Pertanyaan Perangkat lunak konteks keamanan apa yang digunakan Ubuntu?


Apakah Ubuntu menggunakan SELinux secara default dan jika tidak, bagaimana konteks keamanan dikelola? Misalnya, memungkinkan proses untuk berjalan sebagai root tanpa konteks keamanan dapat menjadi risiko keamanan.

Itu halaman bantuan tentang SELinux menunjukkan bahwa SELinux adalah program yang perlu diinstal secara manual.

Jadi bagaimana cara Ubuntu menangani konteks keamanan di luar kotak?


10
2017-09-11 16:26


asal




Jawaban:


Ubuntu menggunakan AppArmor, alternatif SELinux.

Wikipedia memberikan beberapa petunjuk tentang mengapa beberapa orang berpikir AppArmor lebih baik daripada SELinux:

AppArmor ditawarkan sebagian sebagai alternatif untuk SELinux, yang oleh para kritikus dianggap sulit bagi administrator untuk mengatur dan memelihara. Tidak seperti SELinux, yang didasarkan pada penerapan label pada file, AppArmor berfungsi dengan jalur file. Pendukung AppArmor mengklaim bahwa itu kurang kompleks dan lebih mudah bagi rata-rata pengguna untuk belajar daripada SELinux. Mereka juga mengklaim bahwa AppArmor memerlukan lebih sedikit modifikasi untuk bekerja dengan sistem yang ada: misalnya, SELinux membutuhkan filesystem yang mendukung "label keamanan", dan dengan demikian tidak dapat memberikan kontrol akses untuk file yang dipasang melalui NFS. AppArmor adalah sistem-agnostik.

Ubuntu mengirim banyak profil AppArmor untuk aplikasi inti. Anda dapat menemukan mereka di /etc/apparmor.d/. Jika Anda perlu mengedit profil default, Anda dapat mengganti pengaturan dari /etc/apparmor.d/local/.

Ubuntu juga mengirimkan beberapa apa yang disebut "abstraksi", yang merupakan cara untuk membantu Anda menulis profil AppArmor Anda sendiri dengan cepat tanpa mengulanginya sendiri (yang terkenal) Prinsip KERING).

Satu hal yang penting untuk diperhatikan adalah bahwa profil AppArmor untuk Firefox dinonaktifkan secara default, karena mungkin terlalu membatasi untuk banyak pengguna. Namun Anda dapat mengaktifkannya seperti yang dijelaskan pada dokumentasi:

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Jika Anda ingin menggunakan SELinux, Anda bebas nonaktifkan AppArmor dan instal selinux paket. Namun perlu dicatat bahwa konfigurasi default untuk SELinux di Ubuntu tidak banyak membatasi, jadi Anda harus mengkonfigurasinya sendiri.


15
2017-09-11 16:36





Sebagai jawaban Andrea menunjukkan, Ubuntu menggunakan AppArmor. Konteks "default" SELinux yang digunakan Ubuntu, sangat tergantung pada bagaimana Anda menginstal SELinux (saya percaya bahwa selinux-default, adalah salah satu yang Anda cari). Tentu saja, jika Anda tidak menginstal, Anda harus mengkonfigurasinya sesuai dengan selera Anda.


0
2017-09-11 16:43