Comments on: openSUSE vai ter SELinux como opção

By: Ad Mundo

Ad Mundo — Sat, 23 Aug 2008 01:47:40 +0000

Bom texto! Gostei do artigo…

By: miranda

miranda — Sat, 23 Aug 2008 01:40:20 +0000

“…pois nunca usei, mais perdi o medo de usar o SELinux, o qual deixava sempre desabilitado ou no modo permissivo.

Putz…é o que sempre eu fiz.
Agora vou procurar conhecer mais sobre o SELinux, pelo que você disse realmente é uma ferramenta excelente e que não pode ser deixada pra segundo plano.

By: Michael Alberto

Michael Alberto — Sat, 23 Aug 2008 01:16:28 +0000

Ohhh.. muito bom esse artigo, execelente!! parabens !!

Michael

By: Psycho Mantys

Psycho Mantys — Sat, 23 Aug 2008 00:54:31 +0000

O LIDS também faz a mesma coisa né?
Desses 2?

By: Jeronimo Zucco

Jeronimo Zucco — Sat, 23 Aug 2008 00:12:09 +0000

Tanto o AppArmor quanto o SELinux são sistemas MAC, e têm o mesmo objetivo de proteger o sistema através de políticas de segurança. O grande diferencial e problema do AppArmor é que ele baseia a política de segurança com o caminho de onde o arquivo se encontra, ao contrário do SELinux, que usa atributos extendidos.

Para entender melhor, basta pensar que se você copiar um arquivo de um lugar para o outro menos protegido, de acordo com as regras do AppArmor, muda totalmente a política de segurança do arquivo.

Para entender o problema com mais detalhes, dê uma lida nesse artigo:

http://securityblog.org/brindle/2006/04/19/security-anti-pattern-path-based-access-control/

By: EmanuelSan

EmanuelSan — Fri, 22 Aug 2008 22:42:03 +0000

Fiz recentemente um curso na RedHat e eles falam muito do SELinux, não tenho como comparar ao AppArmor, pois nunca usei, mais perdi o medo de usar o SELinux, o qual deixava sempre desabilitado ou no modo permissivo. Passei a entendê-lo e vi na prática que ele funciona muito bem.

Ele não protege UM processo do sistema, ele protege o sistema do comportamento DE um processo. Esse conceito eu já sabia, mas tem gente que não sabe.

Digamos que o Apache tenha uma falha que permita alguém entrar no computador e executar comandos arbitrários (um ataque remoto muito grave). Com o SELinux habilitado o processo do Apache estaria limitado a fazer determinadas coisas, ex.: ler arquivos de diretórios específicos, gravar só em diretórios de logs, executar só a partir do diretório de CGIs, etc.

Assim um atacante que explorasse a falha do Apache ficaria limitado em suas ações tb, só podendo fazer o que seria permitido ao Apache fazer! Espero que tenham capitado a idéia geral.

Alguém se habilitaria a escrever umas poucas linhas sobre o AppArmor, para que, os mais preguiçosos em pesquisar, tivéssemos (sim estou incluso) uma idéia geral das duas ferramentas?

By: marcelovborro

marcelovborro — Fri, 22 Aug 2008 22:37:41 +0000

Acredito que seja versão 11.1 e não 11.0. A 11.0 já foi lançada ha alguns meses.