Security-Enhanced Linux User Guide
- Dodano: 25 listopada 2008
- Wprowadził: linux.jest.zajebisty
- Komentarze: 74
Zapewne wszyscy użytkownicy Linuksa zdają sobie sprawę z tego, że Security-enhanced Linux to wysokiej klasy system zabezpieczeń (eksperci wybaczą uproszczenie). Security-Enhanced Linux był tak udaną implementacją architektury Flask, że jej koncepcja została przeportowana również do innych systemów operacyjnych.
Linuksowi fanboje podczas świętych wojen z windowsowymi fanbojami bardzo często poruszają temat zabezpieczeń systemu. Świętym Graalem jest tutaj właśnie SELinux. Bardzo wielu ludzi wręcz uważa, że wprowadzenie wsparcia dla SELinuksa w nowym Ubuntu podniosło bezpieczeństwo tego systemu do poziomu systemów RHEL. Otóż prawda jest niestety inna. SELinux od zawsze był projektowany tak, aby był jak najprostszy w użyciu dla każdego użytkownika. Niestety user friendly było projektowane przez niewłaściwych ludzi, dlatego nawet w systemach z bardzo dobrym wsparciem dla SELinuksa, np. Fedorze, około 50% ludzi wyłącza ten system zabezpieczeń. Ile % użytkowników używa SELinuksa pod Ubuntu, gdzie to wsparcie jest tylko chwytem marketingowym?
Security-Enhanced Linux, jak większość systemów zabezpieczeń, jest skomplikowany, niewystarczająco obszernie opisany i na tyle łatwy w użyciu, że ta prostota użytkowania odstrasza nawet deweloperów jądra systemu. Skutkiem tego jest taka sytuacja, że niektórzy ignoranci piszący manuale (ukłony dla ekipy howtoforge) zalecają… wyłączenie systemu zabezpieczeń. SELinux stał się takim mistycznym bytem, o którym mówi się, gdy chce się powiedzieć „jaki to Linux jest super bezpieczny i cool”, a tak naprawdę na co dzień się go nie używa.
Na szczęście dla wszystkich nierozumiejących tego systemu zabezpieczeń powstał podręcznik Security-Enhanced Linux User Guide. Ułatwi on zrozumienie architektury systemu oraz sposobów jego obsługi.
Więcej informacji: http://docs.fedoraproject.org/selinux-us...f10/en-US/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
74 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Dobra lektura do poduszki
Podoba mi się styl artykułów tego autora, przyjemnie się czyta wszystko idzie zrozumieć nawet w przypadku trudnego tematu i duża doza ironii, tak dalej;d
Zgadzam się ale moim skromnym zdaniem ™ niezbyt to się nadaje na OSNews. W/g mnie ideałem by było gdyby na ON była wersja bardziej rzeczowa a na końcu wpis że ciekawsza wersja wiadomości znajduje się na moim blogu.
No i gratulować autorowi że nie podchodzi do Linuksa "na kolanach".
A mi może podobałby się styl autora, gdyby istotnie były to artykuły. Ale teoretycznie powinny być to niusy.
Dowcip ma jednak lekko przyciężki. Ale cóż, DGCC.
Dobry news. Może nie do końca "rzeczowy", ale przynajmniej bez ściemy…
Ktos madry powiedzial kiedys, "zlozonosc jest najwiekszym wrogiem bezpieczenstwa". SELinux jest po prostu zwalony koncepcyjnie. Jest zbyt skomplikowany, aby typowy administrator mogl sobie z nim latwo poradzic. Dokumentacja wiele nie zmienia – skomplikowany system nadal pozostaje skomplikowany, i gdzies posrod tej komplikacji moze kryc sie problem konfiguracyjny, ktorego administrator nie zauwazy.
Skomplikowany? Eh..
Co do myśli z typowym administratorem to się nie zgodzę, raczej problemem jest brak narzędzi którą pozwalają rzeźbić z ustaloną dokładnością (z góry zaznaczam, że nie wiem jaki jest stan obecnie narzędzi do zarządzania SELinux). Ale w przypadku zwykłego użytkownika gdy na oficjalnych forach doradzają wyłączenie zabezpieczeń w celu bezproblemowej pracy to oznacza dużą porażkę.
"raczej problemem jest brak narzędzi którą pozwalają rzeźbić z ustaloną dokładnością"
Odpowiednie narzędzia są.
"(z góry zaznaczam, że nie wiem jaki jest stan obecnie narzędzi do zarządzania SELinux)"
Całkiem niezły.
@rkowal: Nie chodzi o narzedzia. Narzedzia moga maskowac zlozonosc, ale jej nie usuna.
trasz, ale chyba nie zaprzeczysz, że dopóki ta złożonośc schowana jest za warstwą abstrakcji (kolorowa aplikacja), to problemu nie ma. Zapewne też złożność się w jakimś stopniu przekłada na funkcjonalność.
Maskowanie złożoności jest wystarczające.
Weźmy na przykład języki programowania. Asembler może dla kogoś być trudny, więc powstały prostsze języki które "maskują trudność" asemblera. Kod piszesz w innym języku, a ten jest przekształcany na kod asemblera.
"Kod piszesz w innym języku, a ten jest przekształcany na kod asemblera."
Może zostać przekształcony w kod assemblera, ale nie musi. To zależy od widzimisię użytkownika. Frontend kompilatora generuje kod pośredni, który później zostaje zamieniony przez backend na kod wynikowy dla danego systemu-achitektury. Jeśli użytkownik sobie tego zażyczy, to kod pośredni może zostać zamieniony na kod assemblera.
SELinux wcale nie jest tak skomplikowany jak niektórym się wydaje. Firma Tresys stworzyła dużą ilość narzędzi wspomagających administrowanie, że każdy użytkownik systemu GNU/Linux powinien sobie poradzić. Wystarczy uważnie czytać logi jak coś nie działa i wziąć pod uwagę ewentualne sugestie. Pisałem na jego temat pracę i muszę przyznać, że jest to naprawdę potężne narzędzie i o ile w przypadku komputerów domowych można darować sobie jego używanie to w przypadku serwerów z wieloma działającymi usługami jego funkcjonowanie jest bardzo wskazane.
Jak sie nie wie do czego uzyć to sie nie używa.
Jaki masz zysk z selinuksa na komputerze typu desktop??
Jaki masz zysk z selinuksa na maszynie w intranecie gdzie stoi jedna usługa a do kompa ma dostep admin i nikt inny ? O ile wzrośnie poziom bezpieczeństwa? o 1% a może mniej?
Ale już jak ma się shellownie z niepewnymi uzyszkodnikami to takie zabezpieczenie dużo daje.
Kolejny raz, zabezpieczenia dobiera się do potrzeb a nie wrzuca (marketingowo) wszystko co się da. Selinux nie zabezpieczy cię przed głupimi błędami a bezmyślne stwierdzenie "mam selinux jestem bezpieczny" zakrawa o szczyt głupoty.
Widzę, że moja ostatnia diagnoza była trafna
Nie gadaj, ma trochę racji… To tak jak z bronią palną:
"Mam pistolet i jestem zajebiście bezpieczny"
Niestety życie jest trochę bardziej złożone… :/
l.j.z. dotyka cie trafnosc kolejnego komentarza ak47?
mozesz przynajmniej co w twoim mniemaniu jest nieprawda w tym jego komentarzu?
"l.j.z. dotyka cie trafnosc kolejnego komentarza ak47?"
Nie, po prostu ignoruje pewnych ludzi – szczególnie tych, wyzywających mnie od kretynów itp.
mi sie i tak bardziej AppArmor podoba… gdyby jeszcze sie dalo jakos rozwiazac problem hardlinkow w nim… to byloby idealnie (no, chyba ze juz rozwiazano i na bierzaco nie jestem ;P)
wystarczy oblukac sobie regulki apparmora i selinuksa by wiedziec, co jest latwiejsze. i przy okazji nie wymaga jakiegos dodatkowego wsparcia od aplikacji (typu –with-selinux przy kompilacji)
AppArmor może Ci się bardziej podobać, ale nie porównuj go z SELinuksem, bo to inna liga.
Szkoda tylko, że w selinuxie nie daje się zrobić tego samego co daje apparmor (a konkretnie nie da się stworzyć *jakiejkolwiek* bariery pomiędzy virtualkami dwóch różnych userów obsługiwanych przez ten sam proces apacza (i dajmy na to mod_python)).
W tomoyo też się nie da. Tylko w apparmorze o tym pomyśleli (ale niestety… projekt powoli dogorywa chyba).
Dan już Ci kiedyś powiedział, że to byłoby do wykonania z odrobiną pomocy ze strony Apache.
no, ale AA + grsecurity chyba nie ustepuje selinuksowi w kwestii bezpieczenstwa… (oczywiscie, pod warunkiem ze obydwa sa odpowiednio skonfigurowane…) …chyba ze sie deweloperzy pld myla (zdaje sie ze korzystaja z aa + grsecurity jeszcze)
sa jakies badania/testy ktore wskazywalyby, ktory lepszy
(testy nieprzeprowadzone ani przez novella ani przez redhata)
Po prostu systemy bezpieczeństwa opierające się na ścieżkach dostępu są teoretycznie gorsze. Problemem są właśnie te ścieżki – załóżmy, że ograniczasz dostęp do plików w katalogu /dane/jakiś/projekt/tajne_dane a ktoś zrobi bind mounta katalogu /dane/jakiś/ gdzieś indziej i już tajne_dane nie są chronione. Słabość systemów opartych na ścieżkach polega właśnie na braku odporności na takie błędy.
Poza tym, nie wszystko w systemie uniksowym jest plikiem jak niektórzy starają się od dawna udowadniać.
(Powyższe może być odebrane jako trollowanie na rzecz SELinuksa a przeciw AA – więc powiem jasno i wyraźnie – nie mam nic do tego, aby takie systemy jak AA czy TOMOYO znajdowały się w Linuksie.)
GRSec to inna bajka.
no, z tego co wyczytalem na toyomowskiej stronce-
Unmount protection Reject unmount requests for specified directories. (to samo dotyczy mount protection)
oraz potrafi 'wykryc' hardlinki (np ln /etc/superwaznykonfig /tmp/hahaha) i do nich niedopuscic (albo dokladniej: mozna sobie stworzyc hardlinka, ale bedzie mial on takie same zabezpieczenia jak pierwowzor), wiec w sumie glowne wady AA sa przez tomoyo rozwiazane… przy jednoczesnym zachowaniu 'elegancji' konfigow (jak ktos nie wierzy to niech spojrzy na ichniejsze konfigi).
tak czy siak- warto by sie temu przyjrzec dokladniej :>
Od paru lat dostępna jest dobrej jakości dokumentacja SELinuksa.
http://www.redhat.com/docs/manuals/enterprise/RHE…
Warto popatrzeć jakie dokumentacje Red Hat udostępnia – bo znaleźć tam można naprawdę kilka dobrych perełek.
Może komuś przyda się. Naprawdę dużo dobrych materiałów:
http://www.redhat.com/docs/manuals/enterprise/
Za dobre moze je uzywac tylko ktos, kto nie widzial dokumentacji Suna albo IBM-a.
Twoja ksywka pasuje do charakteru informacji jakie tu wnosisz.
A dokumentacja Apple-a nie jest lepsza? A może dokumentacja FreeBSD jest jeszcze lepsza?
A widziałeś FreeBSD handbook?
Dokumentacja FreeBSD do linuksowej ma się jak książka do kupki luźnych kartek.
@Tomasz Chiliński: Zerknij po prostu na http://docs.sun.com. Albo na IBM-owe redbooki. I porownaj ze strzępami informacji udostepnianymi przez RH.
Co do Apple'a, to sie nie moge wypowiadac, bo nigdy nie musialem uzywac.
Czy Wy w ogóle zaglądaliście dokumentacji Red Hata. Podejrzewam, że posługujecie się mitami…
SELinux obsysa. Jest (był?) kiepsko zaprojektowany, upierdliwy w konfiguracji i na dodatek fragmentami opatentowany. Jedyna jego "zaleta", to że wszędzie go wciskają. Na siłę
Ja tam wolę RSBACa. Też ma wady (choćby dokumentacja), ale znaczniej przyjemniejszy w użyciu i dużo więcej można z nim osiągnąć.
role
Part of SELinux is the Role-Based Access Control (RBAC) security model.
…twoim zdaniem. Prywatne poglądy możesz umieszczać w komentarzu pod newsem.
SELinux, nie ma jak "security through obscurity"
W domu wszyscy zdrowi?
Ja jakoś wolę rsbac. Możliwości chyba nawet większe, a nie trzeba żadnych libselinux ani podobnych. Szkoda że to selinux trafił do kernela…
Nie było wyboru po certyfikacie NSA.
Czy może DoD — nie pamiętam która z ww. instytucji przyznaje certyfikaty bezpieczeństwa dla USA.
Czy ktoś mógłby zbanować wreszcie tego trolla "linux.jest.zajebisty"?
Do autora:
To nie jest twój prywatny blog, tylko obiektywny serwis newsowy. Twój wpis nie jest ani newsem, ani nie jest to obiektywny.
Wracaj na drzewo.
Prawdę mówi. Bana mu, bana!
Krzy, akurat Ciebie to nie podejrzewałem o brak poszanowania dla wolności słowa. Gdzie to Twoje Werterowskie "Nienawidzę Twoich poglądów, ale oddam życie, abyś mógł je głosić"?
No, chyba, że mam odczytywać Twoją wypowiedź zupełnie inaczej…
Prawie na pewno chodziło ci o Woltera, nie Wertera
"Prawie na pewno chodziło ci o Woltera, nie Wertera
"
Faktycznie, czasami mylą mi się nazwiska/ksywki
Werter/Wolter
Bocelli/Botticelli
Thar/Trasz
etc.
Ta ostatnia pomyłka jest wręcz przerażająca. Zdajesz sobie sprawę z potencjalnych konsekwencji?
Dołączam sie do przerażenia.
Przepraszam, parafrazowałem wypowiedź Kol. xd, ale jak widzę zbyt skrótowo. Pozwolę sobie rozwinąć:
[linux.jest.zajebisty] prawdę mówi [więc] bana mu!
Inaczej mówiąc, Kolegę xd prawda w oczy kole.
Obiektywizm to fikcja.
Musiałbyś wszystkie przymiotniki wyrzucić, bo zawsze by się ktoś mógł doczepić.
Obawiam się, że to nic nie da. Zawsze można założyć drugie konto i następny news będzie na temat cenzury
Co za dno! OSnews kiedyś miewał (ma?) rzeczowe i obiektywne wiadomości ze światka IT, natomiast obecnie coraz częściej służy do pimpowania _swoich_ poglądów.
"Co za dno!"
Cóż za konstruktywna krytyka – pewnie byłbym pod wrażeniem celności twych argumentów, gdybyś tylko podał jakieś argumenty przemawiające za tym, że moja skromna "tfurczość" może zostać zaliczona do "dna".
"OSnews kiedyś miewał (ma?) rzeczowe i obiektywne wiadomości ze światka IT"
Przypomnij mi w której to było bajce – gdy się jedzie po Microsofcie za wydanie Visty jest ok? Jechanie po MS i Apple jest przez czytelników ON uważane za Himalaje objektywizmu, prawda?
"obecnie coraz częściej służy do pimpowania _swoich_ poglądów"
Wskaż miejsce w którym "pimpuje" swoje poglądy.
Tak, bo odbywa się W KOMENTARZACH. A jeśli odbywa się w newsach, zbiera baty. Również od użytkowników Linuksa.
Pseudonim jakim posługuje się autor newsów jest prostacki.
Dresy rulez!
Z prostactwem czy nie prostactwem pseudonimu nie będę polemizował.
Ale dlaczego od razu od dresów?
(LOL)
Zapomniałeś dodać
linux.jest.zajebisty/WoW
A ja nie lubię SELinuxa.
Na egzaminie RHCE użyłem narzędzia graficznego do konfiguracji NIS. Ten zawiesił się w połowie działania (!) i wstawił znak entera w środek pliku konfiguracyjnego ypbind. A ponieważ system był już skonfigurowany do używania NISa, to każdy proces który chciał wylistować użytkownika – dawał za wygraną lub nie. W tym czasie SELinux z jakichś powodów zaczął pluć masą kompletnie nieczytelnych komunikatów, w które zacząłem się zagłębiać.
Minęło pół godziny, zanim poprawiłem błąd. Egzaminu nie zdałem minimalnie, więc wtopiłem furę siana i nerwów. Zwalam to na SELinux.
Dla odmiany nie dodalo mojego komentarza, zalosny sie ten "serwis" robi, jedna wielka cnezura :ASD
Mialem podobnie, chociaz bez egzaminu, chcialem stosunkowo niedawno zobaczyc nad czym sie tak spuszczaja w tej Fetorze, zapodalem Xen bo to mnie najbardziej interesowalo, tworze obraz dysku w katalogu domowym, odpalam i blad. Brak dostepu. A, luz pewnie nie jestem UID0, su – , zeby zobaczyc ten samo komunikat … WTF?
Moze jakies uprawnienia Xen … nie
Moze plik lub obraz musza byc wykonywalne … nie
Moze trza zrebootowac Fetore + Xen po czymstam … nie
Po prawie godzinie googlowania sie okazalo ze to "cudowny" SELinux :ASD
Developerzy Fetory zalozyli sobie radosnie ze obrazy systemow pod Xen moga sie znajdowac tylko w katalogu (o ile dobrze pamietam /var/lib/xen i nigdzie kuwa indziej), a SELinux tez NIE PODA ZADNEGO INFO ZE TO O NIEGO CHODZI.
Jedno wielkie gowno, omijac z daleka.
Wcale nie "nigdzie k… indziej", wystarczy nadać obrazom odpowiedni kontekst za pomocą setcon.
Skoro nie ma ZADNEGO komunikatu ze to SELinux to skad ma byc wogole wiadomo WTF i co zmieniac?
audit.log – tam jest wszystko co SELinux zrobil i dlaczego…
Szkoda, ze ludzie nie znajacy sie na technologii ja krytukuja. To chyba dosc popularne wsrod niektorych ludzi – obrazac sie na cos czego nie znaja
@NeizD
Odpalam Fetore – distro na desktop i nawet przez mysl mi nie przeszlo ze ma SELinux by default, komunikat bledu NIC o tym nie wspomina, a nie mam na drugie Jezus niestety :/
Złej baletnicy to i … Ja pierwszą styczność z SELinux miałem na rapid track course do RHCE. Na RHCE miałem różne problemy z SELinux do rozwiązania i jakoś pomimo tego iż zaznajamiałem się z SELinux dopiero 3 dni zdałem z wynikiem 100%. Z klikalnych konfiguratorów podczas egzaminu nie używałem, zresztą tak samo jak i w realu, gdzie rzeźbię sobie nano pliki konfiguracyjne ręcznie
.
Coś mi się zdaje, że jeśli serio zdałeś to przed chwilą pogwałciłeś papierek, który podpisałeś przed samym egzaminem – wolno Ci tylko ujawnić czy zdałeś czy nie, nie wolno powiedzieć na ile %.
Raczej jednak bym obstawiał, że ściemniasz z tymi 100% bo to naprawdę ciężkie zadanie
Nie przypominam sobie zakazu o podawaniu % wyniku. Był zakaz o podawaniu treści pytań i rozwiązań. Podaj email to przeforwarduje Ci mój wynik.
odzezwij sie na jabberze moj login na chrome.pl
Złej baletnicy to i SELinux w RHCE przeszkadza
Ja egzamin zdałem i ciągle uważam, że nie ma czegoś takiego jak "nie zdałem minimalnie". To, że wtopiłeś kasę to Twoja sprawa – trzeba było się lepiej przygotować do egzaminu.
SELinux jest fajny – tylko trzeba zainwestować trochę czasu w poznanie go – ale czego można używać nie znając tego? Widzę na przykładzie mojego ojca, który nauczony używać KDE, po przesiadce na Windows(r) klął i wyzywał aż w końcu wrócił do KDE i jest szczęśliwy. Sam stwierdził, że nauczył się już "Linuksa" i nie chce marnować czasu na żadne Windowsy
"Na RHCE miałem różne problemy z SELinux do rozwiązania i jakoś pomimo tego iż zaznajamiałem się z SELinux dopiero 3 dni zdałem z wynikiem 100%."
Brawo
cóż, widzę zę same RHCE tu siedzą, taki mały jestem. Ciekawe ile z miejscowych RHCE zarabia na RHCE na życie?
Powiem wymijająco kolegom, że ja sobie "nie przypominam" ŻADNYCH zadań z SELinux nie powiem głośno na jakim egzaminie. Kto był to wie o czym mowa.
Problem w tym, że jeżeli użyjemy narzędzi zamiast shella i vi, to nie możemy być pewni co naprawdę się stało, jako że te grzebią w kilku konfigach. Osobliwie nie da się łatwo zobaczyć entera jeśli go tam nie ma prawa być.
Pytanie retoryczne do wszystkich fanbojów SELinux: w jaki sposób ustawiać policy dla zamkniętego softu, który jak bydło rozprzestrzenia się po całym dysku? mam godzinę spędzić przy settroubleshoot? ani myślę, ja mam określony deployment i nie marudzić, ja muszę zarobić a nie
Dodam, że to były stare czasy pierwszego, niesławnego RHEL 5, który razem z Fedorą umacnia w w przekonaniu, że to raczej wolne dystrybucje to mainstream.
…nie napisałem najważniejszego:
to nie jest prawda, że logi audit.log są intuicyjne. Jak rozwalisz sobie bazę userów to część usług potrzebuje wylistować użytkowników, a część też… ale tylko lokalnych… no i tak właśnie wyglądają logi. Wykonujesz chmod a system czeka, potem informuje permission denied. Wpisujesz getent passwd – czekasz aż się podda. Restart usługi – czekasz. Wszystko też owocuje wyświetleniem magicznej żółtej ikony w prawym górnym rogu… komunikaty nieczytelne. Usługa działa, ale wszędzie brak dostępu.
Polecam dla testów nerwów jak zegar tyka
)
Wreszcie jakis normalny admin a nie kolejny fanboy na pale
Milo wiedziec za tacy tez jeszcze istnieja (normalni)
Dresiarski nick, a tresc dobra dla fanbojowskiego blogaska – ale nie na serwis newsowy. Autor realizuje tu swoje osobiste problemy. To kuracja nie newsy.