Paul Wayper ha realizzato un serie di slide per illustrare al meglio il funzionamento del sottosistema SELinux.

Prima del salto un’introduzione dal punto di vista dell’utente, mentre dopo il salto qualche esempio pratico che può risultare utile all’amministratore che non ha ancora confidenza con gli strumenti di selinux.

Continua a leggere: SELinux, un'introduzione per utenti ed amministratori

Nelle scorse settimane è stato presentato Korset, una modifica al kernel Linux che permette di individudare il malware senza far ricorso a qualsiasi tipo di definizione/regola. Il kernel modificato monitora e traccia le azioni dei programmi installati e, sfruttando un modello che prevede come questi dovrebbero funzionare, stronca sul nascere qualsiasi attività anomala.

Un server web Apache che tenta di accedere il lettura ad /etc/shadow (dove sono contenuti gli hash delle password degli utenti) o in scrittura a /etc/ssh/sshd_config rappresenta, ad esempio, uno di questi comportamenti.

Sebbene Linux disponga già di vari sistemi per incrementarne la sicurezza (SELinux, AppArmor e GrSecurity/PaX su tutti), Korset offre un punto di vista differente e potrebbe interessare a chi intende garantire la massima sicurezza delle proprie macchine.

via | Slashdot

Continua a leggere: Presentato Korset, la patch per Linux che previene il malware

A partire da openSUSE 11.1, gli utenti SUSE avranno un’opzione aggiuntiva per quanto riguarda la scelta dei security-framework: oltre ad AppArmor sarà infatti aggiunto il supporto a SELinux. AppArmor continuerà comunque ad essere l’host intrusion prevention system di default e lo sarà anche in SUSE Linux Enterprise 11.

Tutte le componenti necessarie all’utilizzo di SELinux sono state aggiunte alla distribuzione del camaleonte ed il sistema inizialmente sviluppato dall’NSA troverà posto, come technology preview, anche in SUSE Linux Enterprise 11; tale decisione è stata presa per permette a tutte quelle società che si sono già standardizzate su SELinux di testare la versione enterprise senza richiedere cambiamenti alla loro infrastruttura.

Dopo il salto potrete trovare tutti i dettagli di questa decisione…

Continua a leggere: SELinux entra in openSUSE

Linux viene spesso descritto come un sistema operativo sicuro e solido, sottolineando il fatto che queste caratteristiche siano il frutto del lavoro di centinaia di sviluppatori sparsi per il mondo. Parte di questo risultato va però attribuito anche alla NSA, nota agenzia statunitense che qualche anno fa ha deciso di migliorare la sicurezza del pinguino creando un’insieme di patch chiamate Security-Enhanced Linux (SELinux).

Nonostante SELinux faccia ormai parte del kernel ufficiale e diverse distribuzioni lo offrano, già configurato, ai loro utenti, il suo funzionamento o le sue componenti possono risultare oscure anche agli utenti più smaliziati. Se l’argomento stimola il vostro interesse e vorreste colmare questa lacuna, vi consigliamo la lettura di questo articolo pubblicato su IBM DeveloperWorks, che analizza le idee alla base di SELinux e la loro implementazione.

Continua a leggere: DeveloperWorks spiega SELinux

Il team di OpenSolaris ha presentato Flexible Mandatory Access Control, un nuovo progetto che mira all’integrazione del modello di sicurezza Flask/TE all’interno del sistema operativo: questo modello è identico a quello implementato da SELinux e segue, in ordine cronologico, altri progetti come SEDarwin e SEBSD.

Il progetto verrà coordinato da Sun e dalla National Security Agency ( NSA ), nota ai più per il suo lavoro su SELinux.

via | OSNews

Continua a leggere: OpenSolaris punta alla sicurezza con FMAC

Scrivere delle policy per SELinux non è un compito semplice anche se in giro si trovano dei buoni tutorial in merito.
Ecco perchè può tornare utile un tool pensato apposta per smplificare la vita a chi voglia padroneggiare con pochi sforzi questa tecnologia di hardening della propria Linux-box: SEEdit.

Dotato di una GUI essenziale il tool consente di creare policy senza alcun problema anche se è ovviamente necessario avere una buona conoscenza di cosa si sta facendo.

La versione 2.2.0 rilasciata da pochi giorni consente la realizzazione di policy per sistemi Linux embedded oltre ad aggiungere il supporto per CentOS5 e la neonata Fedora 8.
Prima di iniziare a giocherellare con SEEdit consiglio una lettura approfondita della SELinux Policy Editor(SEEdit) Administration Guide, un tutorial veramente ben fatto che guida all’utilizzo di questo potente tool grafico.

SELinux Policy Editor

[Via | Linux Security]

Continua a leggere: SELinux semplice grazie a SEEdit

La presentazione di soluzioni come SMACK e TOMOYO non ha fatto altro che scatenare ulteriori polemiche sul ruolo di LSM e di SELinux. Nonostante la maggior parte degli esperti di sicurezza sia concorde sull’alta qualità di SELinux, molti suoi sostenitori ( tra cui figurano dipendenti di Red Hat ) stanno tentando di “forzare la mano” spingendo verso la sua elezione a standard de facto in Linux ed alla conseguente eliminazione di LSM che, ricordiamolo, consente l’utilizzo di differenti modelli di sicurezza grazie ad un insieme di moduli ( esterni ) ed agganci / hooks ( interni ) a Linux.

Questa idea ha sollevato nuovamente la collera di Linus, che, stufo di polemiche sui modelli di sicurezza da adottare in Linux, ha richiesto, prima di procedere con la rimozione di LSM dal kernel, prove concrete a sostegno dei vantaggi derivanti dall’eliminazione di questo framework. Per il momento, niente di nuovo sul fronte occidentale.

[ via OSNews ]

Continua a leggere: SELinux vuole scacciare LSM?

Il conto alla rovescia che ha coinvolto siti web e blog di tutto il mondo è terminato: finalmente la tanto attesa Ubuntu Gutsy Gibbon 7.10 è tra noi! (tanti siti web per bruciare la concorrenza hanno già annunciato il rilascio senza ovviamente fornire link alle ISO…).
Il sito web di Ubuntu per ora non riporta l’annuncio di rilascio ma le immagini sono già disponibili (i link per il download sono riportati alla fine di questo post)

Ricordo solo alcune delle nuove feature incluse nel Gibbone, di cui abbiamo parlato in occasione dei precedenti rilasci:

- Compiz abilitato di default per godere degli effetti grafici 3D
- Cambio rapido utente
- Possibilità di installare i più popolari plugin di Firefox attraverso il gestore software predefinito
- Configurazione dinamica dello schermo e tool grafico per i settaggi del server X
- Configurazione automatica delle stampanti collegate
- Inclusione del framework di sicurezza AppArmor alternativo a SELinux
- Nuovi profili di installazione per Ubuntu Server: Mail Server, File Server, Print Server, e Database Server oltre a LAMP

Download: Ubuntu, Kubuntu, Edubuntu, Gobuntu (versione libera di Ubuntu), Xubuntu

Torrent: Ubuntu, Kubuntu, Edubuntu, Xubuntu

Continua a leggere: Ubuntu Gutsy Gibbon 7.10 è arrivata!

AppArmor in crisi? Forse è presto per dirlo ma di certo gli sviluppatori principali del progetto sono stati licenziati dai vertici di Novell. Crispin Cowan e altri 4 programmatori hanno avuto il “ben servito” ad appena due anni dall’acquisizione di Immunix (software house creatrice di AppArmor) e dal rilascio dei sorgenti del sistema alternativo a SELinux (di cui abbiamo parlato più volte).

AppArmor continuerà ad essere ospitato da Novell e ad essere incluso in Suse Linux Enterprise Server ma lo sviluppo ricadrà completamente sulla comunità opensource.

Crispin Cowan ha espresso forti perplessità per la decisione ma ha confermato di voler continuare a occuparsi attivamente di AppArmor dando vita a una nuova società chiamata Mercenary Linux che offrirà consulenza a pagamento.

Resterà da capire se la comunità di sviluppatori riuscirà a tenere in piedi AppArmor senza programmatori che si dedichino full time al progetto che, è bene ricordarlo, ha fatto il suo ingresso in Ubuntu Gutsy Gibbon, una tra le poche distro a preferirlo a SELinux.

[Via | LWN]

Continua a leggere: Novell silura gli sviluppatori di AppArmor

Dopo SMACK ecco arrivare un’altra alternativa a SELinux, questa volta dal colosso delle telecomunicazioni giapponese NTT; come la soluzione originariamente sviluppata dalla National Security Agency, anche TOMOYO introduce in Linux il supporto al MAC, basandolo però sui percorsi dei file e non su un sistema di label. Le policy possiedono una struttura abbastanza semplice, vengono archiviate in formato testo e, analogamente a quelle di AppArmor, possiedono un’alta leggibilità.

Documentazione, binari per la maggiori distribuzioni ed una versione modificata di Ubuntu 7.04 con TOMOYO Linux già integrato sono disponibili sul sito progetto.

[ via KernelTrap ]

Continua a leggere: Dopo SMACK arriva TOMOYO Linux

Nuova versione di EnGarde distribuzione Linux sicura (i lettori la ricorderanno) che grazie a una completa interfaccia web permette di mettere in piedi in pochi passi un server web, DNS, mail “blindato”.

EnGarde 3.0.17 oltre ai numerosi bug corretti si segnala per delle novità molto interessanti:

- inclusione della versione alpha di Samba 4.0.0 alpha 1 per consentire un test della suite

- supporto a tcb, un sistema alternativo allo shadow password scheme (ne parlò Solar Designer tempo fa su Ossblog) che permette l’esecuzione di applicazioni con privilegi ridotti e l’eliminazione di binari con setuid

- balance, applicazione semplice da configurare per il bilanciamento del carico di un server

- powernowd, un demone per il controllo della velocità e il voltaggio della CPU.

Per maggiori dettagli sulle novità incluse rimando al corposo release announcement.

Download: EnGarde Secure Community 3.0.17

[Via | Linux Security]

Continua a leggere: EnGarde Secure Community 3.0.17

Sembra che per SELinux non ci sia proprio un momento di tranquillità: nei giorni scorsi la presentazione e la promessa di inclusione nel mainline kernel di una soluzione alternativa al sistema originariamente sviluppato dall’NSA, oggi, invece, un’accesa discussione sulle differenze tra la sicurezza garantita da SELinux e quella offerta da un sistema OpenBSD.

I principali argomenti che vengono portati contro SELinux si concentrano attorno alla sua complessità ed alla difficoltà nella definizione delle policy, processo che, a dire il vero, è stato semplificato anche grazie all’introduzione di tool come polgengui; gli utilizzatori di OpenBSD intervenuti nella discussione hanno sottolineato come la prima cosa che la gente “normale” faccia con SELinux sia spegnerlo, facendo notare anche come la facilità con cui esso può essere spento sia un’altra imperfezione del suo modello di sicurezza.

Continua a leggere: OpenBSD vs SELinux: la complessità è un problema?