Dla Kogo Jest Selinux?

[Fedoras]

Mam pytanie, czy SELinux komuś w czymś pomógł? Czy obronił kogoś przed jakimiś atakami?

IPtables i pochodne chronią w sposób dość jawny. Widać co i skąd blokują czy odrzucają.

W logach SELinuxa są różne informacje ale, jak dla mnie, dość bezużyteczne. Nie wiadomo czy są to jakieś próby włamań czy zwykłe bla-bla i tworzenie "sztucznego tłoku" czyli zbędnego szumu informacyjnego.

Krótko mówiąc pytam o rzeczywistą, weryfikowalną przydatność SELinuxa.

 

Pozdrawiam

[Miszcz]

Jeżeli używasz Fedory jedynie jako desktop to SELinux jest kompletnie nieprzydatny i będzie ci utrudniać tylko życie. Podstawowe metody kontroli dostępu są wystarczające.

A jeżeli chodzi o serwery, cóż zacytuję książkę- "MAC(SELinux) ma zastosowanie przede wszystkim w organizacjach o wyspecjalizowanych wymaganiach".

[Gość]

Wszystko zależy od tego, czy używasz domyślnej konfiguracji, czy też starasz się podnieść bezpieczeństwo. Domyślnie, SELinux nastawiony jest na ochronę usług sieciowych (ale nie tylko).

Kiedy przypiszesz użytkownikom w systemie usera SELinuksowego (guest_u, xguest_u, staff_u ...) to można mówić o sensowniejszym wykorzystaniu na desktopie.

Osobiście polecam wam poczytać sobie o sandboksie, który wykorzystuje SELinuksa (http://danwalsh.livejournal.com/31146.html). Ostatnio mamy sporo zamieszania z java, flashem i innymi pluginami, które skutecznie atakują użytkownika przeglądającego sieć. Tutaj masz możliwość konkretnie się odciąć.

 

Co do weryfikowania. Sam osobiście przez dłuższy czas miałem wpisaną ostatnią regułę netfiltra:

 

iptable -A INPUT -j LOG

Jednak po pewnym okresie czasu, stwierdziłem, że nie ma to sensu, bo wiele ruchu, który odrzucam jest tylko 'szumem' (np samba, cups). Ale tez sporo w tym ruchu było prób łączenia się i... co z tego? Podobnie jest z SELinuksem. Jeżeli przeglądasz logi audit.log, to interesują cię

avc: denied

, jednak nie każdy z nich od razu znaczy, że ktoś coś próbuje. Raz jest to problem z polityką, która jest zbyt restrykcyjna (bug), raz jest to aplikacja, która próbuje zrobić coś, czego nie musi robić (bug w postaci braku reguły dontaudit lub braku odpowiedniego patcha na soft) a czasami, ktoś coś próbuje.

Jak już wcześniej napisałem. Jeżeli jest to desktop, to domyślnie, twój system działa dla ciebie 'prawie' tak, jakbyś tego SELinuksa nie miał, więc polecam wrzucić użytkownika w odpowiedniego usera SELinuksowego. Tu masz ciekawe wideo na ten temat: https://access.redhat.com/site/videos/214723

 

Pozdrawiam

 

PS. W przyszłym tygodniu prowadzę szkolenie w Warszawie z SELinuksa w Altkomie, tak więc zapraszam

[JoleKK]

Chętnie wpadłby ponownie na Twoje szkolenie w Wawie, ale na to, to mi szef nie wyłoży . Tak czy inaczej, korzystając z okazji polecam szkolenia u Artura.

[Fedoras]

Dzięki za wszystkie odpowiedzi. Może rzeczywiście SELinux jest przydatny także dla użytkownika komputera.

 

Pierwsze instalacje SELinuxa zacząłem gdzieś w 2001, 2002 czy 2003 roku. W tych czasach trzeba było go ściągać i instalować dodatkowo, a w Internecie było zero informacji. Jedynym źródłem jakiejś dokumentacji była strona twórców SELinuxa.

 

Przez te wszystkie lata przyzwyczaiłem się do SELinuxa, problemy z nim rozwiązywałem na bieżąco i traktowałem go prawie jak natywną część Linuxa, jak ipchains, a potem iptables. Do każdej nowej wersji używanych dystrybucji Linuxa (nie tylko Fedory), w pierwszej kolejności, dość bezrefleksyjnie ściągałem właśnie SELinuxa (zanim trafił do jądra i zestawu pakietów instalowanych domyślnie).

 

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

[SeeM]

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

 

A te plotki to? Bo nie czytam gazet za często.

[@WalDo]

Myślę, że chodzi o Pryzmat, w którym to programie maczała palce NSA. SElinux też od nich

 

http://www.youtube.com/watch?v=EuJak7Do-rk tak od 2:15 

Edytowane Lipiec 4, 2013 przez WalDo
2:15 nie 2:40

[Fedoras]

No i po herbacie. W F19 selinuxa nie można już usunąć, jest przymusowy. Czy mam się czuć bezpieczniejszy?

[@WalDo]

W F19 selinuxa nie można już usunąć, jest przymusowy.

Nie wiem jak w poprzednich wersjach, bo nigdy nie próbowałem tak radykalnych posunięć, ale w F18 też SELinuksa nie usuniesz, więc to chyba żadna nowość.

[Fedoras]

Oczywiście, w F18 pozostawały libselinux-2.1.12-7.3 i libsemanage-2.1.9-1, ale oprócz policycoreutils, policycoreutils-restorecond i paru innych pakietów, można było usunąć także selinux-policy. Teraz usunięcie selinux-policy nie jest możliwe.

[@sunrise]

Teraz usunięcie selinux-policy nie jest możliwe.

Oj chyba jednak można

[root@second ~]# yum remove selinux-policy
Wczytane wtyczki: langpacks, refresh-packagekit
Rozwiązywanie zależności
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy-targeted.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Ukończono rozwiązywanie zależności

Rozwiązano zależności

===============================================================================================================================================================================================================
 Package                                                   Architektura                             Wersja                                            Repozytorium                                       Rozmiar
===============================================================================================================================================================================================================
Usuwanie:
 selinux-policy                                            noarch                                   3.12.1-65.fc19                                    @updates-testing                                    62  
Usuwanie, aby rozwiązać zależności:
 selinux-policy-targeted                                   noarch                                   3.12.1-65.fc19                                    @updates-testing                                    18 M

Podsumowanie transakcji
===============================================================================================================================================================================================================
Usunięcie  1 Pakiet (+1 Zależny pakiet)

Rozmiar po zainstalowaniu: 18 M
W porządku? [t/N]: 

[Fedoras]

Widzę, że masz wersję 0:3.12.1-65.fc19.

 

yum remove selinux-policy

Wczytane wtyczki: langpacks, refresh-packagekit

Yum version: 3.4.3

Rozwiązywanie zależności

--> Wykonywanie sprawdzania transakcji

---> Pakiet selinux-policy.noarch 0:3.12.1-63.fc19 zostanie usunięty

libsemanage-2.1.10-4.fc19.i686 wymaga: selinux-policy

--> Przetwarzanie zależności: selinux-policy dla pakietu: libsemanage-2.1.10-4.fc19.i686

--> Wykonywanie sprawdzania transakcji

---> Pakiet libsemanage.i686 0:2.1.10-4.fc19 zostanie usunięty

sssd-common-1.10.0-16.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: sssd-common-1.10.0-16.fc19.i686

2:shadow-utils-4.1.5.1-5.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: 2:shadow-utils-4.1.5.1-5.fc19.i686

 

................

 

Depsolve time: 42.708

Błąd: Próbowanie usunięcia pakietu "systemd", który jest chroniony

[@WalDo]

Usunięcie polityk to jednak nie to samo co usunięcie SElinux Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows...

[Gość]

Usunięcie polityk to jednak nie to samo co usunięcie SElinux Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows...

 

Myślę, że kolega chce mieć super okrojony system, bo im więcej softu, tym więcej potencjalnych moliwości dla właującego.

Co do twojej wypowiedzi, jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Pozdrawiam

[Fedoras]

...jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Oczywiście mówimy o warstwie dla użytkownika komputera. Warto jeszcze dodać parametr jądra "Enforcing=0" i pozbyć się uporczywego podrzucania pliku .autorelabel, mimo niedziałającego selinuxa.

Czy ktoś wie gdzie to wyłaczyć?

 

Pozdrawiam