Skocz do zawartości

Dla Kogo Jest Selinux?


Fedoras

Rekomendowane odpowiedzi

Mam pytanie, czy SELinux komuś w czymś pomógł? Czy obronił kogoś przed jakimiś atakami?

IPtables i pochodne chronią w sposób dość jawny. Widać co i skąd blokują czy odrzucają.

W logach SELinuxa są różne informacje ale, jak dla mnie, dość bezużyteczne. Nie wiadomo czy są to jakieś próby włamań czy zwykłe bla-bla i tworzenie "sztucznego tłoku" czyli zbędnego szumu informacyjnego.

Krótko mówiąc pytam o rzeczywistą, weryfikowalną przydatność SELinuxa.

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

  • Odpowiedzi 40
  • Created
  • Ostatniej odpowiedzi

Top Posters In This Topic

Jeżeli używasz Fedory jedynie jako desktop to SELinux jest kompletnie nieprzydatny i będzie ci utrudniać tylko życie. Podstawowe metody kontroli dostępu są wystarczające.

A jeżeli chodzi o serwery, cóż zacytuję książkę- "MAC(SELinux) ma zastosowanie przede wszystkim w organizacjach o wyspecjalizowanych wymaganiach".

Odnośnik do komentarza
Udostępnij na innych stronach

Wszystko zależy od tego, czy używasz domyślnej konfiguracji, czy też starasz się podnieść bezpieczeństwo. Domyślnie, SELinux nastawiony jest na ochronę usług sieciowych (ale nie tylko).

Kiedy przypiszesz użytkownikom w systemie usera SELinuksowego (guest_u, xguest_u, staff_u ...) to można mówić o sensowniejszym wykorzystaniu na desktopie.

Osobiście polecam wam poczytać sobie o sandboksie, który wykorzystuje SELinuksa (http://danwalsh.livejournal.com/31146.html). Ostatnio mamy sporo zamieszania z java, flashem i innymi pluginami, które skutecznie atakują użytkownika przeglądającego sieć. Tutaj masz możliwość konkretnie się odciąć.

 

Co do weryfikowania. Sam osobiście przez dłuższy czas miałem wpisaną ostatnią regułę netfiltra:

 

iptable -A INPUT -j LOG

Jednak po pewnym okresie czasu, stwierdziłem, że nie ma to sensu, bo wiele ruchu, który odrzucam jest tylko 'szumem' (np samba, cups). Ale tez sporo w tym ruchu było prób łączenia się i... co z tego? Podobnie jest z SELinuksem. Jeżeli przeglądasz logi audit.log, to interesują cię

avc: denied
, jednak nie każdy z nich od razu znaczy, że ktoś coś próbuje. Raz jest to problem z polityką, która jest zbyt restrykcyjna (bug), raz jest to aplikacja, która próbuje zrobić coś, czego nie musi robić (bug w postaci braku reguły dontaudit lub braku odpowiedniego patcha na soft) a czasami, ktoś coś próbuje.

Jak już wcześniej napisałem. Jeżeli jest to desktop, to domyślnie, twój system działa dla ciebie 'prawie' tak, jakbyś tego SELinuksa nie miał, więc polecam wrzucić użytkownika w odpowiedniego usera SELinuksowego. Tu masz ciekawe wideo na ten temat: https://access.redhat.com/site/videos/214723

 

Pozdrawiam

 

PS. W przyszłym tygodniu prowadzę szkolenie w Warszawie z SELinuksa w Altkomie, tak więc zapraszam :)

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 weeks later...

Dzięki za wszystkie odpowiedzi. Może rzeczywiście SELinux jest przydatny także dla użytkownika komputera.

 

Pierwsze instalacje SELinuxa zacząłem gdzieś w 2001, 2002 czy 2003 roku. W tych czasach trzeba było go ściągać i instalować dodatkowo, a w Internecie było zero informacji. Jedynym źródłem jakiejś dokumentacji była strona twórców SELinuxa.

 

Przez te wszystkie lata przyzwyczaiłem się do SELinuxa, problemy z nim rozwiązywałem na bieżąco i traktowałem go prawie jak natywną część Linuxa, jak ipchains, a potem iptables. Do każdej nowej wersji używanych dystrybucji Linuxa (nie tylko Fedory), w pierwszej kolejności, dość bezrefleksyjnie ściągałem właśnie SELinuxa (zanim trafił do jądra i zestawu pakietów instalowanych domyślnie).

 

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

Odnośnik do komentarza
Udostępnij na innych stronach

Dopiero ostatnie, niepotwierdzone plotki, rzucające nie najlepsze światło na twórców tego oprogramowania spowodowały, że zacząłem się zastanawiać dla kogo, tak naprawdę, jest SELinux?

 

A te plotki to? Bo nie czytam gazet za często.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 weeks later...

Teraz usunięcie selinux-policy nie jest możliwe.

Oj chyba jednak można

[root@second ~]# yum remove selinux-policy
Wczytane wtyczki: langpacks, refresh-packagekit
Rozwiązywanie zależności
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Przetwarzanie zależności: selinux-policy = 3.12.1-65.fc19 dla pakietu: selinux-policy-targeted-3.12.1-65.fc19.noarch
--> Wykonywanie sprawdzania transakcji
---> Pakiet selinux-policy-targeted.noarch 0:3.12.1-65.fc19 zostanie usunięty
--> Ukończono rozwiązywanie zależności

Rozwiązano zależności

===============================================================================================================================================================================================================
 Package                                                   Architektura                             Wersja                                            Repozytorium                                       Rozmiar
===============================================================================================================================================================================================================
Usuwanie:
 selinux-policy                                            noarch                                   3.12.1-65.fc19                                    @updates-testing                                    62  
Usuwanie, aby rozwiązać zależności:
 selinux-policy-targeted                                   noarch                                   3.12.1-65.fc19                                    @updates-testing                                    18 M

Podsumowanie transakcji
===============================================================================================================================================================================================================
Usunięcie  1 Pakiet (+1 Zależny pakiet)

Rozmiar po zainstalowaniu: 18 M
W porządku? [t/N]: 

Odnośnik do komentarza
Udostępnij na innych stronach

Widzę, że masz wersję 0:3.12.1-65.fc19.

 

yum remove selinux-policy

Wczytane wtyczki: langpacks, refresh-packagekit

Yum version: 3.4.3

Rozwiązywanie zależności

--> Wykonywanie sprawdzania transakcji

---> Pakiet selinux-policy.noarch 0:3.12.1-63.fc19 zostanie usunięty

libsemanage-2.1.10-4.fc19.i686 wymaga: selinux-policy

--> Przetwarzanie zależności: selinux-policy dla pakietu: libsemanage-2.1.10-4.fc19.i686

--> Wykonywanie sprawdzania transakcji

---> Pakiet libsemanage.i686 0:2.1.10-4.fc19 zostanie usunięty

sssd-common-1.10.0-16.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: sssd-common-1.10.0-16.fc19.i686

2:shadow-utils-4.1.5.1-5.fc19.i686 wymaga: libsemanage.so.1

--> Przetwarzanie zależności: libsemanage.so.1 dla pakietu: 2:shadow-utils-4.1.5.1-5.fc19.i686

 

................

 

Depsolve time: 42.708

Błąd: Próbowanie usunięcia pakietu "systemd", który jest chroniony

Odnośnik do komentarza
Udostępnij na innych stronach

Usunięcie polityk to jednak nie to samo co usunięcie SElinux ;) Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows... :)

Odnośnik do komentarza
Udostępnij na innych stronach

Usunięcie polityk to jednak nie to samo co usunięcie SElinux ;) Nie jestem guru od tych spraw, ale logicznie rzecz biorąc zamiast usuwać polityki równie dobrze można napisać w pliku konfiguracyjnym SELINUX=disable. Dokładnie ten sam skutek - reguły SElinux nie będą miały zastosowania do plików w systemie, jednak SELinux nadal będzie obecny. A co on tam robi? Who knows... :)

 

Myślę, że kolega chce mieć super okrojony system, bo im więcej softu, tym więcej potencjalnych moliwości dla właującego.

Co do twojej wypowiedzi, jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

...jak dasz DISABLED, to SELinux w ogóle nie działa, tak jakby go nie było.

 

Oczywiście mówimy o warstwie dla użytkownika komputera. Warto jeszcze dodać parametr jądra "Enforcing=0" i pozbyć się uporczywego podrzucania pliku .autorelabel, mimo niedziałającego selinuxa.

Czy ktoś wie gdzie to wyłaczyć?

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

×
×
  • Dodaj nową pozycję...