SELinux entra in openSUSE
pubblicato: giovedì 28 agosto 2008 da Andrea de Palo in: SUSE Novell Security openSUSE
A partire da openSUSE 11.1, gli utenti SUSE avranno un’opzione aggiuntiva per quanto riguarda la scelta dei security-framework: oltre ad AppArmor sarà infatti aggiunto il supporto a SELinux. AppArmor continuerà comunque ad essere l’host intrusion prevention system di default e lo sarà anche in SUSE Linux Enterprise 11.
Tutte le componenti necessarie all’utilizzo di SELinux sono state aggiunte alla distribuzione del camaleonte ed il sistema inizialmente sviluppato dall’NSA troverà posto, come technology preview, anche in SUSE Linux Enterprise 11; tale decisione è stata presa per permette a tutte quelle società che si sono già standardizzate su SELinux di testare la versione enterprise senza richiedere cambiamenti alla loro infrastruttura.
Dopo il salto potrete trovare tutti i dettagli di questa decisione…
- kernel con supporto SELinux;
- applicazione delle patch SELinux a tutti i pacchetti più comuni;
- aggiunta di tutte le librerie richieste per SELinux (libselinux, libsepol, libsemanage, ecc.);
- non ci sarà supporto di classe enterprise per SELinux: i test di qualità verranno effettuati con SELinux disabilitato per evitare che le patch applicate “rompano” altri pacchetti già testati;
- gli strumenti SELinux (checkpolicy, policycoreutils, selinux-doc) non saranno inclusi come parte integrante della distribuzione ma saranno comunque disponibili attraverso i repository openSUSE e SUSE Linux Enterprise;
- policy SELinux di default non saranno incluse nella distribuzione;
via | Distrowatch
Articoli simili
Argomenti Simili
Gallerie Correlate
Commenti dei lettori
(Inserisci un commento - Nascondi commenti anonimi)
In evidenza
Sondaggio: siete soddisfatti di… 29 mag 2009
Abaco presenta Primo, il persona… 31 mar 2009
I giochi di ossblog
Chi ha il merito di aver diffuso… 17 giu 2008
La distro migliore! 16 giu 2008
Ultime Segnalazioni
Vedi tutte le segnalazioniRSS syndication
Iscriviti al feed rss di ossblog
I più commentati della settimana
I più letti della settimana
Pubblicità
Sei interessato a promuovere la tua attività su ossblog?
Pubblicità su Blogo.it.
Archivi
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06.
© 2004-2009 Blogo.it, P. IVA 04699900967, pubblicità su Simply.com, alcuni diritti riservati sotto licenza Creative Commons.
Musica in mp3 su Dada, hosting e domini su Register.it, aziende.it
xear3D
28 ago 2008 - 13:36 - #1bah, SELinux è troppo complesso anche per l’uso maggior parte delle medio-grandi aziende, è una cosa veramente di nicchia.
�Per imparare a usarlo ho dovuto passare giornate intere, dalla mattina alla sera, a leggere manuali e fare test. Ogni volta che devo implementare una configurazione di un certo grado di complessita mi partono pomriggi interi di lavoro, e sono l’unico a saperlo fare da noi. Poi se c’è da fare una modifica molto spesso bisogna rimettere mano a una buona parte del lavoro.
Io lo sconsiglio vivamente, va bene per usi militari o sistemi veramente di fascia alta.
xear3D
28 ago 2008 - 13:40 - #2ecco, con questo articolo ci si fa un’idea di quanto è compleso lavorare con SELinux anche per realizzare configurazioni tutto sommato banali:
�http://www.ibm.com/developerworks/linux/library/l-rbac-selinux/
zorgat
29 ago 2008 - 13:39 - #3a vedere il numero di commenti non mi sembra che SELinux interessi molto. eppure quando si parla di queste cose trovi sempre gente che cita SELInux come l’arma finale di Linux, pero in realta mi sa che non lo usa nessuno…
�davide...............
29 ago 2008 - 16:37 - #4zorgat, SElinux funziona, ma come han detto sopra è complicato, e credo nemmeno troppo utile per un user casalingo.
�zorgat
29 ago 2008 - 17:08 - #5Lo so eccome che funziona, il problema è che da quanto è complesso non si riesce a installarlo di default in modo che protegga il sistema senza rompere agli utenti, di conseguenza nessuno lo usa e di conseguenza è come se non ci fosse.
�Gli integrity Level di Vista per confronto sono piu semplici concettualmente, sono pensati per fare solo una cosa e farla bene e difatti vengono usati e sono utili.
SELinux invece è complesso, versatile, potentisismo… ma inusabile se non da un guru. E i PC dei niubbi dove li mettiamo?
zorgat
29 ago 2008 - 17:32 - #6anche perche il tipo di protezione che offre è utile su qualsiasi sistema, anche su un desktop.
�non vedo il motivo per cui non dovrebbe essere utile blindare programmi come il browser ad esempio.
ienabellamy
30 ago 2008 - 12:55 - #7mah. SElinux è utilizzato veramente da poche persone, vista la sua estrema complessità che spesso provoca delle belle rotture a chi non lo conosce bene.
�Le patch come GRsecurity o soluzioni piu semplici come Apparmor son state inventate apposta…perchè è risaputo che una cosa più è complicata, più provocherà danni se non usata correttamente. Sinceramente, vedo SElinux *solo* come soluzione per computer che devono essere veramente blindati. Alla fine, quando si ha un sistema aggiornato, con servizi chroottati e un firewall/ids adeguato va bene per la stragrande maggioranza di aziende medio/alte.
Io sto studiando Apparmor perchè non ho nè il tempo nè la voglia di infilarmi in quel casino di SELinux…
Lavoro in un’azienda di IT security e…nessuno qua usa SELinux…
zorgat
31 ago 2008 - 21:28 - #8non basta, un OS moderno deve fornire strumenti piu avanzati sul controllo dei privilegi di dati e processi. finalmente SELinux ha colmato questa lacuna di Linux, ma purtroppo è troppo complesso. d’altra parte è stato progettatod alla NSA per i suoi usi interni…
piuttosto uso opensolaris che con i container è molto piu pratico.
ps: dal chroot si puo uscire, non è una misura i sicurezza! l’avevano detto anche i kernel haker in una mailing list! ;)
�ienabellamy
01 set 2008 - 18:26 - #9@zorgat:
d’accordo, ma forse non hai utilizzato veramente SELinux per parlare così :-)
ti spiego: se hai un server da gestire con tot servizi, hai una vaga idea del TEMPO materiale che serve per configurare per bene quel cristo di SElinux ? ora, io da sistemista, non posso occupare 8 ore lavorative per 5 giorni su 7 per sistemare un server che al quasi-minimo cambiamento di qualcosa mi tocca spataccare nelle conf di SElinux. Per me è il più grande servizio di hardening che abbiamo, ma è veramente troppo complesso.
�Il chroot si può sfondare certo, ma come tutto del resto. Ti ricordi del local exploit del vmsplice ? ecco, sai la gente che è rimasta fottuta anche con SELinux ? e sai perchè ? perchè non serve a niente una cosa così complessa se non la sai usare :-)
In sostanza, ritengo SElinux un’ottima soluzione per fare dell’hardening, ma per imprese piccole-medie, aziende di hosting web per esempio, soluzioni come grsec/pax o apparmor con meccanismi di foto-printing come Tripwire, chroot, aggiornamenti regolari etc… dovrebbe andare bene :-)