Sembra che per SELinux non ci sia proprio un momento di tranquillità: nei giorni scorsi la presentazione e la promessa di inclusione nel mainline kernel di una soluzione alternativa al sistema originariamente sviluppato dall’NSA, oggi, invece, un’accesa discussione sulle differenze tra la sicurezza garantita da SELinux e quella offerta da un sistema OpenBSD.
I principali argomenti che vengono portati contro SELinux si concentrano attorno alla sua complessità ed alla difficoltà nella definizione delle policy, processo che, a dire il vero, è stato semplificato anche grazie all’introduzione di tool come polgengui; gli utilizzatori di OpenBSD intervenuti nella discussione hanno sottolineato come la prima cosa che la gente “normale” faccia con SELinux sia spegnerlo, facendo notare anche come la facilità con cui esso può essere spento sia un’altra imperfezione del suo modello di sicurezza.
Sempre stando alle opinione emerse, OpenBSD, al contrario, offrirebbe numerose security features sempre attive e sempre con un overhead minimo: protezione dello stack con propolice, randomizzazione degli indirizzi in memoria delle librerie, W^X e systrace.
A mio giudizio il confronto è però impari: SELinux è solo una delle soluzioni per incrementare la sicurezza di Linux e, seppur complesso, offre qualcosa di cui OpenBSD non è fornito ( il famigerato MAC ): in fondo è anche grazie a SELinux che Red Hat ha potuto ottenere la certificazione EAL 4. Cosa dire sulle altre feature? GCC integra sistemi analoghi a propolice ( fortify source ) e PaX / Grsecurity possono irrobustire un sistema Linux in maniera decisamente soddisfacente; per quanto riguarda systrace, invece, i fatti parlano da soli…
E voi, come vedete la cosa? Avete esperienze di “prima mano” con SELinux o OpenBSD in ambienti di produzione?
[ via OSNews ]
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
allarmato
05 ott 2007 - 12:10 - #1credo che ci sia qualche problema con i server di ubuntu, non riesco a scaricare pacchetti oggi!
groucho_nt
05 ott 2007 - 12:25 - #2la mia prima esperienza con SELinux è stata quella di perderci tempo un po per far girare una versione di PHP compilata from scratch e dopo circa un paio d’ore di prove, googlate, howto e compagnia bella ho deciso di spegnerlo; oggi memore di quanto accaduto, la prima cosa che faccio con SELinux è appunto quello di spegnerlo
DvD
05 ott 2007 - 14:00 - #3La mia posizione è un po’ più articolata rispetto all’accesso/spento e la spiego su “SELinux - personalizzare una policy - Centos 5 - RHEL - Freshclam - caso concreto” se a qualcuno può interessare. :D
Byez
Simone V.
05 ott 2007 - 14:46 - #4“The mantra of any good security engineer is: “Security is not a product, but a process.” It’s more than designing strong cryptography into a system; it’s designing the entire system such that all security measures, including cryptography, work together.” (Applied Cryptography - Bruce Schneier)
TNT-6
05 ott 2007 - 18:25 - #5“I fatti parlano da soli”, certo… e certo non in favore di Linux. :D
Specie se andiamo a vedere il numero di vulnerabilita’ emerse nel kernel di questo negli ultimi anni e quelle emerse nel kernel di OpenBSD.
dbm
06 ott 2007 - 12:32 - #6La differenza principale consiste nel fatto che SELinux è un prodotto che si dis/abilita sopra un Sistema Operativo, mentre OpenBSD _è_ un Sistema Operativo.
Il primo è stato studiato per cercare di migliorare la sicurezza dei sistemi, il secondo è un sistema che nasce con la sicurezza come obiettivo primario.
Il paragone è quindi improprio, e se si tiene conto la sicurezza come obiettivo primario OpenBSD (almeno per la mia esperienza in merito) è nettamente superiore.
dbm
jimme
14 ott 2007 - 21:52 - #7@dmb, dire che OpenBSD è un sistema pensato per la sicurezza mentre SElinux è una cosa che si aggiunge è solo un ragionamento teorico, conta poco.
In realta non credo che un sistema che non supporta le mac possa essere raggiungere lo stesso livello di uno che le supporta.
Spiegami come fai su OpenBSD a fare in modo che un demone possa leggere e scrivere solo su determinati files, indipendentemente da chi l’ha lanciato e da che previlegi ha?
Non è questione di avere due strumenti che fanno la stesa cosa e decidere chi la fa meglio, SElinux offre degli strumenti avanzati che con OpenBSD non ha.
Sono stati scritti parecchi articoli su perche OpenBSD non puo raggiungere il livello di sicurezza Linux (ovviamente se ben configurato), prova a cercare.