[despammed] [security] SE Linux

Valentino Squilloni - OuZ ouz a despammed.com
Mar 7 Ott 2003 01:06:27 CEST 

On Thu, 2 Oct 2003, Lorenzo Iannuzzi wrote:

Un saluto a tutta la lista visto che questo e' il mio primo post :-)

> Volevo sapere se qualche frequentatore della lista avesse provato
> Security Enhanced Linux ( http://www.nsa.gov/selinux/index.html,
> http://www.coker.com.au/selinux/ ). E' un progetto volto a creare un
> sistema operativo sicuro, che includa un meccanismo particolare per il
> controllo dell'accesso alle risorse da parte delle applicazioni. Non mi
> sono documentato molto sull'argomento, mi chiedevo se a qualcuno fosse
> già noto.

Non rispondo direttamente al tuo post visto che non ho mai provato
SELinux, anche se ho dato un occhiata alla documentazione sul sito.

La mia prima impressione e' che sia utile solamente in determinati
contesti, come ad esempio un ambiente di tipo ``militare'' dove trovi
una classificazione della confidenzialita' di un documento (da
unclassified fino a top-secret).  Mi piacerebbe sapere in quali contesti
pensiate sia utile una politica di tipo Mandatory Access Control, quando
la maggiorn parte delle funzioni che dovrebbe compiere possono essere
implementate con delle seplici acl del filesystem (ad esempio xfs le
supporta nativamente e il supporto a questo filesystem sara' inserito
nativamente nei kernel 2.6).

Anche FreeBSD nella versione Trusted ha un modulo nel kernel per
implementare il MAC (vedi:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html).

+++
Anche se non forse non c'entra molto...

Per ora ho provato la patch grsec per il kernel linux
(http://www.grsecurity.net/) che mi ha dato una buonissima impressione.
Prende spunto da OpneBSD per implementare delle piccole chicche di
sicurezza quali ad esempio l'impossibilita' di scrivere su /dev/mem e
/dev/kmem, delle restrizioni sull'albero /proc, la randomizzazione dei pid
dei processi, una funzione ``truly-random'' per generare l' ISN di una
connessione TCP (e questo chiude le porte in faccia a molti attacchi di
tipo man-in-the-middle) e molte altre cose.

+++

Ah, io i tuoi post li leggo tutti senza problemi ;-)

L'unica cosa che mi viene segnalata e' che usi come encoding ISO-8859-1
mentre io ho settato come predefinito il ISO-8859-15 e questo potrebbe
creare problemi can caratteri particolari (ad esempio l'euro) ma non so
dire qual e' il modo ``giusto''.

Ciao

-- 
>avendo accesso come root ad un server remoto, come potrei fare a rendere
>il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni

Maggiori informazioni sulla lista security