейнер
SELinux, Dan Walsh). Однако,
вместо изучения ошибки, какой-то из инженеров Valve просто закрыл тикет,
порекомендовав отключить SELinux. Выяснилось, что ситуация типична для Valve!
Видимо изначальная ориентация на дистрибутив для начинающих, с искусственно
заниженными стандартами (в т.ч. и по безопасности), привела к тому, что
инженеры Valve порой просто не понимают, о чем речь!
И т.п. В ходе разборок выяснилось, что инженеры Valve для проигрывания музыки
выбрали не открытое решение, а проприетарную библиотеку. Вероятно, для
кросс-платформенности, по лицензионным соображениям, а может просто по привычке
- как привыкли в Windows, так и полезли в Linux.
Обратите внимание, в некоторых комментариях четко видно, что ряд инженеров
Valve и помогавших им на начальных этапах, до перехода SteamOS на Debian,
инженеров Canonical всерьез утверждали, что это "баг с SELinux", что характерно
для начинающих пользователей Linux. И только недавно начало сквозить понимание,
что это виноват не SELinux, а приложения (mp3-библиотека), которые просто
дырявы (а SELinux просто это сообщает в простой и понятной манере).
Случай получился очень показательный. Тут и проприетарный быдлокод, для хоть
какой-то работы которого надо отключать SELinux, и дремучее неприятие и
недопонимание ситуации со стороны начинающих пользователей Linux и тех, кто в
повседневной жизни пользуется дистрибутивами без SELinux (с искусственно
заниженными требованиями безопасности). Но надо отметить и прозрачность и
гласность процесса, что позволило быстро привлечь внимание к ситуации. Это,
конечно, может стать очень сильной стороной Valve. Практика показывает, что
широкое вовлечение участников коммьюнити поможет исправить и гораздо более
тяжелые ситуации - вот почему мы, в отличие от других проектов, всячески
рекомендуем и стимулируем наших коллег и товарищей принимать деятельное участие
в жизни и нашего коммьюнити, и upstream-проектов.
Присоединяйтесь к нам и вы!
Upd. Завязалось интересное обсуждение ситуации с Valve и SELinux на Reddit.