SELinux: veiligheid ten koste van bruikbaarheid
De veiligheid van besturingssystemen draait om het beheren van de toegang. Via het Discretionary Access Control (DAC) mechanisme is het in Linux distributies mogelijk om te bepalen wie toegang tot een resource krijgt en op welke manier. DAC is echter geen ideale oplossing, omdat het applicaties dezelfde privileges geeft als de gebruiker die ze draait.
Een gecompromitteerde applicatie die als root draait, brengt het hele systeem in gevaar. Als antwoord heeft men Mandatory Access Control (MAC) ontwikkeld, dat toegang tot een resource regelt aan de hand van een security policy, ongeacht welke gebruiker de applicatie draait. Het Security Enhanced Linux (SELinux) project is de eerste "mainstream" implementatie van MAC.
SELinux is ontwikkeld door de National Security Agency, maar in 2000 teruggegeven aan de open source gemeenschap. Alle veiligheid gaat echter ten koste van de bruikbaarheid, en gebruikers moeten dan ook wel even wennen. Toch zijn er allerlei tools die het leven van de SELinux gebruiker makkelijker maken, zoals dit artikel beschrijft.
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.
Als je niet weet wat je aan het doen bent worden msi's zelfs
moeilijk....
RTFM...
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.
Welnee. Installeren en de juiste policy applyen. Helemaal
geen probleem, duurt nog geen uur.
Zo hoe voelen die LinuxGoeroes zich nu met een NSA hun zijde
die een dikke vinger in de pap bij linux hebben :+)
redelijk lekker........ aangezien SElinux geschikt word geacht voor een zeer
veilige werkomgeving door een 'gewaardeerd' open-source partner.
De NSA doet meer dan alleen maar speuren en aangezien SElinux open-
source is kan iedereen de broncode bekijken en controleren op mogelijke
onregelmatigheden.
instellingen weerhouden wordt: http://seedit.sourceforge.net/.
Ben benieuwd of mensen er al ervaring mee hebben.
Ik moet 'm zelf ook nog proberen.
ikzelf draai al sinds fc3 met selinux en heb nog geen rare
dingen meegemaakt. zolang je maar even de tijd neemt om te
leren hoe het in elkaar steekt valt het allemaal heel erg mee.
sind fc5 zit er nu ook selinux module support in fedora core
en dat werkt erg prettig en makkelijk. Ik heb tot nu toe nog
geen server gehackt zien worden waar selinux op draait (in
tegenstelling tot vergelijkbare systemen zonder selinux). En
ik heb er toch zo'n 600 in m'n beheer.
http://www.nsa.gov/selinux/papers/ottawa01/node3.html
Het zou de redactie sieren de websites van de producten ook
echt te bezoeken ipv het nablaten van 'experts' op vage
derderangssites.
sind fc5 zit er nu ook selinux module support in fedora core
en dat werkt erg prettig en makkelijk. Ik heb tot nu toe nog
geen server gehackt zien worden waar selinux op draait (in
tegenstelling tot vergelijkbare systemen zonder selinux). En
ik heb er toch zo'n 600 in m'n beheer.
geen dingen door elkaar halen..
een hacker kan nog best een selinux bak hacken maar het punt
zit em in het voledig compromiteren van het systeem.
maw, een hacker zou best root kunnen verkrijgen door het
hacken van een kwetsbare service maar nooit meer kunnen doen
dan de selinux policy voor die bepaalde service toelaat.
dus het is best mogelijk dat een van jouw bakken een
bepaalde service is gehacked en aktief wordt misbruikt.
geeft meteen al aan dat dat een hack dus ook minder opvalt
omdat het automatisch wordt beperkt tot de gehackte service
en een rootkit detector dus wellicht ook minder goed werkt.
old skool hackers nemen graag een compleet syteem over door
het installeren van een rootkit maar dat zal niet/moeilijker
gaan met selinux.
neemt niet weg dat als een hacker bv je ftp server weet over
te nemen dat hij die wel tot illegale software server zou
kunnen omtoveren maar niet de rest van het systeem kan
overnemen.
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.)
gebruiksvriendelijk, terwijl er zeer onhandige GUI's zijn en
geweldige commandline programma's (Hiermee doel ik overigens
niet op SELinux maar algemeen).
geen dingen door elkaar halen..
een hacker kan nog best een selinux bak hacken maar het punt
zit em in het voledig compromiteren van het systeem.
Daar heb je helemaal gelijk in. Geen woord aan toe te voegen.
Om een voorbeeld te geven van wat ik bedoel:
ik merk dat bijvoorbeeld lekke websites niet meer misbruikt
kunnen worden.
Software die door een php scripts (e.d.) wordt gedownload
wordt op de server opgeslagen in de context
httpd_sys_content_t. En deze context is per definitie weer
niet executable doordat de apache server in de httpd_t
context draait. De selinux policy staat namelijk niet toe
dat software uit de httpd_t context dingen kan executen met
de httpd_sys_content_t context.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
