Visite também: UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais] ·  Efetividade

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

«
»

openSUSE vai ter SELinux como opção

O projeto openSUSE anunciou que vai passar a incluir o SELinux como opção a partir de sua versão 11.0. Os responsáveis pelo projeto acreditam que o AppArmor, mantido pela Novell e já incluído no openSUSE há bastante tempo, é a melhor opção em termos de framework de segurança, mas querem mesmo assim oferecer alternativa a quem desejar. (via lwn.net)

Saiba mais (lwn.net).

• Publicado por Augusto Campos em 22/08/2008 às 6:00 pm
• Link direto para este post: http://br-l.org/!3346
• Siga no Twitter: @brlinuxblog e @augustocc
• Mais posts do mesmo tema: Distribuições

Comentários dos leitores para “openSUSE vai ter SELinux como opção”

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Em algumas notícias os comentários são exibidos de forma paginada, com links abaixo do formulário de inserção de novo comentário. Leia os Termos de uso do BR-Linux.

  1. Acredito que seja versão 11.1 e não 11.0. A 11.0 já foi lançada ha alguns meses.

    Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]

  2. Fiz recentemente um curso na RedHat e eles falam muito do SELinux, não tenho como comparar ao AppArmor, pois nunca usei, mais perdi o medo de usar o SELinux, o qual deixava sempre desabilitado ou no modo permissivo. Passei a entendê-lo e vi na prática que ele funciona muito bem.

    Ele não protege UM processo do sistema, ele protege o sistema do comportamento DE um processo. Esse conceito eu já sabia, mas tem gente que não sabe.

    Digamos que o Apache tenha uma falha que permita alguém entrar no computador e executar comandos arbitrários (um ataque remoto muito grave). Com o SELinux habilitado o processo do Apache estaria limitado a fazer determinadas coisas, ex.: ler arquivos de diretórios específicos, gravar só em diretórios de logs, executar só a partir do diretório de CGIs, etc.

    Assim um atacante que explorasse a falha do Apache ficaria limitado em suas ações tb, só podendo fazer o que seria permitido ao Apache fazer! Espero que tenham capitado a idéia geral.

    Alguém se habilitaria a escrever umas poucas linhas sobre o AppArmor, para que, os mais preguiçosos em pesquisar, tivéssemos (sim estou incluso) uma idéia geral das duas ferramentas?

    Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]
  3. Jeronimo Zucco (usuário não registrado) em 22/08/2008 às 9:12 pm

    Tanto o AppArmor quanto o SELinux são sistemas MAC, e têm o mesmo objetivo de proteger o sistema através de políticas de segurança. O grande diferencial e problema do AppArmor é que ele baseia a política de segurança com o caminho de onde o arquivo se encontra, ao contrário do SELinux, que usa atributos extendidos.

    Para entender melhor, basta pensar que se você copiar um arquivo de um lugar para o outro menos protegido, de acordo com as regras do AppArmor, muda totalmente a política de segurança do arquivo.

    Para entender o problema com mais detalhes, dê uma lida nesse artigo:

    http://securityblog.org/brindle/2006/04/19/security-anti-pattern-path-based-access-control/

    Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]

O prazo para comentar neste post já expirou - visite a capa do site para posts mais recentes.