Friday, April 17, 2009

Non disattivate SELinux

Periodicamente, anche su siti di un certo rilievo e popolarità, trovo il suggerimento di disattivare SELinux. A volte è dato come soluzione di un problema, il più delle volte senza che ci sia una qualunque evidenza che il responsabile sia SELinux (La tastiera è tornata al layout americano, che posso fare? Hai provato a disattivare SELinux??), altre proprio come prerequisito (prima di installare questo programma, disattivate SELinux): in tutti i casi, un pessimo consiglio...

Solo avendo SELinux attivo si prevengono le vulnerabilità di sicurezza più pericolose, o quanto meno se ne mitigano gli effetti; per esempio, in Dicembre un utente ha segnalato che SELinux lo aveva salvato da una vulnerabilità di wordtrans, impedendo al malintenzionato di prendere possesso della macchina.

La stessa idea che SELinux si possa disattivare senza problemi, "tanto questo non è un server", andrebbe proprio evitata, visto che SELinux è in grado di proteggere per esempio da codice malevolo veicolato tramite i plugin di Firefox.

L'ultimo caso in ordine ti tempo è la vulnerabilità di /dev/mem che permette di caricare rootkit sul sistema vittima. Avendo SELinux attivo non è possibile effettuare questo tipo di attacco, anche senza applicare le patch che le maggiori distribuzioni hanno comunque disponibili.

Quindi rinnovo l'invito: non disattivate SELinux, ma al massimo mettetelo in modalità permissiva con:
# setenforce 0
e solo per il tempo strettemente necessario!

4 comments:

  1. si è vero con SElinux si è decisamente meno vulnerabili tutttavia un utente desktop è ben difeso e difficilmente incapperà in malaware.Nella scelta del tener attivo o meno SElinux devi considerare anche che la sua attivazione riduce le prestazioni della macchina come ha mostrato phornix http://www.phoronix.com/scan.php?page=article&item=fedora_debug_selinux&num=1

    credo quindi che a livello desktop sia giusto non attivarlo salvo particolari esigenze ,ad ogni modo è solo il mio punto di vista

    ReplyDelete
  2. La mia opinione è che la sicurezza non è mai troppa. Tieni anche presente che i sistemi desktop (al contrario dei server) spesso usano tecnologie closed (ad esempio i plugin flash) che li rendono anche _più_ vulnerabili di un server.

    Per quanto riguarda l'aspetto prestazionale (seguo phoronix ma di solito salto i loro "benchmark" non ritenendoli significativi) ho dato una occhiata allo specifico e mi pare si possa dire SELinux ha (come prevedibile) impatto solo sui benchmark che coinvolgono l'I/O su disco. Nell'uso reale di desktop, dubito che SELinux possa produrre un sensibile degrado di prestazioni, anche sui netbook.

    ReplyDelete
  3. Ho provato lo spin LXDE di Fedora 12 funziona subito, é bello, é leggero l' audio funziona perfettamente, la localizzazione é ottima ... però SELinux ogni tanto se ne esce con qualche paranoia in inglese ed é un peccato che non si possa disabilitare almeno da LXDE.
    Volevo regalare alcuni PC ad un asilo per farci girare alcuni software didattici tipo Edubuntu ma la cosa non mi sembra proponibile dovrò ritornare alla vecchia Edubuntu 8.04 o a Skolelinux che sono molto meno moderne ...

    ReplyDelete
  4. Cmq volendolo disattivare la procedura è piuttosto semplice; basta aprire, da root, il file:
    /etc/sysconfig/selinux
    e mettere
    SELINUX=disabled
    salvare il file e riavviare

    ReplyDelete