Uso Fedora 8 come distro principale e ho settato Selinux su 'permissive' in quanto su 'enforcing' riscontravo alcuni problemi (specie con openoffice 2.3.1).
La mia domanda e', ma Selinux e' utile o necessario su macchine desktop oppure iptables baste ed avanza per avere un pc sicuro in rete?

Tutto dipende da come sono configurate le policy di sicurezza, se sono configurate bene non ti accorgi neanche che c'è, altrimenti ti scassa i maroni ogni due secondi per dirti che ha bloccato un'azione non autorizzata.
Su Fedora8 ho visto che sono settate molto bene, difatti l'ho attivo in modalità enforcing dal primo giorno che l'ho installata e non mi ha mai disturbato.

Quando SElinux blocca un'azione non consentita compare il popup di SElinux Trobleshotter con la descrizione di quello che è successo, se sai che in realtà quella azione era legittima basta che esegui sul terminale il comando che ti suggerisce da root in modo che la prossima volta la consenta.

Oltre a implementare le mandatory access control esegue altre funzioni importanti, ad esempio dei test sulla protezione della memoria: http://people.redhat.com/drepper/selinux-mem.html

Proprio su Fedora c'è un nuovo tool grafico (vai su SELinux policy generator tool) per creare facilmente nuove policy senza scrivere a mano complessi file di configurazione, a patto di sapere almeno cosa stai facendo.

Grazie per la risposta.
Sembra interessante per chi come me sta attaccato alla rete 24/24.
Ora ho selinux su 'permissive', voglio provare 'enforcing' per vedere come si comporta.

Oltre a SELinux su Fedora sono abilitate molte altre features riguardo la sicurezza che riducono drasticamente il numero di exploit eseguibili, qua ne descrivono alcune:
Security Enhancement in Red Hat Enterprise Linux (besides SELinux) (http://people.redhat.com/drepper/nonselsec.pdf)
Se non fai cose abnormi puoi stare tranquillo...;)

Mi da problemi con il modulo vmnet-bridge ma non capisco che comando dare per risolvere.
Sommario
SELinux impedisce l'accesso /usr/bin/vmnet-bridge (vmware_host_t) "read
write" sul <Unknown> del dispositivo.

Descrizione dettagliata
SELinux ha negato a /usr/bin/vmnet-bridge (vmware_host_t) l'accesso "read
write" al dispositivo <Unknown>. <Unknown> non è stato etichettato
correttamente, questo dispositivo possiede l'etichetta di default della
directory /dev, e questo non risulta essere corretto. Tutti i dispositivi a
blocchi e/o a caratteri, dovrebbero avere una etichetta. Potete modificare
l'etichetta del file utilizzando restorecon <Unknown>. Se questo
dispositivo resta etichettato device_t, ciò risulterà essere un bug
relativo alla policy di SELinux. Vi preghiamo di inviare un
http://bugzilla.redhat.com/bugzilla/enter_bug.cgi nei confronti del
pacchetto selinux-policy. Se controllate altre etichette simili del
dispositivo, ls -lZ /dev/SIMILAR, e trovate un tipo in grado di funzionare
con <Unknown>, potrete utilizzare chcon -t SIMILAR_TYPE <Unknown>,Se tale
operazione corregge il problema, è possibile rendere questa correzione
permanente eseguendo semanage fcontext -a -t SIMILAR_TYPE <Unknown> Se
restorecon modifica il contesto, ciò indicherà che l'applicazione che ha
creato il dispositivo, lo ha creato senza utilizzare le API di SELinux. Se
siete in grado di sapere quale applicazione ha creato il dispositivo, vi
preghiamo di inviare un http://bugzilla.redhat.com/bugzilla/enter_bug.cgi
nei confronti di questa applicazione.

Abilitazione accesso in corso
Tentativo restorecon -v <Unknown> o chcon -t SIMILAR_TYPE <Unknown>

Informazioni aggiuntive

Contesto della sorgente system_u:system_r:vmware_host_t:s0
Contesto target system_u:object_r:device_t:s0
Oggetti target None [ chr_file ]
Pacchetti RPM interessati VMwareWorkstation-6.0.2-59824 [application]
RPM della policy selinux-policy-3.0.8-62.fc8
Selinux abilitato True
Tipo di policy targeted
MLS abilitato True
Modalità Enforcing Enforcing
Nome plugin plugins.device
Host Name Fedora
Piattaforma Linux Fedora 2.6.23.8-63.fc8 #1 SMP Wed Nov 21
17:56:40 EST 2007 x86_64 x86_64
Conteggio allerte 1
First Seen dom 09 dic 2007 14:16:02 CET
Last Seen dom 09 dic 2007 14:16:02 CET
Local ID 823fd498-00f9-40c8-b0f9-3bb639448688
Numeri di linea

Messaggi Raw Audit

avc: denied { read write } for comm=vmnet-bridge dev=tmpfs egid=0 euid=0
exe=/usr/bin/vmnet-bridge exit=-13 fsgid=0 fsuid=0 gid=0 items=0 name=vmnet0
pid=2239 scontext=system_u:system_r:vmware_host_t:s0 sgid=0
subj=system_u:system_r:vmware_host_t:s0 suid=0 tclass=chr_file
tcontext=system_u:object_r:device_t:s0 tty=(none) uid=0

Ho risolto il problema aggiornando le policy di selinux con yum dal repo 'update-testing' e ricreando i moduli vmware ;)
Meno male che hanno aggiornato le policy, altrimenti non sapevo davvero dove mettere le mani :D

In effetti è possibile che dia problemi quando installi software non dai repository o compilato a mano, stavo giusto scrivendo che ti conviene disabilitarlo e riprovare quando ci sarà il prossimo aggiornamento del pacchetto selinux-policy. :D

leggendo questi post mi preoccupo sempre un po' :D io sulle mie distro linux nn imposto mani niente di tutto questo e nn installo proprio niente riguardo la sicurezza. Faccio sempre installazioni da rete cn il minimo indispensabile. Però ho un router cn firewall integrato....quello nn basta? Che rischi posso correre su linux riguardo al sicurezza?

leggendo questi post mi preoccupo sempre un po' :D io sulle mie distro linux nn imposto mani niente di tutto questo e nn installo proprio niente riguardo la sicurezza. Faccio sempre installazioni da rete cn il minimo indispensabile. Però ho un router cn firewall integrato....quello nn basta? Che rischi posso correre su linux riguardo al sicurezza?
La divisione tra utente normale e amministratore e gli aggiornamenti tempestivi sono più che sufficienti per garantire la sicurezza per l'uso normale, ancora di più se non avvii dei servizi pericolosi e sei dietro a un router.
Pero se un malintenzionato dovesse scoprire un bug e invece di segnalarlo scrivesse un virus che riesce a diffondersi prima che i manteiner se ne accorgano e rilascino l'aggiornamento, chi non ha abilitato strumenti più avanzati oltre al solo controllo di accesso sui dati è a rischio, anche se si tratta di un'eventualità molto remota, soprattutto perchè virus che cercano di infettare il sistema sono ormai scomparsi, adesso vengono prodotti soprattutto spyware e worm che per eseguire i loro compiti (leggere file dell'utente, inviare dati, etc) non hanno bisogno dei privilegi di amministratore, ma l'unica soluzione per questo è usare software fidato.

mbhà, per uso desktop casalingo monoutente... sinceramente mi pare sia troppo "granulare" ... imho non serve.

certo se si inizia a parlaer di uffici, multiutente, reti... allora il discorso cambia...

Comunque su fedora funziona molto bene,tanto vale usarlo anhe se sovradimensionato!

mbhà, per uso desktop casalingo monoutente... sinceramente mi pare sia troppo "granulare" ... imho non serve.
Ah no? Se vuoi ti spedisco subito una gif animata che ti inchioda il sistema o un piccolo scriptino che si richiama ricorsivamente e che nel giro di pochi istanti mette in ginocchio la macchina, la quale non risponderà più a nessun input ;)
Ci sono veramente tanti tanti tanti accorgimenti di cui tenere conto quando si fa l'hardening di un sistema dei quali SELinux è solo l'ultima ruota del carro, e io sinceramente mi sono stufato di dover pensare da solo a tutte queste cose perché i mantainer della mia distribuzione se ne infischiano... :(
Con fedora 8 finalmente SELinux è diventato usabile anche in ambito desktop, quindi ben venga.

P.S.
Anche Mandriva a partire dalla 2008.1 avrà apparmor attivo di default ;)