ТЛ;ДР: не стесняйтесь, чтобы перейти непосредственно к заключению внизу, если вам нравится :) !

Цель SELinux-это не допустить эскалации привилегий путем применения обязательных политику, которая ограничивает возможные действия от непривилегированных и привилегированных пользователей.

Термин "пользователи" здесь также включает в себя любой процесс, запущенный на устройстве, независимо от того, если это напрямую связано с физическими действиями пользователя (человека, Вы ;) ), поскольку каждый процесс работает с помощью системы "личный кабинет".

Исторически сложилось так, что права на UNIX-подобных системах обрабатываются, используя то, что называется дискреционный контроль доступа к системе (ЦАП). В этой модели:

• Таким ресурсам, как файлы имеют хозяев, которые могут определить права доступа к ресурсам, которыми они владеют: это позволяет им решить, следует ли конкретный ресурс должен быть частным (только владелец может получить к нему доступ), или если она должна использоваться совместно с другими пользователями.
• Помимо этого у вас есть супер-пользователя (так называемый корень на UNIX-системах), который является административным пользователя и имеет доступ ко всем ресурсам системы. Эта учетная запись может быть использована интерактивно человеком (обычно системным администратором), чтобы сохранить или восстановить устройство, но, как правило, эта учетная запись будет в основном использоваться фона или низкий уровень услуг, которые требуют такой уровень привилегий: драйверов, настройка сети, услуги, требующие доступ к файлам на каждого пользователя или обработки внутренних Интер-Общение пользователей.

Это очень красиво и уже обеспечивает хорошую безопасность. Однако, что о таких обстоятельствах:

1. Что будет, если ошибка в службе работает как корень будет найден, которая позволяет злоумышленнику обмануть такую услугу в некоторый произвольный код? Такой злоумышленник может получить полный доступ к устройству. Чтобы дать какие-то конкретные примеры, то такая ошибка может быть вызвана, отправив специально созданный сетевой конфигурации (DHCP-сервером) или ММС на телефон.
2. Что будет, если какой-нибудь пользователь не правильно защищать частные ресурсы? Затем эти ресурсы могли бы быть доступны (читай, возможно, даже изменен или удален) других непривилегированных пользователей. Обычно это то, что вы когда вредоносное приложение работает на вашем телефоне (не важно, если вы были обманом установки его, или если он пришел сюда сам-по-себе, используя баг в другом непривилегированных приложений, браузер или почтовый клиент, например), и это вредоносное приложение пытается получить прямой доступ к другим приложениям или хранение данных местах (это можно сделать так, чтобы доступ к обычно недоступным данных или установить в нескольких местах для того, чтобы произвести ее демонтаж сложнее).

Здесь приходит в SELinux.

SELinux представляет собой обязательный контроль доступа системы (Mac). В то время как в ранее описанных пользователями системы ЦАП были ответственны установления соответствующего права на свои собственные ресурсы, с системой Mac общесистемной политики (имеется в операционной системе) применяется как привилегированные и непривилегированные пользователи.

Это решает две проблемы, упомянутые выше следующим образом:

1. Как я уже говорил, эта политика также относится к привилегированным пользователям. Это означает, что при правильно разработанной политике, сервис, предназначенный для обработки устройством конфигурации сети будет не в состоянии сделать что-нибудь еще: это не будет иметь никакого доступа к СМС например, и услуги обработки SMS не будут иметь доступа к сети конфигурации, и ни один из них не будет иметь доступа к пользовательским данным, несмотря на то, что оба работают с помощью супер-пользователя.
2. Android в последнее время включены многопользовательской функцией, которая обеспечивается с помощью SELinux, предотвращая пользователей от доступа к данным других пользователей. Но помимо этого, политики SELinux также отвечает от описания разрешено поведения приложений, и, скорее всего, даже если некоторые ресурсы не могут быть надлежащим образом защищены с помощью системы ЦАП SELinux, которые придут на помощь и предотвратить вредоносное приложение непосредственно к ним.

DAC и Mac системы не являются взаимоисключающими, наоборот система Mac (в SELinux) действует как второй уровень защиты за систему ЦАП (традиционный Unix-подобных разрешений). Работа SELinux будет блокировать любую деятельность, в отличие от политики, которая, учитывая только система ЦАП, в противном случае будут приняты.

Самое сложное заключается в том, что такая политика может быть очень сложным, чтобы написать: она действительно должна охватывать компоненты каждого устройства для каждого возможного использования в любой ситуации. На самом деле, неважно, если какое-то действие может быть законным в вашей ситуации: если это не в политику, это запрещено. Поэтому плохо разработанная политика может иметь случайный последствиям, как сбои приложений, непригодной функциональности, и так далее.

Именно поэтому первые версии Android доставка в SELinux включен в "разрешительный" режим по умолчанию. В этом режиме SELinux можно будет войти нарушений политики, но он не пытается заблокировать соответствующей активности. Анализируя полученные файлы журнала, становится возможным корректировать и усиливать политику до того момента, когда единственный оставшийся нарушение политики действительно вредоносного или нежелательного поведения. На данный момент, SELinux может быть превращен в "принудительном режиме": это будет теперь не только журнал, но и блокировать оскорбительные действия.

Заключение

SELinux представляет собой метод смягчения. Это не мешает атакующему войти в телефон, но это гарантирует, что как только там они могут делать как можно меньше, в идеале ничего полезного, тем самым устраняя любые интересующие атаковать телефона в первую очередь.

Чем старше диск, тем больше количество ошибок безопасности, которые откроет такой доступ. SELinux не будет эффективным способом, чтобы сохранить как минимум безопасности, несмотря на эти известные уязвимости, однако для правильной работы с SELinux опирается на сложную политику.

Если ваш диск снабжен SELinux в "разрешительный" режим по умолчанию, скорее всего это означает, что политика, которую он содержит не достаточно надежным, чтобы быть безопасно включен в "принудительном режиме".

Если вы не технарь и достаточно иметь доступ к телефону лог (dmesg, в меньшей мере, но, как правило, они также копируются в чтение logcat: есть приложения позволяющие видеть последнего, но в зависимости от вашего Android версии, им может потребоваться корневой доступ), вы можете проверить, если вы найдете "АВК" записи: это сообщения, говорю вам, что SELinux только что обнаружил акцию против политики.

Вот пример такой записи взято из CyanogenMod в сайт:

тип=АВК МСГ=аудита(1363289005.532:184): АВК: отказано { читать } для PID=29199 комми="след" 
имя="онлайн" разработки="файловой системы" Ино=30 scontext=staff_u:staff_r:googletalk_plugin_t 
tcontext=system_u:object_r:tclass sysfs_t=файл

Если нет никого, Лишь немногие из них или по любой причине, вы думаете, что они не могут держать вас от использования телефона, вы можете попробовать переключить SELinux в в "принудительном режиме". В старых CyanogenMod ПЗУ, это было легко и просто с помощью скрытой опции в GUI (не нужно производить операцию Рута или установки какого-либо конкретного приложения), я не знаю, если другие диски те же функции, но поскольку вы использовали CyanogenMod для тега я думаю, вам может повезти ;).

Я читал на некоторых сайтах, что собаки опереться на вас, потому что они чувствуют себя комфортно с вами. Другие сайты говорят, что это признак доминирования. Так что, это хорошо или плохо?

Здравствуйте, я сделал программу Java с другом, что предназначено для работы 24/7 в качестве личного помощника на безголовый Raspberry Пи. Это в основном могут быть использованы в качестве будильника и, чтобы сказать нам, погода или новости и т. д. Поэтому для того, чтобы запустить его 24/7 без головы, я последовал указаниям здесь , чтобы банку начать, когда Пи загружается (так он работает как демон).

Все нормально, первые пару часов в день, но потом после длительного периода времени (так около суток или более) в банке завис, но когда я по SSH к Пи, то кажется, что Пи почти "просыпается" и все работает снова.

Я читала, что малина Pi не имеет спящего режима, так что я запутался, в чем причина, и как его выключить так, что фляга действительно отзывчивый 24/7.

Мне было интересно, если демон потоки засыпают или если темы вообще ложиться спать, если они не выполняют, потому что сейчас наша программа в основном "спит" в ожидании событий (например, определенное время для тревоги, чтобы активировать и т. д.), так это не делает много для большинства время.

Это может быть как простой, как команду sudo usermod -а-г-разработчиков $имя пользователя с помощью ACL.

Это займет немного работы, хотя бы, для начала. Это для Ubuntu 10.10, по крайней мере. Первый монтирования файловой системы с возможностью управления доступом в /etc/fstab строчку.

судо ВИМ файл /etc/fstab строчку

Идентификатор UUID=хххххххх-ХХХХ-ХХХХ-ХХХХ-хххххххххххх / системы ext4 по умолчанию,ОБК 0 1

судо горе -о перемонтировать,ОБК /

Затем сделать группу, в которую пользователь может принадлежать к этой цели.

разработчики судо программой groupadd 
команду sudo usermod -а-г-разработчиков $имя пользователя

Пользователь должен выйти из системы и снова стать членом группы разработчиков.

Конечно, не делайте этого, если у вас есть контент в каталоге /var/www, что вы хотите, но просто чтобы проиллюстрировать его установке, чтобы начать:

судо РМ -РФ /ВАР/ВСП
судо команды mkdir -р в /var/www и/общественных
судо Чаун -Р корень:разработчики файле /var/www и/общественных
судо команду chmod 0775 в /var/www и/общественных
судо команду chmod г+С в /var/www и/общественных
команда setfacl -д-М судо по U::rwx по -, г::rwx По,о::р-х в /var/www и/общественных

Потом заменить ссылки на "каталог/var/www" или с "файле/var/www в/Public" в файл config и Reload.

судо ВИМ файл /etc/apache2 не/сайты-включен/000-по умолчанию
суда /и т. д./init.д/apache2 не перезагрузить

Если бы мы хотели ограничить удаление и переименование от всех, кроме пользователя, который создал файл:

судо команду chmod +т в /var/www и/общественных

Таким образом, если мы хотим создать каталоги для рамок, которые существуют вне В Apache документ корень или может создать сервер-запись в каталог, легко.

Каталог Apache-для записи логов:

судо команды mkdir /ВАР/ВСП/журналы
команду sudo chgrp, указав ВСП-данных в /var/www в/журналы
судо команду chmod 0770 файле /var/www в/журналы

Апач-читаемый каталог библиотеки:

судо команды mkdir каталог /var/www в/Либ
команду sudo chgrp, указав ВСП-данных в /var/www в/журналы
судо команду chmod 0750 /ВАР/ВСП/журналы

Я обработке пакета субъектов данных рекурсивно, вызывая скрипт в родительский каталог.

Например, у меня в Родительском каталоге:

/дом/предметы

и подкаталоги, которые содержат сведения:

/главная/темы/0393
/главная/темы/0389
/главная/темы/9920 (около 250 предметов)

Каждый файл в каждый подкаталог имеет расширение файла ".НИИ". Я написал код, который вызывает целый ряд команд из программы нейронауки, поиск для данного расширения файла в качестве входных данных. Входные данные в первой команде "fslroi" является .файл Nii (файл$), в то время как выходной файл, что команда "сырых данных.НИИ". Как вы видите выход из одной команды, это входные данные для следующего и т. д

на файл в $(Найти ./ -имя "*.НИИ")
делать
fslroi $файл сырых данных.НИИ 0 33
разархивируйте rawdata.nii.gz -Ф
сырых данных fslroi.НИИ rawnodif 0 1
ставка rawnodif rawnodif_brain -М -Г 0.2 -0.3 Ф
fslmaths rawnodif -мас rawnodif_brain_mask rawnodif_brain
разархивируйте rawnodif_brain_mask.nii.gz -Ф
сделано

Однако, этот код не является удовлетворительным я не могу сохранить результат в конкретной поддиректории. Таким образом, как я обрабатываю несколько предметов код будет работать не так, как все сохраняется в родительский каталог.

Может кто-нибудь сможет дать мне какие-либо намеки на то, как я могу изменить код, чтобы сэкономить на выходе в зависимости от входного ".файл Nii"?

Или Посмотри в Eclipse IDE для C/C++ разработчиков. http://www.eclipse.org/downloads/packages/eclipse-ide-cc-developers/junosr1

У меня С3 уже около 6 месяцев и никогда не было проблем. Но в последние пару дней вроде бы случайно теряет подключение к сети (Т-Мобайл): мне нужно перезагрузить телефон, чтобы воссоединиться. Иногда это длится всего несколько минут, прежде чем снова бросить.

Кто-нибудь еще была эта проблема? Я понятия не имею, что вызывает его. У меня ничего не изменилось на телефоне, и мне есть хорошее освещение.

Я не получаю какие-либо ошибки msg и все кажется прекрасным ... пока я не пытаюсь использовать его для доступа к интернету, потом он говорит мне: "нет подключения к интернету" и интернет-сигнал пропадает. Если я попытаюсь текст текст, просто не передать, и я не могу получить или сделать звонки. Люди, которые кольцо говорят, что это идет прямо в почтовый ящик.

Я сегодня столкнулся этой проблемой. Я был в состоянии отслеживать проблемы вплоть до второй файл монит конфиг. Он появляется как из 5.17.1, что если конфигурационный файл не правильно близко, что он будет бросать сразу синтаксическая ошибка при попытке загрузки следующего файла.

В моем случае у меня было предупреждение, которое завершилось повторять каждые 10 и не хватало "циклы" после номера. Хотя этот файл является недействительным, он вызывает совершенно разные файлы появляются недействительными.

У меня есть тестовый файл, который выглядит следующим

5002 2014-11-24 12:59:37.112 2014-11-24 12:59:37.112 0.000 УДП ...... 23.234.22.106 48104 101 0 0 8.8.8.8 53 68.0 1.0 1 0.0 0 68 0 48

Каждая строка содержит IP-адрес источника и назначения IP. Здесь, исходный IP-адрес 23.234.22.106 и целевого IP-адреса 8.8.8.8. Я занимаюсь поиском IP для каждого IP-адреса, а затем выскабливая страница xidel. Вот этот скрипт.

для egrep -о "([0-9]{1,3}[\.]){3}[0-9]{1,3}" тест-данных.КШМ | СНП | тр | а читать я #получить идентификатор сети от arin.net
делать
http://whois.arin.net/rest/ip xidel/$и-Е "//настольный/элемента tbody/ТР[3]/тд[2] "| СЭД с/\/[0-9]\{1,2\}/\н/г'
сделано | СНП | тр | для egrep -о "([0-9]{1,3}[\.]){3}[0-9]{1,3}" | 
пока читал Дж ############## чтобы получить другую информацию от ip-tracker.org
делать
xidel http://www.ip-tracker.org/locator/ip-lookup.php?ip=$J-э "//таблицы/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/ТР[2]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/ТР[3]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[4]"С-Э "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[5]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[6]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[7]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[8]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[9]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[10]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[11]"С-Э "//таблицы/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[12]" е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[13]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[14]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[15]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[16]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[17]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[18]"С-Э "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[19]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[20]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[21]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[22]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[23]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[24]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[25]"С-Э "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[26]" С-Э "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[27]" -е "//стол/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[28]" -е "//настольный/элемента tbody/ТР[3]/тд[2]/табл/элемента tbody/тр[29]"
сделано > АБВГД

Первый xidel используется для лома Арин и второй xidel используется для лома это

Выход первого xidel является идентификатор сети. Поиск IP выполняется на основе идентификатора сети. Выход второго xidel такая

IP-адрес: 8.8.8.0
[Проверить IP черного списка]
Обратный DNS:** сервер не может найти 0.8.8.8.в-аддр.Арпа: SERVFAIL
Имя: 8.8.8.0
Расположение IP для поиска IP-адрес: 8.8.8.0
Континент:Северная Америка (Na)
Страна: Соединенные Штаты Америки (США)
Столица:Вашингтон
Штат:Калифорния
Расположение Город:Вид На Горы
Почтовый:94040
Площадь:650
Метро:807
ИСП:Уровень 3 сообщений
Организация:Уровень 3 Сообщений
Номер:AS15169 корпорации Google.
Часовой Пояс: Америка/Лос
Местное Время:10:51:40
Часовой пояс GMT смещение:-25200
Восход / Закат:06:26 / 19:48
Дополнительный IP просмотра Искатель Инфо по ip-адресу: 8.8.8.0
Континент Широта/Долгота: 46.07305 / -100.546
Страна, Широта/Долгота: 38 / -98
Город Широта/Долгота: (37.3845) / (-122.0881)
ИС язык: английский
Скорость IP-адреса:скорость модемного Интернета 
[
Проверить Скорость Интернета]
ИС валюты:доллар США ($) доллар США (USD)
IDD код:+1

В настоящее время, она занимает 6 часов, чтобы выполнить эту задачу, когда есть 1.5 миллиона строк в мой тестовый файл. Это потому, что скрипт-это последовательно работает.
Есть ли способ я могу разделить эту задачу так, что скрипт выполняется параллельно и времени существенно снижается. Любая помощь с этим будет принята с благодарностью.

П. С.: Я использую виртуальную машину с процессором 1 и 10 ГБ оперативной памяти

MonoServerPath example.com "/usr/Бен/мод-моно-сервера4"

наверное, должен быть

MonoServerPath mydomain.org "/usr/Бен/мод-моно-сервера4"

У меня есть две бумаги, которые я ищу, чтобы попробовать и скоро опубликую. Я хотел бы процитировать мои собственные бумаги, так как работа довольно тесно связана. Стоит ли публикации в качестве препринта на то, как материалам arXiv так я могу привести? Я читала, что это более выгодно публиковать препринты если вы уже состоявшийся исследователь, а это будут мои первые две публикации (если приняты).

миником отсутствует в списке инструментов для мониторинга последовательных портов. Использовать его как, например, прислушаться к Arduino устройства:

миником --устройство /dev/ttyACM0 --БОД 9600

Ваш вывод показывает, что топ - печатает некоторые escape-последовательности, что терминал не распознает. Биты, где вы видите пустой, а [ затем еще фигня символы escape-последовательности, которые работают на большинстве терминалов; первый символ из этих последовательностей является Escape-символом, который в своем терминале печатается как пробел. Например, ␛[7м в начале заголовка строка начинается обратный, ␛[0м останавливает обратное видео и т. д.

Я не уверен точно, что происходит с стат и ВСЗ столбец, но кажется, что сверху уже напечатано несколько цвет меняющейся последовательности туда же (вот откуда м исходит от), и они были частично перезаписаны (сверху, наверное, печать ␈ характер, который делает курсор перемещается влево так, что следующий символ заменяет, что там было).

Со многими программами, установив срок переменные окружения правильно достаточно: необходимо указать тип терминала, который не поддерживает любой последовательности. Убедитесь, что у вас нет скрипта, который жестко запрограммировано значение термина где-то. Попробуйте термин=стремно. Если вы используете busybox и, я думаю, что его лучшие коды escape-последовательности, которые работают на большинстве терминалов, так что вам не повезло. Вы можете запустить его через фильтр, который удаляет escape-последовательности. Непроверенные, но должно работать с busybox.

#!/Бен/ш
скрипт=$(printf в с/\033\\[[0-9;]*[а-Яа-я]//Г')
СЭД -е "$скрипт" "$@"

(От этого более полные Perl скрипт)

Соединенное Королевство не имеет границ контроля для вылетающих пассажиров. Вы сможете уйти.

Не забудьте очистить корзину.

Или из командной строки:

РМ -Р ~/.местные/доли/корзина/информация/ && СД -Р ~/.местные/доли/мусор/файлы/ 

Вы можете использовать простой grep для этого:

$ грэп -е '^отчет\|^-е\|^-с' именем

Видимо, нет хороших (бесплатно) способ сделать это.

Я попробовал вышеприведенный скрипт, но, к сожалению, с 10.8, если вы находитесь в полноэкранном режиме, уже, следующее изображение выключает весь экран (как он посылает команду cmd-вариант-Г). Нет никакого способа видя нынешнее "государство", и если он следует только выбрать новый файл или выбрать новый файл и полный экран. :(

Однако, я написал кварцевый композитор заставки для автоматического обновления и повернуть за последние Х количество изображений.

https://github.com/jnovack/slideshow/

Я использую Локаль для включения WiFi, и чтобы переключиться на 2G в зависимости от местоположения и видел жизнь батареи улучшится. Это было в моем корни Г1/CM5, а также на моем Г2/СМ6.

На моем Г2, ведение wifi дома и поворачивая на 2G, когда на работе улучшает жизнь батареи. Я также отключить синхронизацию на работе.

Я лечу на канадский паспорт, стоимость авиабилетов через НБО и у меня есть две отдельные маршруты. Первый полет заставляет меня НБО через Lufthansa в 8:40вечера а затем второй рейс отправляется НБО через Кения Эйрвейз в 7:30 утра.

Кажется, мне нужно забрать мои сумки и перепроверять. Нужна ли мне транзитная виза Кении для этого?

Спасибо.