| View previous topic :: View next topic |
| Author |
Message |
dynamite
Tux's lil' helper
Joined: 26 Jun 2007
Posts: 114
Location: Rovereto (TN)
|
 Posted: Wed Oct 17, 2007 9:46 am Post subject: [RISOLTO]Selinux su gentoo senza kernel hardened |
 |
|
Salve a tutti,
avrei qualche domanda relativa a SELINUX a cui non ho trovato una risposta precisa con la ricerca nel forum e nella documentazione. Su altre distribuzioni ho notato che selinux è attivato di default (ad esempio in fedora/red hat o mandriva credo), ovviamente con gentoo devo pensarci io giustamente per l'eventuale installazione e la sua configurazione.
Vorrei sapere all'incirca da dove dovrei iniziare per un installazione di selinux (se necessaria o utile),ma non su kernel hardened e in secondo luogo quali use flag sono necessarie?
Se la domanda trova risposta su documentazione, guide o altri link rimandatemi senza problemi ad una lettura più approfondita. Grassie 
Last edited by dynamite on Thu Oct 18, 2007 7:40 pm; edited 1 time in total |
|
| Back to top |
|
 |
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Oct 17, 2007 5:54 pm Post subject: |
|
|
devi usare il kernel hardened se non erro è l'unico ad avere la patch selinux, l'alternativa è applicare la patch selinux su un kernel vanilla, sul normale dovresti fare una serie interminabile di correzioni, te lo sconsiglio e devi scegliere il profilo selinux (la use flag selinux è disabilitata di default su tutti gli altri profili).
A questo punto ti basta fare l'emerge delle base policy e dei tools se stai convertendo una precedente installazione o semplicemente seguire questa guida che purtroppo è in inglese ma mi pare che sia aggiornata.
La differenza sostanziale tra | Code: | | ln -sf /usr/portage/profiles/selinux/2007.0/x86/hardened /etc/make.profile |
e | Code: | | ln -sf /usr/portage/profiles/selinux/2007.0/x86 /etc/make.profile |
sta nell'impiegare o meno di default l'hardening di gcc/libc e posix capabilities.
Dal punto di vista delle prestazioni l'impatto peggiore te lo da proprio selinux, un trucchetto che ti consiglio è compilare il kernel con il parametro SECURITY_SELINUX_BOOTPARM=y e fare il boot con selinux=0 per compilare o ci perdi una vita.
Quello a cui ti riferisci è il kernel RH che di default ha la patch selinux.
Come da recente discussione sarebbe preferibile rivolgersi più a RSBAC o GRSEC (che è molto più performante) ma è una mia opinione.
Vedi che selinux dipende dall'attivazione dell'audit.
Se hai altri dubbi chiedi pure.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
dynamite
Tux's lil' helper
Joined: 26 Jun 2007
Posts: 114
Location: Rovereto (TN)
|
| Posted: Wed Oct 17, 2007 6:52 pm Post subject: |
|
|
Grazie sei stato molto chiaro...la mia curiosità è nata soprattutto per il fatto che compilando il kernel gentoo-sources c'era la possibilità di marcare delle voci relative a Selinux. Ma quindi da quello che mi dici tu dovrei applicare ulteriori patch per poterlo effettivamente gestire, giusto o quelle opzioni mi bastano?
Un'ultima cosa ma per un utilizzo normale, è effettivamente utile? Mi consiglieresti di abilitarlo o di abilitare RSBAC o GRSEC che mi hai nominato e di cui ho letto un po' di documentazione nei docs?
Scusa la banalità delle domande, ma non è tanto che uso gentoo e se non procedo con metodologia rischio di confondermi tra tutte le configurazioni necessarie... 
Grazie mille |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Oct 17, 2007 7:34 pm Post subject: |
|
|
No nessuna altra patch, devi solo attivare la use selinux e quindi cambiare profilo, solo che mi pare (verificare, son un casinista e me ne vanto) che volevano relegarlo solo in hardened-sources.
Un utilizzo normale te lo puoi scordare, la macchina diventa molto lenta e molti programmi vedi OOo sono incapaci di confrontarsi con le restrizioni che impone. Se poi inserisci un nelle policy un allow per tutto tanto vale che non lo usi. Al momento funziona bene solo se hai un server dedicato, su desktop risolvere i conflitti delle autorizzazioni è un autentico incubo.
RSBAC è ancora più complesso (e molto meno documentato, quando ci ho provato ho dovuto resuscitare il mio tedesco per capirci qualcosa) ma molto più accurato e con la dovuta, infinita, pazienza si potrebbe pensare di adattarlo anche ad un uso desktop, GRSEC mi sembra un compromesso accettabile, andrei più su quest'ultimo.
C'è un thread chiuso da poco sull'argomento. In effetti hardened-gentoo è stabile ma... richiede cautela supplementare soprattutto perchè è più difficile capire da cosa viene un problema.
qui lo dico e qui lo nego, anche perchè non guardo una distribuzione binaria da molto (al massimo uso sabayon) ma l'impostazione di RH mi pareva un tantino farsesca (tutto autorizzato).
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
dynamite
Tux's lil' helper
Joined: 26 Jun 2007
Posts: 114
Location: Rovereto (TN)
|
| Posted: Wed Oct 17, 2007 9:18 pm Post subject: |
|
|
| Mi sei stato molto d'aiuto, adesso per lo meno so un po' meglio dove indirizzare i miei sforzi e ...Grazie! |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Oct 18, 2007 10:42 am Post subject: |
|
|
non c'è di che, ma il [risolto] al titolo sarebbe preferibile. Se non è il caso di accodarlo all'altro, chiedi ai moderatori.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
