De beveiliging die Security-Enhanced Linux biedt
Een van de meest besproken features in Fedora Core 3 (FC3) is Security-Enhanced Linux, dat volgens sommige mensen van Linux een "military-grade" beveiligd besturingssysteem maakt. SELinux kan echter ook andere distributies beveiligen. Het de facto Linux security mechanisme, Discretionary Access Control, zorgt ervoor dat programma's worden uitgevoerd afhankelijk van de rechten die de gebruiker heeft. Als een gebruiker een programma draait, dan werkt dit alleen in zijn home directory en nergens anders. SELinux voegt een extra niveau van security toe aan Linux's DAC. Via Mandatory Access Control (MAC), draait een programma binnen een domein of sandbox met beperkte rechten, net zoals chroot. Op een machine met SELinux moet een actie eerst langs de Linux DAC gaan, waarna SELinux kijkt of die wel aan het MAC voldoet, voordat de actie wordt uitgevoerd, zo laat dit artikel weten dat dieper op SELinux ingaat.
aanspreekt, maar niet zoveel aandacht krijgt als SELinux) is
RSBAC: http://www.rsbac.org
soortgelijk principe. Het was een behoorlijk werk om in te
stellen.. eerst werk je vanuit zeer hoge restrictie en je
geeft langszamerhand de applicatie de rechten die het
precies nodig heeft om z'n taak te doen.. Het exploiteren
van zo'n proces zal dan lastig zijn omdat er moeilijk uit de
omgeving van het proces gebroken kan worden aangezien die
omgeving zeer beperkt is.
Ik vond het leuk om het te doen voor een keer.. en het werkt
zeer effectief. Maar gebruik dit aub niet als je je systeem
nog fatsoenlijk wilt kunnen onderhouden.. Althans ik vond
het maar een chaos om dingen te upgrade en dergelijke, geen
schrijfrechten naar files in /bin, moest je de hele boel
weer unlocken en dergelijke. Al met al leuk als hobby, maar
inderdaad wel military-grade te noemen. Ook als je het wil
instellen moet je toch wel behoorlijk veel weten van Linux
om de juiste rechten te kunnen geven.
Naar mijn mening te overdreven voor normale thuis-servers of
werkstations (ik zou het niet willen hebben op een desktop
PC.. nooit)..
veilige stand. Alles werkte prima maar alleen crossover
office ging retetraag.
Bij een nieuwe installatie op een andere pc ook selinux in
waarschuwingsmodus gezet. Dan werkt cxoffice prima.
De technische details ken ik (nog) niet maar het idee dat er
in linux ook zoiets als dit nodig zou zijn, geeft me niet
zo'n goed gevoel eerlijk gezegd.
Daarom ga ik me er snel eens in verdiepen! :-)
moeten worden voordat ze echt goed op
buiten-het-lab-machines kunnen worden ingezet. Te zijner
tijd zullen bijvoorbeeld packages met
standaard-security-instellingen komen, en handige
mechanismen om bijvoorbeeld te upgraden, wat nu inderdaad
nog een ramp is. Een distributie die hiermee met RSBAC
experimenteert is http://adamantix.org
Ik heb enige tijd FC3 met selinux gebruikt. Selinux in de
veilige stand. Alles werkte prima maar alleen crossover
office ging retetraag.
Bij een nieuwe installatie op een andere pc ook selinux in
waarschuwingsmodus gezet. Dan werkt cxoffice prima.
De technische details ken ik (nog) niet maar het idee dat er
in linux ook zoiets als dit nodig zou zijn, geeft me niet
zo'n goed gevoel eerlijk gezegd.
Daarom ga ik me er snel eens in verdiepen! :-)
Je moet het zien als een second-line-of-defense. Als je
lekken zou hebben in software dan maakt selinux en
soorgelijke oplossingen het moeilijk en soms bijna
onmogelijk om er misbruik van te maken. Dit is vooral
belangrijk als je bang bent dat er 0day attacks uitgevoerd
zullen worden tegen je systeem.. het geeft je meer tijd om
de aanval te zien en af te weren. Een 0day (een nog
onbekende exploit voor een vuln waar geen patch voor is) zal
niet direct werken en dat geeft je de tijd om het te zien
gebeuren en te reageren: details doorgeven aan fabrikant,
service dichtzetten tot patch er is.
100% veiligheid is het wederom niet, maar het werkt zeer
frustrerend kan ik je zeggen. Ook andere kernel patches
zoals grsecurity (grsecurity.net) zijn wel een kijkje waard.
Maar het voornaamste van selinux is dat het suggereerd dat
het Unix security model tegenwoordig onvoldoende is (voor
een military-grade security).
Je kunt zoiets als selinux ruw vergelijken met
"kogelwerende" beveiliging, geen "kogelvrije" beveiliging..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?