Friday, April 17, 2009

Non disattivate SELinux

Periodicamente, anche su siti di un certo rilievo e popolarità, trovo il suggerimento di disattivare SELinux. A volte è dato come soluzione di un problema, il più delle volte senza che ci sia una qualunque evidenza che il responsabile sia SELinux (La tastiera è tornata al layout americano, che posso fare? Hai provato a disattivare SELinux??), altre proprio come prerequisito (prima di installare questo programma, disattivate SELinux): in tutti i casi, un pessimo consiglio...

Solo avendo SELinux attivo si prevengono le vulnerabilità di sicurezza più pericolose, o quanto meno se ne mitigano gli effetti; per esempio, in Dicembre un utente ha segnalato che SELinux lo aveva salvato da una vulnerabilità di wordtrans, impedendo al malintenzionato di prendere possesso della macchina.

La stessa idea che SELinux si possa disattivare senza problemi, "tanto questo non è un server", andrebbe proprio evitata, visto che SELinux è in grado di proteggere per esempio da codice malevolo veicolato tramite i plugin di Firefox.

L'ultimo caso in ordine ti tempo è la vulnerabilità di /dev/mem che permette di caricare rootkit sul sistema vittima. Avendo SELinux attivo non è possibile effettuare questo tipo di attacco, anche senza applicare le patch che le maggiori distribuzioni hanno comunque disponibili.

Quindi rinnovo l'invito: non disattivate SELinux, ma al massimo mettetelo in modalità permissiva con:
# setenforce 0
e solo per il tempo strettemente necessario!