Qual software de contexto de segurança o Ubuntu usa?

10

O Ubuntu usa o SELinux por padrão e, se não, como o contexto de segurança é gerenciado? Por exemplo, permitir que os processos sejam executados como raiz sem o contexto de segurança pode ser um risco à segurança.

A página de ajuda sobre o SELinux sugere que o SELinux é um programa que precisa ser instalado manualmente.

Então, como o Ubuntu lida com o contexto de segurança imediatamente?

JohnMerlino
fonte

Respostas:

15

O Ubuntu usa o AppArmor , uma alternativa do SELinux.

A Wikipedia dá algumas dicas sobre por que algumas pessoas pensam que o AppArmor é melhor que o SELinux:

O AppArmor é oferecido em parte como uma alternativa ao SELinux, que os críticos consideram difícil para os administradores configurar e manter. Ao contrário do SELinux, que se baseia na aplicação de rótulos aos arquivos, o AppArmor trabalha com caminhos de arquivos. Os defensores do AppArmor afirmam que é menos complexo e mais fácil para o usuário comum aprender do que o SELinux. Eles também afirmam que o AppArmor exige menos modificações para funcionar com sistemas existentes: por exemplo, o SELinux requer um sistema de arquivos que suporte "etiquetas de segurança" e, portanto, não pode fornecer controle de acesso para arquivos montados via NFS. O AppArmor é independente de sistema de arquivos.

O Ubuntu envia muitos perfis do AppArmor para aplicativos principais. Você pode encontrá-los /etc/apparmor.d/. Se você precisar editar os perfis padrão, poderá substituir as configurações de /etc/apparmor.d/local/.

O Ubuntu também envia algumas chamadas "abstrações", que são maneiras de ajudá-lo a escrever seus próprios perfis do AppArmor rapidamente, sem se repetir (o famoso princípio DRY ).

É importante notar que o perfil do AppArmor para Firefox está desativado por padrão, porque pode ser muito restritivo para muitos usuários. No entanto, você pode habilitá-lo conforme descrito na documentação :

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Se você deseja usar o SELinux, pode desativar o AppArmor e instalar o pacote selinux . Observe, no entanto, que a configuração padrão do SELinux no Ubuntu não é muito restritiva; portanto, você precisa configurá-lo.

Andrea Corbellini
fonte
0

Como aponta a resposta de Andrea, o Ubuntu usa o AppArmor. O contexto "padrão" do SELinux que o Ubuntu usa depende muito de como você instala o SELinux (acredito que o selinux-default, é o que você está procurando). Obviamente, se você não instalar nenhum, deverá configurá-lo de acordo com o seu gosto.

Braiam
fonte