Ubuntu és Selinux

Ablakos

Nagy kihívás ubuntu serverre selinuxot telepíteni és azt tisztességesen bekonfigurálni? Opensuse gyárilag szállítja ezt a biztonsági modult és elég komolyan be van ágyazva. (Számtalan rule stb.) Van esély, hogy egy alsópolcos linux tudással nem setenforce 0 lesz a vége?

a mester

Ablakos Opensuse gyárilag szállítja ezt a biztonsági modult és elég komolyan be van ágyazva.

Mivel az Opensuse a SUSE Linux homokozója, így nem nagy kunszt nekik 🙂

Kittus2

Ablakos

Ablakos Nagy kihívás ubuntu serverre selinuxot telepíteni

Nem

Ablakos azt tisztességesen bekonfigurálni?

Na ez már kihívás a javából! Az alapértelmezett rulok nem szokják lefedni a teljes funkció kínálatot. Nem csak ubuntun, de még Fedorán sem! Ergo, nagy türelemre és hosszú időre lesz szükséged, ha ezt tényleg jól és alaposan szeretnéd beállítani. Lényegében a Permissive módban keletkezett logokon soronként kell végigmenned és mindegyiket lecsekkolni, beállítani user és folder szinten. Persze ehhez vannak segédprogik, amik segítenek ebben. Sztem a sealert vagy a setoubleshoot lehet neked hasznos. Rövidke leírásod alapján én azt mondanám, hogy az audit2allow nem biztos, hogy a te barátod lesz. ÉS ez még csak az alap. Majd végig kell próbálgatnod a rendszered legeldugottabb beállításait is és azokat is beállítgatni. Persze itt nem árt, ha tudod hogy mit is csinál az adott progi a háttérben és az alapján hagyod jóvá a javaslatot vagy épp módosítod. (relabeling a barátod) Aztán setenforce 1 majd setenforce 0 és megnézed hogy mit felejtettél el beállítani. Ha sok a szabaidőd, akkor jó elfoglaltság. Előnye, hogy a labelling miatt egész rugalmasan tudod feleépíteni a rulokat. Általában desktop linuxon nem szokott kelleni olyan mértékű FS és folyamat szintű biztonság, amit egy jól beállított SELinux tud biztosítani neked.
Én azt mondanám, hogy ha nincsen rá nyomós okod, akkor használd az AppArmort. Ez a Debian alapú rendszerek SELinuxa. Ugyan nem tudsz annyira magas szintű szofisztikált védelmet építeni benne, de lényegesen egyszerűbb megérteni és felépíteni a profilokat. Az aa-genprof, aa-logprof és aa-autodep segítenek felépíteni és finomhangolni a profilokat. Mivel path alapú, ezért akár egy-egy progira is tudsz profilt alkotni. Viszont ha változik a path, akkor a profil is kidobható hacsak nem upgradeled. Ezzel is el lehet szórakozni, de sztem gyorsabban tudsz vele jó eredményt elérni. Bár, ízlések és pofonok...

Ablakos Van esély, hogy egy alsópolcos linux tudással nem setenforce 0 lesz a vége?

Ez a kitartásodtól függ. De sztem nem egyszer lesz setenforce 0 ha nem is feltétlen véglegesen. 🙂

meskobalazs

Ablakos Rossz a kérdés 🙂 A Debian és leszármazottjai gyakorlatilag az AppArmort használják a SELinux kiváltására, így csak magaddal tolnál ki, ha az SELinuxot akarnád ráerőltetni.