Selinux sul desktop?

[mcardini]

Uso Fedora 8 come distro principale e ho settato Selinux su 'permissive' in quanto su 'enforcing' riscontravo alcuni problemi (specie con openoffice 2.3.1).
La mia domanda e', ma Selinux e' utile o necessario su macchine desktop oppure iptables baste ed avanza per avere un pc sicuro in rete?

[arara]

Tutto dipende da come sono configurate le policy di sicurezza, se sono configurate bene non ti accorgi neanche che c'è, altrimenti ti scassa i maroni ogni due secondi per dirti che ha bloccato un'azione non autorizzata.
Su Fedora8 ho visto che sono settate molto bene, difatti l'ho attivo in modalità enforcing dal primo giorno che l'ho installata e non mi ha mai disturbato.

Quando SElinux blocca un'azione non consentita compare il popup di SElinux Trobleshotter con la descrizione di quello che è successo, se sai che in realtà quella azione era legittima basta che esegui sul terminale il comando che ti suggerisce da root in modo che la prossima volta la consenta.

Oltre a implementare le mandatory access control esegue altre funzioni importanti, ad esempio dei test sulla protezione della memoria: http://people.redhat.com/drepper/selinux-mem.html

Proprio su Fedora c'è un nuovo tool grafico (vai su SELinux policy generator tool) per creare facilmente nuove policy senza scrivere a mano complessi file di configurazione, a patto di sapere almeno cosa stai facendo.

[mcardini]

Grazie per la risposta.
Sembra interessante per chi come me sta attaccato alla rete 24/24.
Ora ho selinux su 'permissive', voglio provare 'enforcing' per vedere come si comporta.

[arara]

Oltre a SELinux su Fedora sono abilitate molte altre features riguardo la sicurezza che riducono drasticamente il numero di exploit eseguibili, qua ne descrivono alcune:
Security Enhancement in Red Hat Enterprise Linux (besides SELinux)
Se non fai cose abnormi puoi stare tranquillo...

[mcardini]

Mi da problemi con il modulo vmnet-bridge ma non capisco che comando dare per risolvere.

Codice:

Sommario
    SELinux impedisce l'accesso /usr/bin/vmnet-bridge (vmware_host_t) "read
    write" sul <Unknown> del dispositivo.

Descrizione dettagliata
    SELinux ha negato a /usr/bin/vmnet-bridge (vmware_host_t) l'accesso "read
    write" al dispositivo <Unknown>. <Unknown> non è stato etichettato
    correttamente, questo dispositivo possiede l'etichetta di default della
    directory /dev, e questo non risulta essere corretto. Tutti i dispositivi a
    blocchi e/o a caratteri, dovrebbero avere una etichetta. Potete modificare
    l'etichetta del file utilizzando restorecon <Unknown>.  Se questo
    dispositivo resta etichettato device_t, ciò risulterà essere un bug
    relativo alla policy di SELinux. Vi preghiamo di inviare un
    http://bugzilla.redhat.com/bugzilla/enter_bug.cgi nei confronti del
    pacchetto selinux-policy. Se controllate altre etichette simili del
    dispositivo, ls -lZ /dev/SIMILAR, e trovate un tipo in grado di funzionare
    con <Unknown>, potrete utilizzare chcon -t SIMILAR_TYPE <Unknown>,Se tale
    operazione corregge il problema, è possibile rendere questa correzione
    permanente eseguendo semanage fcontext -a -t SIMILAR_TYPE <Unknown> Se
    restorecon modifica il contesto, ciò indicherà che l'applicazione che ha
    creato il dispositivo, lo ha creato senza utilizzare le API di SELinux. Se
    siete in grado di sapere quale applicazione ha creato il dispositivo, vi
    preghiamo di inviare un http://bugzilla.redhat.com/bugzilla/enter_bug.cgi
    nei confronti di questa applicazione.

Abilitazione accesso in corso
    Tentativo restorecon -v <Unknown> o chcon -t SIMILAR_TYPE <Unknown>

Informazioni aggiuntive       

Contesto della sorgente       system_u:system_r:vmware_host_t:s0
Contesto target               system_u:object_r:device_t:s0
Oggetti target                None [ chr_file ]
Pacchetti RPM interessati     VMwareWorkstation-6.0.2-59824 [application]
RPM della policy              selinux-policy-3.0.8-62.fc8
Selinux abilitato             True
Tipo di policy                targeted
MLS abilitato                 True
Modalità Enforcing           Enforcing
Nome plugin                   plugins.device
Host Name                     Fedora
Piattaforma                   Linux Fedora 2.6.23.8-63.fc8 #1 SMP Wed Nov 21
                              17:56:40 EST 2007 x86_64 x86_64
Conteggio allerte             1
First Seen                    dom 09 dic 2007 14:16:02 CET
Last Seen                     dom 09 dic 2007 14:16:02 CET
Local ID                      823fd498-00f9-40c8-b0f9-3bb639448688
Numeri di linea               

Messaggi Raw Audit            

avc: denied { read write } for comm=vmnet-bridge dev=tmpfs egid=0 euid=0
exe=/usr/bin/vmnet-bridge exit=-13 fsgid=0 fsuid=0 gid=0 items=0 name=vmnet0
pid=2239 scontext=system_u:system_r:vmware_host_t:s0 sgid=0
subj=system_u:system_r:vmware_host_t:s0 suid=0 tclass=chr_file
tcontext=system_u:object_r:device_t:s0 tty=(none) uid=0

[mcardini]

Ho risolto il problema aggiornando le policy di selinux con yum dal repo 'update-testing' e ricreando i moduli vmware
Meno male che hanno aggiornato le policy, altrimenti non sapevo davvero dove mettere le mani

[arara]

In effetti è possibile che dia problemi quando installi software non dai repository o compilato a mano, stavo giusto scrivendo che ti conviene disabilitarlo e riprovare quando ci sarà il prossimo aggiornamento del pacchetto selinux-policy.

[zephyr83]

leggendo questi post mi preoccupo sempre un po' io sulle mie distro linux nn imposto mani niente di tutto questo e nn installo proprio niente riguardo la sicurezza. Faccio sempre installazioni da rete cn il minimo indispensabile. Però ho un router cn firewall integrato....quello nn basta? Che rischi posso correre su linux riguardo al sicurezza?

[arara]

Quote:

Originariamente inviato da zephyr83

leggendo questi post mi preoccupo sempre un po' io sulle mie distro linux nn imposto mani niente di tutto questo e nn installo proprio niente riguardo la sicurezza. Faccio sempre installazioni da rete cn il minimo indispensabile. Però ho un router cn firewall integrato....quello nn basta? Che rischi posso correre su linux riguardo al sicurezza?

La divisione tra utente normale e amministratore e gli aggiornamenti tempestivi sono più che sufficienti per garantire la sicurezza per l'uso normale, ancora di più se non avvii dei servizi pericolosi e sei dietro a un router.
Pero se un malintenzionato dovesse scoprire un bug e invece di segnalarlo scrivesse un virus che riesce a diffondersi prima che i manteiner se ne accorgano e rilascino l'aggiornamento, chi non ha abilitato strumenti più avanzati oltre al solo controllo di accesso sui dati è a rischio, anche se si tratta di un'eventualità molto remota, soprattutto perchè virus che cercano di infettare il sistema sono ormai scomparsi, adesso vengono prodotti soprattutto spyware e worm che per eseguire i loro compiti (leggere file dell'utente, inviare dati, etc) non hanno bisogno dei privilegi di amministratore, ma l'unica soluzione per questo è usare software fidato.

[Fil9998]

mbhà, per uso desktop casalingo monoutente... sinceramente mi pare sia troppo "granulare" ... imho non serve.

certo se si inizia a parlaer di uffici, multiutente, reti... allora il discorso cambia...

[khelidan1980]

Comunque su fedora funziona molto bene,tanto vale usarlo anhe se sovradimensionato!

[darkbasic]

Quote:

Originariamente inviato da Fil9998

mbhà, per uso desktop casalingo monoutente... sinceramente mi pare sia troppo "granulare" ... imho non serve.

Ah no? Se vuoi ti spedisco subito una gif animata che ti inchioda il sistema o un piccolo scriptino che si richiama ricorsivamente e che nel giro di pochi istanti mette in ginocchio la macchina, la quale non risponderà più a nessun input
Ci sono veramente tanti tanti tanti accorgimenti di cui tenere conto quando si fa l'hardening di un sistema dei quali SELinux è solo l'ultima ruota del carro, e io sinceramente mi sono stufato di dover pensare da solo a tutte queste cose perché i mantainer della mia distribuzione se ne infischiano...
Con fedora 8 finalmente SELinux è diventato usabile anche in ambito desktop, quindi ben venga.

P.S.
Anche Mandriva a partire dalla 2008.1 avrà apparmor attivo di default