[MontelLUG] SELinux
Manuel Trentin
vinilex a gmail.com
Ven 7 Gen 2011 18:15:41 CET
Il 07 gennaio 2011 18:06, Davide Rondini <davide.rondini a gmail.com> ha scritto:
> SELinux è effettivamente una strana bestia, ma è sempre un peccato
> doverlo disabilitare. Sta per Security Enhanced Linux (ovvero Linux
> con sicurezza migliorata), e migliorare la sicurezza a me pare sempre
> una buona idea. Detto questo, ovviamente la vostra macchina desktop è
> discretamente robusta anche senza SELinux, ma in effetti, se Red Hat
> lo abilita in maniera predefinita, una ragione c'è.
Allora posso dire la stessa cosa di Debian che se non lo abilita per
default la ragione c'é!!!
Sostanzialmente
> SELinux permette al kernel di utilizzare delle regole di accesso alle
> risorse del sistema (particolarmente file, cartelle e aree di memoria)
> un po' più raffinate rispetto ai normali permessi. Un po' come delle
> ACL di sistema.
>
> In pratica, SELinux definisce dei "contesti" di utilizzo logico dei
> file. Per esempio, se non ce n'è un motivo, non è il caso che, chessò,
> Apache abbia accesso in lettura ad /etc/shadow, quindi SELinux glielo
> vieta (a meno che l'amministratore di sistema non glielo permetta
> esplicitamente creando una regola apposta). In pratica, SELinux può
> diventare una barriera di difesa contro certi attacchi, impedendo
> magari a qualcuno di scalare i propri permessi.
>
> Il problema è che l'uso di SELinux non è affatto semplice, almeno in
> generale. Red Hat infatti si sta impegnando fortemente per rendere
> l'uso un po' più umano. Infatti setroubleshoot e seaudit sono dei tool
> che servono proprio a rendere più comprensibili i messaggi davvero
> molto criptici di SELinux. Io consiglio "SELinux for Mere Mortals"
> [3], che permette di capire le basi, e più o meno quanto basta per
> gestirlo senza doverlo disabilitare. Il link [4] invece è l'unico in
> italiano che ho trovato.
>
> Ad ogni modo, se un componente di SELinux occupa valanghe di memoria e
> CPU c'è solo un motivo: c'è un bug. Anche io uso Fedora 14, ma non ho
> nessun problema di processi impazziti di SELinux. Il primo consiglio è
> di aggiornarlo alla ultima versione disponibile nei repository.
>
> Tra parentesi, io sul server l'ho abilitato anche su Debian.
Sicuramente bisognerebbe valutare i contesti in cui viene installato
linux, io personalmente lo utilizzo come desktop e di solito come
server interno PDC / centralino / mail (solo in uscita ) per cui la
sicurezza oltre ai vari kerberos ed ssl mi sembra superflua.
Chiaro che in produzione su web/mail ecc ecc server pubblici il
discorso cambiae un pò più di attenzione BISOGNEREBBE farla
Grazie per le dispense stracolme di buoni consigli :)
Manuel
More information about the montellug
mailing list