Maggiore sicurezza su Fedora (e quindi Red Hat Linux), ma non si potrà disabilitare SELinux a runtime

fedorahero

Esiste un’azione che il 99% degli utenti fa dopo aver installato Fedora o una qualsiasi distribuzione Red Hat-like come CentOS o Red Hat Enterprise Linux: la disabilitazione di SELinux.

Sebbene infatti la funzionalità Security Enhanced Linux (SELinux, appunto) sia uno standard dall’enorme potenziale, portando con se anche un livello di complessità gestionale parecchio alto nella maggioranza dei casi viene disabilitato.

Senza sindacare sui benefici che porterebbe lasciare in funzione un sistema di controllo nativo, completamente integrato e che agisce a livello di Kernel, esistono due modi per disabilitare SELinux, uno runtime e temporaneo, utilizzando il comando setenforce 0 che imposta la modalità SELinux a “permissive” (ossia segnala le anomalie, senza intervenire) e l’altro permanente, andando a modificare il file /etc/sysconfig/selinux (che è un link simbolico a /etc/selinux/config), impostando la variabile SELINUX a permissive o disabled:

SELINUX=permissive

ed effettuando un reboot.

Entrambi questi metodi sono considerati “a runtime” poiché subentrano dopo che tutti i moduli del Kernel sono stati debitamente caricati. Infatti l’ambiente SELinux viene sempre caricato dal sistema, proprio perché il livello di integrazione (favorendo le performance) è totale.

Nella pratica ciò che viene fatto a runtime è questo:

  • scrittura del valore 1 nel file /sys/fs/selinux/disable;
  • unmount del filesystem virtuale /sys/fs/selinux;

Si agisce quindi su quei file che sono definiti hook LSM (Linux security module).

Per disabilitare totalmente il sottosistema SELinux è necessario aggiungere, a livello di grub, alla riga che avvia il Kernel Linux la voce selinux=0, solo in questo modo infatti SELinux non verrà caricato.

Almeno fino ad oggi.

A cominciare da Fedora 34 l’unica modalità per disabilitare SELinux sarà proprio l’ultima descritta. Come spiega il Wiki di Fedora, la modalità runtime di disabilitazione di SELinux verrà considerata deprecata, per tutta una serie di ragioni, prima fra tutte proprio la sicurezza.

Infatti impostare gli hook LSM del Kernel descritti sopra a read-only consentirà di aumentare la protezione nei confronti di determinati attacchi, descritti proprio nella pagina Wiki.

Vien da sé come questa variazione impatterà nel lungo periodo anche le altre distribuzioni che in un certo senso “nascono” da Fedora: Red Hat Enterprise Linux e, ovviamente, CentOS.

Non è quindi qualcosa di urgente a cui prepararsi, ma tenete a mente: setenforce 0 non sarà una comoda modalità per salvarsi in situazioni di urgenza 🙂 un reboot sarà verosimilmente da mettere nel conto!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2020/09/maggiore-sicurezza-su-fedora-e-quindi-red-hat-linux-ma-non-si-potra-disabilitare-selinux-a-runtime/

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.