[MontelLUG] SELinux

Davide Rondini davide.rondini a gmail.com
Ven 7 Gen 2011 18:06:18 CET


SELinux è effettivamente una strana bestia, ma è sempre un peccato
doverlo disabilitare. Sta per Security Enhanced Linux (ovvero Linux
con sicurezza migliorata), e migliorare la sicurezza a me pare sempre
una buona idea. Detto questo, ovviamente la vostra macchina desktop è
discretamente robusta anche senza SELinux, ma in effetti, se Red Hat
lo abilita in maniera predefinita, una ragione c'è. Sostanzialmente
SELinux permette al kernel di utilizzare delle regole di accesso alle
risorse del sistema (particolarmente file, cartelle e aree di memoria)
un po' più raffinate rispetto ai normali permessi. Un po' come delle
ACL di sistema.

In pratica, SELinux definisce dei "contesti" di utilizzo logico dei
file. Per esempio, se non ce n'è un motivo, non è il caso che, chessò,
Apache abbia accesso in lettura ad /etc/shadow, quindi SELinux glielo
vieta (a meno che l'amministratore di sistema non glielo permetta
esplicitamente creando una regola apposta). In pratica, SELinux può
diventare una barriera di difesa contro certi attacchi, impedendo
magari a qualcuno di scalare i propri permessi.

Il problema è che l'uso di SELinux non è affatto semplice, almeno in
generale. Red Hat infatti si sta impegnando fortemente per rendere
l'uso un po' più umano. Infatti setroubleshoot e seaudit sono dei tool
che servono proprio a rendere più comprensibili i messaggi davvero
molto criptici di SELinux. Io consiglio "SELinux for Mere Mortals"
[3], che permette di capire le basi, e più o meno quanto basta per
gestirlo senza doverlo disabilitare. Il link [4] invece è l'unico in
italiano che ho trovato.

Ad ogni modo, se un componente di SELinux occupa valanghe di memoria e
CPU c'è solo un motivo: c'è un bug. Anche io uso Fedora 14, ma non ho
nessun problema di processi impazziti di SELinux. Il primo consiglio è
di aggiornarlo alla ultima versione disponibile nei repository.

Tra parentesi, io sul server l'ho abilitato anche su Debian.

Ciao
CD

[1] http://fedoraproject.org/wiki/SELinux/Understanding
[2] http://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/
[3] http://www.redhat.com/promo/summit/2010/presentations/summit/decoding-the-code/wed/tcameron-1020-selinux/SELinuxMereMortals.pdf
[4] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-it-4/ch-selinux.html

Il 07 gennaio 2011 15:35, Odeeno <odeeno a yahoo.it> ha scritto:
> Per ora l'ho solo disabilitato: non carica il servizio in memoria.
> A dire il vero il programma sedispatch continua a caricarlo, ma non
> pesa nulla e non occupa memoria.
>
> Il 07 gennaio 2011 08:49, Manuel Trentin <vinilex a gmail.com> ha scritto:
>> Non lo so neppure io a cosa serva ma su debian non l'ho mai installato
>> Poi io ho una mia teoria, se non so a cosa serve vuol dire che non serve :)
>> Quindi per me... disinstalliamo!!!
> In FEDORA (e REDHAT) viene installato in automatico: qualche funzione
> ce l'avrà!?!
> Ho letto in ML che ad aprile ci sarà un talk a cura degli amici di
> Vicenza... son curioso di sapere che diranno.
>
>>> - il programma "sedispatch" mi occupa (nei momenti di crisi) 2,9GB di
>>> memoria!!!!!!!!!!!!!!!!!! su 4 disponibili.
>>
>> Wow, quasi come norton internet security :PPPPPPPPP
> Proprio quello che mi veniva in mente. Pazzesco.
>
>>> Quasi quasi lo disinstallo.... consigli? Opinioni?
>>
>> Passa a Debian :)
> L'idea non è male... ma uso il pc principalmente come desktop e in
> Debian i programmi non son proprio aggiornati (esempio ancora non c'è
> KDE4 in Debian). Ora uso Fedora e a parte questo problema di SELinux,
> sono molto soddisfatto anche in termini di stabilità.
> Ciao a tutti.
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
>



-- 
"You can tell how far we have to go, when FORTRAN is the language of
supercomputers." Steven Feiner




More information about the montellug mailing list