Skocz do zawartości
Fedoras

Dla Kogo Jest Selinux?

Recommended Posts

Fedoras    7

Mam pytanie, czy SELinux komuś w czymś pomógł? Czy obronił kogoś przed jakimiś atakami?

IPtables i pochodne chronią w sposób dość jawny. Widać co i skąd blokują czy odrzucają.

W logach SELinuxa są różne informacje ale, jak dla mnie, dość bezużyteczne. Nie wiadomo czy są to jakieś próby włamań czy zwykłe bla-bla i tworzenie "sztucznego tłoku" czyli zbędnego szumu informacyjnego.

Krótko mówiąc pytam o rzeczywistą, weryfikowalną przydatność SELinuxa.

 

Pozdrawiam

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Miszcz    44

Jeżeli używasz Fedory jedynie jako desktop to SELinux jest kompletnie nieprzydatny i będzie ci utrudniać tylko życie. Podstawowe metody kontroli dostępu są wystarczające.

A jeżeli chodzi o serwery, cóż zacytuję książkę- "MAC(SELinux) ma zastosowanie przede wszystkim w organizacjach o wyspecjalizowanych wymaganiach".

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Artur S    7

Wszystko zależy od tego, czy używasz domyślnej konfiguracji, czy też starasz się podnieść bezpieczeństwo. Domyślnie, SELinux nastawiony jest na ochronę usług sieciowych (ale nie tylko).

Kiedy przypiszesz użytkownikom w systemie usera SELinuksowego (guest_u, xguest_u, staff_u ...) to można mówić o sensowniejszym wykorzystaniu na desktopie.

Osobiście polecam wam poczytać sobie o sandboksie, który wykorzystuje SELinuksa (http://danwalsh.livejournal.com/31146.html). Ostatnio mamy sporo zamieszania z java, flashem i innymi pluginami, które skutecznie atakują użytkownika przeglądającego sieć. Tutaj masz możliwość konkretnie się odciąć.

 

Co do weryfikowania. Sam osobiście przez dłuższy czas miałem wpisaną ostatnią regułę netfiltra:

 

iptable -A INPUT -j LOG

Jednak po pewnym okresie czasu, stwierdziłem, że nie ma to sensu, bo wiele ruchu, który odrzucam jest tylko 'szumem' (np samba, cups). Ale tez sporo w tym ruchu było prób łączenia się i... co z tego? Podobnie jest z SELinuksem. Jeżeli przeglądasz logi audit.log, to interesują cię

avc: denied
, jednak nie każdy z nich od razu znaczy, że ktoś coś próbuje. Raz jest to problem z polityką, która jest zbyt restrykcyjna (bug), raz jest to aplikacja, która próbuje zrobić coś, czego nie musi robić (bug w postaci braku reguły dontaudit lub braku odpowiedniego patcha na soft) a czasami, ktoś coś próbuje.

Jak już wcześniej napisałem. Jeżeli jest to desktop, to domyślnie, twój system działa dla ciebie 'prawie' tak, jakbyś tego SELinuksa nie miał, więc polecam wrzucić użytkownika w odpowiedniego usera SELinuksowego. Tu masz ciekawe wideo na ten temat: https://access.redhat.com/site/videos/214723

 

Pozdrawiam

 

PS. W przyszłym tygodniu prowadzę szkolenie w Warszawie z SELinuksa w Altkomie, tak więc zapraszam :)

  • Upvote 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
JoleKK    3

Chętnie wpadłby ponownie na Twoje szkolenie w Wawie, ale na to, to mi szef nie wyłoży :). Tak czy inaczej, korzystając z okazji polecam szkolenia u Artura.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

Dzięki za wszystkie odpowiedzi. Może rzeczywiście SELinux jest przydatny także dla użytkownika komputera.

 

Pierwsze instalacje SELinuxa zacząłem gdzieś w 2001, 2002 czy 2003 roku. W tych czasach trzeba było go ściągać i instalować dodatkowo, a w Internecie było zero informacji. Jedynym źródłem jakiejś dokumentacji była strona twórców SELinuxa.

 

Przez te wszystkie lata przyzwyczaiłem się do SELinuxa, problemy z nim rozwiązywałem na bieżąco i traktowałem go prawie jak natywną część Linuxa, jak ipchains, a potem iptables. Do każdej nowej wersji używanych dystrybucji Linuxa (nie tylko Fedory), w pierwszej kolejności, dość bezrefleksyjnie ściągałem właśnie SELinuxa (zanim trafił do jądra i zestawu pakietów instalowanych domyślnie).

 

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
SeeM    84

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

 

A te plotki to? Bo nie czytam gazet za często.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
@WalDo    260

W F19 selinuxa nie można już usunąć, jest przymusowy.

Nie wiem jak w poprzednich wersjach, bo nigdy nie próbowałem tak radykalnych posunięć, ale w F18 też SELinuksa nie usuniesz, więc to chyba żadna nowość.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

Oczywiście, w F18 pozostawały libselinux-2.1.12-7.3 i libsemanage-2.1.9-1, ale oprócz policycoreutils, policycoreutils-restorecond i paru innych pakietów, można było usunąć także selinux-policy. Teraz usunięcie selinux-policy nie jest możliwe.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
sunrise    32

Teraz usunięcie selinux-policy nie jest możliwe.

Oj chyba jednak można

[root@second ~]# yum remove selinux-policy
Wczytane wtyczki: langpacks, refresh-packagekit
Rozwiązywanie zależności
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy-targeted.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Ukończono rozwiązywanie zależności

Rozwiązano zależności

===============================================================================================================================================================================================================
 Package                                                   Architektura                             Wersja                                            Repozytorium                                       Rozmiar
===============================================================================================================================================================================================================
Usuwanie:
 selinux-policy                                            noarch                                   3.12.1-65.fc19                                    @updates-testing                                    62  
Usuwanie, aby rozwiązać zależności:
 selinux-policy-targeted                                   noarch                                   3.12.1-65.fc19                                    @updates-testing                                    18 M

Podsumowanie transakcji
===============================================================================================================================================================================================================
Usunięcie  1 Pakiet (+1 Zależny pakiet)

Rozmiar po zainstalowaniu: 18 M
W porządku? [t/N]: 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

Widzę, że masz wersję 0:3.12.1-65.fc19.

 

yum remove selinux-policy

Wczytane wtyczki: langpacks, refresh-packagekit

Yum version: 3.4.3

Rozwiązywanie zależności

--> Wykonywanie sprawdzania transakcji

---> Pakiet selinux-policy.noarch 0:3.12.1-63.fc19 zostanie usunięty

libsemanage-2.1.10-4.fc19.i686 wymaga: selinux-policy

--> Przetwarzanie zależności: selinux-policy dla pakietu: libsemanage-2.1.10-4.fc19.i686

--> Wykonywanie sprawdzania transakcji

---> Pakiet libsemanage.i686 0:2.1.10-4.fc19 zostanie usunięty

sssd-common-1.10.0-16.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: sssd-common-1.10.0-16.fc19.i686

2:shadow-utils-4.1.5.1-5.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: 2:shadow-utils-4.1.5.1-5.fc19.i686

 

................

 

Depsolve time: 42.708

Błąd: Próbowanie usunięcia pakietu "systemd", który jest chroniony

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
@WalDo    260

Usunięcie polityk to jednak nie to samo co usunięcie SElinux ;) Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows... :)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Artur S    7

Usunięcie polityk to jednak nie to samo co usunięcie SElinux ;) Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows... :)

 

Myślę, że kolega chce mieć super okrojony system, bo im więcej softu, tym więcej potencjalnych moliwości dla właującego.

Co do twojej wypowiedzi, jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Pozdrawiam

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

...jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Oczywiście mówimy o warstwie dla użytkownika komputera. Warto jeszcze dodać parametr jądra "Enforcing=0" i pozbyć się uporczywego podrzucania pliku .autorelabel, mimo niedziałającego selinuxa.

Czy ktoś wie gdzie to wyłaczyć?

 

Pozdrawiam

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Tylko zarejestrowani użytkownicy mogą dodawać komentarze

Dodaj konto

Załóż nowe konto. To bardzo proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz już konto? Zaloguj się tutaj.

Zaloguj się teraz

×