¿Qué software de contexto de seguridad usa Ubuntu?

10

¿Ubuntu utiliza SELinux de forma predeterminada y si no, cómo se gestiona el contexto de seguridad? Por ejemplo, permitir que los procesos se ejecuten como root sin contexto de seguridad puede ser un riesgo de seguridad.

La página de ayuda sobre SELinux sugiere que SELinux es un programa que necesita ser instalado manualmente.

Entonces, ¿cómo maneja Ubuntu el contexto de seguridad fuera de la caja?

JohnMerlino
fuente

Respuestas:

15

Ubuntu usa AppArmor , una alternativa de SELinux.

Wikipedia da algunas pistas sobre por qué algunas personas piensan que AppArmor es mejor que SELinux:

AppArmor se ofrece en parte como una alternativa a SELinux, que los críticos consideran difícil de configurar y mantener para los administradores. A diferencia de SELinux, que se basa en la aplicación de etiquetas a los archivos, AppArmor funciona con rutas de archivos. Los defensores de AppArmor afirman que es menos complejo y más fácil de aprender para el usuario promedio que SELinux. También afirman que AppArmor requiere menos modificaciones para funcionar con los sistemas existentes: por ejemplo, SELinux requiere un sistema de archivos que admita "etiquetas de seguridad" y, por lo tanto, no puede proporcionar control de acceso para los archivos montados a través de NFS. AppArmor es independiente del sistema de archivos.

Ubuntu incluye muchos perfiles de AppArmor para aplicaciones principales. Puedes encontrarlos en /etc/apparmor.d/. Si necesita editar los perfiles predeterminados, puede anular la configuración de /etc/apparmor.d/local/.

Ubuntu también incluye algunas de las llamadas "abstracciones", que son formas de ayudarlo a escribir sus propios perfiles de AppArmor rápidamente sin repetirlo (el famoso principio DRY ).

Una cosa que es importante tener en cuenta es que el perfil de AppArmor para Firefox está deshabilitado de forma predeterminada, ya que puede ser demasiado restrictivo para muchos usuarios. Sin embargo, puede habilitarlo como se describe en la documentación :

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Si desea utilizar SELinux, puede desactivar AppArmor e instalar el paquete selinux . Sin embargo, tenga en cuenta que la configuración predeterminada para SELinux en Ubuntu no es muy restrictiva, por lo que debe configurarla usted mismo.

Andrea Corbellini
fuente
0

Como señala la respuesta de Andrea, Ubuntu usa AppArmor. El contexto "predeterminado" de SELinux que usa Ubuntu depende en gran medida de cómo instale SELinux (creo que selinux-default, es el que está buscando). Por supuesto, si no instala ninguno, debe configurarlo según sus gustos.

Braiam
fuente