Zur Lage der GroKo-Nation…

(Unterhaltung unter https://www.facebook.com/ralf.hofmann.sw/posts/1778144582225135)

Ich bin jedoch der Meinung, dass sich das parlamentarische System überlebt hat, nicht nur, weil zum stark überwiegenden Teil ganz unverhohlen Lobby-Interessen über allen anderen Überlegungen stehen und letztendlich durchgesetzt wurden und werden – was man deutlich an vielen verfahrenen Irrwegen der letzten (paar!) Jahrzehnte sehen und immer deutlicher spüren kann – sondern auch, weil uns heute ganz andere Mittel zur Verfügung stehen würden, die Wünsche der Mehrzahl der Bürger umzusetzen, so schnell wie möglich und so nah an den Bedürfnissen dran wie möglich. Klar, das mag der Beamte nicht hören und wird deswegen die Weichen nie in die richtigen Positionen stellen.

Schade drum, eines der erklärten Ziele ist ja auch schon seit zwei Legislaturperioden die Digitalisierung, und das natürlich: parteienunabhängig. Soziale Gerechtigkeit schreiben sich ja ebenso alle Parteien schon seit Wiedereinführung der Demokratie (unter starker Abschwächung von Elementen direkter Demokratie) auf ihre Fahnen, ohne sich dafür zu schämen, diese – mittlerweile traditionell – immer weiter zurück zu drängen. Soviel zur Durchsetzungskraft von Politikern, guten Absichten und heißer Luft.

Und bitte kein: es geht uns doch so gut wie noch nie. Es geht einem immer so gut wie noch nie, wenn man sich einen Kredit ausbezahlen lässt und ganz ungezwungen das Geld zum Fenster hinaus wirft.

Zudem stimmt es nicht, dass es den meisten oder gar nur vielen Leuten gut geht.

Und obendrein liegen die zu wenigen wirklich positiven Ergebnisse nicht an der „realen“ Politik; auch da finde ich die obige Aussage stimmig, dass „das Ergebnis heute“ „entsprechend nicht wegen, sondern trotz dieser Führung zustande gekommen“ sei. Die Kredite – leider nicht nur finanzieller Art – sind trotzdem unwiderbringlich verplempert…

Naja. Wieder einmal ein weiterer Kommentar zur Lage der Nation. Genau so wertvoll wie die vielen theoretischen Diskussionen in Sitzungen und Ausschüssen und mit der gleichen Power gesegnet wie jedes Wort von Engel Angela, Meister Schulz und Co. – Jeder monologisiert mal drüber, ähnlich Hunden an einem Baum, aber ändern tut sich dadurch nix.

Deswegen Leute: geht wählen. Das führt jedem wunderbar die eigene Bedeutungslosigkeit vor Augen.
Aber vor allem: geht neu wählen! Das kann nur das einzig Richtige des Euch momentan Erlaubten sein, denn die meisten Politiker wollen genau das offenkundig nicht.

Check SELinux…

…via:

  • /etc/selinux/config (symlinked to /etc/sysconfig/selinux)
  • /usr/sbin/sestatus
  • /usr/sbin/getenforce

Nicht vergessen:

  • ls -dZ /path/to/directory zeigt SELinux Label des Ordners
  • ps axZ | grep ftpd zur Kontrolle der Labels des Prozesses
  • sudo netstat -tnlpZ | grep ftp zur Kontrolle der Labels des/der Ports
    (see: semanage port -l | grep ftp)
  • firewall-cmd –zone=public –list-ports bzw. firewall-cmd –zone=public –list-services

CentOS, Docker und SELinux

Mit verlangsamter Geschwindigkeit gekuckt: Docker and SELinux by Daniel Walsh from Red Hat führte mich auf folgende, wichtige Seiten zu docker im Rahmen eines professionellen Linux-Systems:

und weiterführend Docker and SELinux.

Dabei kaue ich schon die ganze Zeit an meinem System, per ftp (tls & mod_auth_file.c – enforced) upgeloadete Files über https an ein Java-Modul übergeben zu können. Teile davon finden sich z.B. unter Mesqualito/docker-proftpd (GitHub). Davor hatte ich verschiedene proftpd-docker-images anderer Administratoren durchprobiert und blieb jedesmal irgendwo stecken…

Und bei aller gewünschten Funktionalität immer beachten: http://stopdisablingselinux.com!

Hier findet sich auch eine gute Erklärung zur „Discretionary Access Control (DAC)“ mit den gewohnten Lese-/Schreib-/Ausführungsrechten für Prozesse und Benutzer und der durch den Kernel kontrollierten „Mandatory Access Control (MAC)“, bei der anhand „policies“ festgesetzt wird, welcher Typ von Prozess (oder Benutzer) welche Berechtigungen in Bezug auf welches Objekt hat. SELinux‘ MAC kann auch Rechte ausschließen, die Linux‘ DAC scheinbar freigegeben hat (z.B. rwxrwxrwx – /home/user_home bleibt für user2 und ggf. auch für root dennoch gesperrt).

In diesem Kontext muss ebenso auf die „Capabilities“ (=> pscap) geachtet werden, die docker (aka Linux-Container lxc) heranzieht.

Wichtig ebenso: SELinux type-enforcement (“ a process running with the label ftpd_t  can have read access to a file labeled ftpd_config_t…“) – siehe auch: SELinux check…