Ahhoz képest eléggé sokmindent meg lehet oldani velük. Meg aztán ott az ACL. Jó, tudom, a SELinux ennél több, hiszen akár root process esetén is deklarálható, milyen erőforrásokhoz miként férhet hozzá, mely file-okat, portokat macerálhatja, tehát igen aprólékosan lehet megmondani, mit tehet az illető program.
Az a bajom a SELinux-szal, hogy számomra elég bonyolultnak, nem igazán áttekinthetőnek tűnik. Szemben például a unixos - linuxos - jogokkal, amely azért eléggé érthető. Jó, ott is vannak érdekességek, például mi van akkor, ha egy számomra olvasható, de nem az én tulajdonomban lévő file-t másolok úgy, hogy a jogok maradjanak meg. Ha jól emlékszem, a másolat már az én tulajdonomban lesz, a chmod meg az eredeti marad.
"Vagy semmi egyébről nincsen szó, mint arról, hogy a sealert néha felemleget régi történéseket, nehogy feledésbe merüljön?"
Lehet. De akkor hogy lehet ezt kikapcsolni?
SELinuxból még van mit tanulnom és van egy ezzel kapcsolatos kérdésem: Fedora 10-esről upgradeltem 11-esre, utána voltak mindenféle SELinux alertjeim, az egyik többször visszatért, az RPMFusionból feltelepített libekre vonatkozóan. Gondolatm egy autorelabel megoldja, de még azután is feldobta az alertet (igaz, még csak egyszer).
Másik, tisztán telepített Fedora 11-esnél ez nem fordult elő.
Némileg meg vagyok ijedve. Minden előzmény nélkül - éppen fórumot olvasgatok, a gép "semmit" sem csinál -, feljön egy SELinux üzenet:
Summary SELinux is preventing pt_chown (unconfined_t) "mmap_zero" to <Unknown> (unconfined_t).
Detailed Description SELinux denied access requested by pt_chown. The current boolean settings do not allow this access. If you have not setup pt_chown to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access.
Allowing Access Confined processes can be configured to to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. The boolean allow_unconfined_mmap_low is set incorrectly. Boolean Description: Allow unconfined domain to map low memory in the kernel
Előzmények: idén augusztusban napvilágot látott egy kernel sebezhetőség. Ezt demonstrálandó, hozzáférhető volt egy exploit, kipróbáltam. Nyílt forrású ugyan, de mégis egy bináris file video lejátszásával operál. Annak idején a SELinux megfogta ezt az exploitot, a kernel talán két napra rá foltozva lett. Az általam vastagon szedett rész miatt van rossz érzésem, valaha tényleg onnan futtattam az exploitot. Olyan érzésem van, hogy vaklárma az aggodalmam, de nem világos, hogyan kerül ebbe az üzenetbe az egykoron futtatott exploit elérési útja, amely már nem is létezik. Még akkor a teszt után letöröltem. A Raw Audit Message-ben lévő timestamp-et kiírattam emészthető formában, az a mostani dátum.
Vagy semmi egyébről nincsen szó, mint arról, hogy a sealert néha felemleget régi történéseket, nehogy feledésbe merüljön?
Nem csak a Fedorában van benne, hanem a hivatalos R6 (RHES) forrásból fordított CentOS-ban is (meg pl. Hardened Gentoo-ban és SLES-ben is állítólag). Amúgy én az R6 hivatalos oldalán találtam egy közel 100 oldalas doksit róla, elég érthető a dolog, a próbálkozás majd lassacskán jön. (Engem azért érdekelt, mert hivatalos kiszivárgások szerint a 6-os FreeBSD-hez már elérhető lesz a Selinux-szal kompatibilis SeBSD is, és előre szeretek tájékozódni, ha lehet; a FreeBSD-ben alapból már most meglevő egyéb biztonsági (pl. MAC) megvalósításokkal már most is elég érdekes dolgokat lehet csinálni, csak más megközelítésben.) Amúgy azoknak, akik kellően paranoidok ahhoz, hogy féljenek az NSA-tól, állítólag hasznos lehet a németek által fejlesztett RSBAC is, asszem hátulütője, hogy nincs olyan nagyobb disztro, amelyik ezt beépítve tartalmazná - de lehet, tévedek (állítólag az arabok is jobban szeretik az RSBAC-ot, pont az NSA miatt).
...a backdoor nem azt jelenti, hogy van egy olyan ksikapu, amit a forrásban meglát egy valamire való programozó, mert az sugárút lenne...
Nem hiszek az összesküvéselméletekben, mint ahogy szkeptikus lévén másban sem, de nem is innen közelítem meg... az idézett könyv részben tényleges lehetőséget ír le... s jól... ajánlott olvasmány...
Részben jogos a para, de azért vannak jó híreim is:
- open source (erről már volt szó) - selinux=0 kernel paraméterrel kikapcsolható - nem kötelező beleforgatnod a kernelbe
A kernel továbbra is Linusé, és gondolom, néhányan belenéztek a kódba, mielőtt az a kernelbe lett merge-elve. Vagy arra gondolsz, hogy amikor valaki érzi a hideg pisztolycsövet a homlokán, bármit hajlandó a kernelébe tenni? Szerintem van néhány parás programozó az USA-n kívül is, aki éppen ezért belenézett, és talán már kiderült volna a turpisság. Amúgy az NSA-nak éppen azért tetszett meg a Linux, mert ő sem bízik a Windows-ban, és egy olyan rendszerre vágyott, amelyik az ő biztonsági igényeit is kielégíti. Valaki az egyik topic-ban jött azzal, hogy Linuxra nincsenek tanusítványok, amelyekkel igazolni lehet, hogy bizonyos szabványokban meghatározott követelményeknek eleget tesz az operációs rendszer, ezért használ a munkahelyén Windows-t. Egyrészt ilyen tanusítványok léteznek (pl. RHEL, de talán Suse is), másrészt éppen a selinux a legjobb példa arra, hogy az NSA-nál szóba sem került a Windows. Azért ez mond valamit, persze az MS ezzel sem kérkedik! :)
Ugyanakkor egy picit engem is aggaszt a felvetésed, figyelembe véve az Egyesült Államok törekvéseit.
...nehezebb, de csak látszólag: van akkora kódja, hogy ember nincs,a kit azt tételesen le tudná _mindenre_ ellenőrizni, s nem is teszik...
Gondold csak meg: van egy nem definiált port, amire küldve egy belépési próbát, úgy száll el a stack, hogy beléptet valahová... mert előtte olyan cuccokat küldtek "ajándékba"... nem vagyok nagy spiller, de anno írtam át visszafejtett kis floppys-oprendszert, dolgoztam másfél milló forrásoros unixos portoláson, van fogalmam arról, mennyi hiba lehet egy ilyen diszroban... rejtve, cagy csak nem felismerten is...
...szvsz a távoli hozáférés van lekorlátozva, no meg aztán mibe kerül visszaállítani a jogokat a jelszó ismeretében?
...az NSA cuccáról elviek miatt érdeklődöm, no meg hogy adott helyre ajánlhassam, ha arra érdemes, DE vannak fenntartásaim, s nem is csak azért, mert olvastam nemrég a DIGITÁLIS ERŐD-öt, hanem mert az amikról, az "erkölcseikről" nem vagyok túl jó véleménnyel... pl. simán el tudom képzelni, hogy minden source publikálás ellenére ténylegesen van benne backdoor...
Érdekes, amit írsz, de ha a root önmagát le tudja korlátozni, akkor mit tud tenni utána a géppel? Vesz egy hatalmas patkómágnest, és lopakodva közelít a winchester felé? :)
ha rendszergazda vagy,akkor erdemes foglalkozni vele.
ez egy jogosultsagkioszto/szabalyzo cucc. a multkor peldul valaki demonstralta,hogy odaadta a szervere root jelszavat oszt megsenem tudsz disznosagot csinalni,mert a selinuxxal abban a tartomanyban lekorlatozta a root jogokat...