SELinux, AppArmor o. lign

#0:

Interessant tråd som jeg ser frem til at følge. Jeg har altid haft opfattelsen at fx SELinux var vanskeligt at sætte op, så jeg er spændt på at læse mere.

#1 Det er det også - det er en af de få ting som Fedora virkeligt har løst flot og har for sig selv, en solid og brugervenlig tilgang til SELinux.

Hvad mener jeg med det ? Standardpolitikkerne er vel opsatte og der er gode GUI-værktøjer til videre manipulering og en masse arbejde er lagt ind i et notits-værktøj som hjælper med løsning af de hyppigste problemer (som i, du bliver informeret af systemet om potentielle problemer og deres løsning).

Jeg har forsøgt mig lidt på gentoo og opensuse hvor man desværre starter ud med profiler som ikke rigtigt virker (fra default har man ingen rettigheder så hvis du sætter SELinux til at enforce disse politikker virker dit system ikke).

Det kan gøres, pakkerne er der, men det er ikke ligefrem let og for at få et nogenlunde virkende setup skal man sætte sig ind i tingene. Der er ingen "let fra start" :/

AppArmor er beskrevet i opensuse's egen manual der medfølger i normale installationer '/usr/share/doc/manual/opensuse-manuals_en' og det ser VÆSENTLIGT mindre besværligt ud at definere "policies" - dvs. hvad et program må og ikke må.

Problemet med AppArmor er dog at rettighederne ikke er bundet op på en sti, ergo kan man forpurre visse af disse politikker ved at symlinke filer omkring etc.
(Det er min forståelse anyway).

BTW - Floss Weekly (Linux / FOSS podcast) havde en episode om SELinux, den er ikke helt ny længere men deres gæst (og ham der forklarer om SELinux) er en af de RedHat-sponsorerede udviklere af SELinux. Det kan være interessant at lytte til.

Ja en interessant tråd jeg også vil følge.

Hvis man er til sådan noget, så er Linux BackTrack også værd at kikke på.

http://www.backtrack-linux.org/backtrack/backtrack-5-release/
http://www.offensive-security.com/

Bruger SELinux via fedora. Synes ikke at jeg oplever nogen problemer med det i F16.

En spændende sikkerhedsfeature jeg ser frem til i F17 er at visse services sættes op med private /tmp foldere. Det er muligt med systemd og det giver et stort løft i sikkerheden.
http://fedoraproject.org/wiki/Features/ServicesPrivateTmp

Nørderi:
Temp filer er desværre meget nemme at lave rod i i dag. Det sædvanlige problem går på, at der findes dårlige funktioner til at oprette en temp fil. Filen oprettes kun, men åbnes ikke. I det splitsekund der går fra at en fil oprettes til den åbnes har ondsindede programmer muligheden for at skaffe sig adgang til filen. Det er ikke rocket science, men alligevel går det galt igen og igen. (mktemp vs. mkstemp)

Glib kommer snart i version 2.32 med en ny funktion (af yours truly), der gør det nemmere at gøre det rigtige for GFile's.
http://developer.gnome.org/gio/unstable/GFile.html#g-file-new-tmp

unix navnerummet er et arkant oldtidslævn , /tmp burde være privat som default i dag . hvorfor skal brugere smidde deres tilfældige skrammel i samme dir, endnu værrere, hvorfor afhænger megen system software af det . og hvorfor kan enhver idiot skrive til det og eksekverer derfra det er dårlig sikkerhed 101.


Fedora er absolut den distro der håndtere SELinux bedst, det sagt så har ingen enduser distros givet mig indtrykket af at have gennemført MAC sikkerhed eller andet ret længere end alm unix permissions, og jeg vil også have meget mere tillid til at de bare holdte sig til fornuftige defaults og væk fra sære sikkerheds schemes.
Igen,, Fedora lader til at være nogle af de eneste der gør ret meget med alle de her nye tiltag. Har ikke studeret hvad min RHEL gør.

Bortset fra det så fra hvad man hører på internet jungle trommerne er SELinux ikke nødvendigvis det bedste, mange har rost GRSecurity/PAX og de virker ekstremt seriøse omkring det, men meget af dette arbejde kommer aldrig i mainline da det ikke bruger PAM og direkte forhindrer PAM.

Jeg har kun dårlige erfaringer med SELinux. Det er længe siden jeg brugte det, men jeg har virkeligt siddet mange gange og bandet og svovlet og ønsket mig måder at slå det fra på, eller bare løsne det lidt op så mere slap igennem. Da jeg spurgte på IRC var det utvetydige svar fra alle, at jeg bare skulle se at få det helt deaktiveret. For det blokerer jo skisme for *alt*. Men sådan er det jo -- hvis man vil have sikkerhed, skal brugeren heller ikke have lov at pille :0)

Det kan godt være det er blevet mindre zealous og mere til at arbejde med nuomdage, dog.

Jeg vil godt høre mere om hvor mange der bruger denne ekstra sikkerhed på både servere og desktops, og hvorfor folk gør eller ikke gør.

#7:
Den næste server jeg skal sætte op kommer til at benytte AppArmor og håbet er at blive fortroligt nok med projektet til at også min Desktop kommer til at bruge det.

Grundende burde være forholdsvist ligetil, for både SELinux som AppArmor gælder det, at du sjældent har de aller nyeste patches på din server (typisk fordi nogle af os er dovne --og det er trist!) eller fordi man først bør teste de nyeste pakker før end man opgraderer produktionssystemerne.
Hvis ikke, well så kan det gå som her:
--------

DreamHost suffers massive outage due to automated Debian package updating
* DreamHost had a policy where they would automatically install the latest packages from the their repository on all of their machines, including VPS and Dedicated servers rented to customers
* Something in one or more of these packages caused some dependencies to be uninstalled resulting in Apache, the FTP server and in some instances, MySQL being uninstalled or unable to start properly
* DreamHost is a very large attack target due to the number of servers and domains that they host, they must work diligently to ensure updates are applied to prevent massive numbers of machines from becoming compromised
* DreamHost has to manually resolve many of the dependencies was unable to fix the issue in an automated fashion, requiring hands on admin time on each individual server and VPS
* DreamHost has now changed their policy regarding updates, where they will now test all of the packages from Debian extensively before they are pushed to all customer servers

---------
(fra: http://www.jupiterbroadcasting.com/16601/dhcp-attacks-techsnap-43/ )

Mellem dette patch-lag og en viden om at visse sikkerhedshuller har været til stede i op mod et år før end de findes og rettes er det fornuftigt at antage, at nogle KAN misbruge dine services og at det derfor er vigtigt at hegne disse ind så meget som muligt, således skaden kan begrænses.

#dklinux
Det er rigtigt, at det er lidt rodet at alle programmer dumper deres midlertidige filer i /tmp. Sikkerhedsmæssigt er det dog ikke noget problem i sig selv. Så længe filen oprettes med specifikke rettigheder og fd'en holdes åben. Desværre bliver dette ofte gjort forkert og Fedora hiver nu en større hammer frem og laver private /tmp.

Hvis vi skal analysere lidt på det, så bliver det jo fint for Fedora. For andre ikke-systemd distroer kan det dog vise sig at blive et problem. Det er nemlig ofte red hats sikkerhedshold der reagerer på den slags problemer og retter dem. Nu kan fedora trygt ignorere den slags - eller i hvert fald ikke prioritere dem. På den konto kan andre distro'er se frem til at skulle lave mere selv. Noget de måske ikke har ressourcer eller kompetencer til.

Jeg har konfigureret Apparmor profiler fra bunden til OpenJDK og Firefox. Jeg har valgt at gøre dette da jeg gerne vil have lidt ekstra sikkerhed mod at få kompromitteret mit system gennem disse applikationer, da de er de mest risikofyldte.

Derudover har jeg også fuld kontrol over hvad NemID har adgang til på mit system, jeg har f.eks blokeret alt adgang til dokumenter osv. i min hjemmemappe. Derudover har jeg sørget for at give så få rettigheder så muligt der hvor NemID kræver rettigheder for at fungere.

Jeg valgte Apparmor fordi det er installeret som standard i Ubuntu og det er meget nemt at sætte op. Jeg bruge ikke standard profilerne til OpenJDK og Firefox da de efter min mening giver applikationeren for mange rettigheder.

#8 Tak for linket

Udover oplysningen om DreamHost Webhosting, er historien om den rogue ICS DHCP server under afsnittet; This week’s war story ganske morsom. Der skal ikke altid meget til før det går helt galt.

DNS Spoofing som resultat af malicious phishing mails og websites, er problematiske eksempelvis i forbindelse med MS Updater Trojan. Håber at generel implementering af DNSSec snart falder på plads, men først er der nogle tåbelige Danske politiske beslutninger, der lige skal rydes af vejen.

Jeg er ikke tilhænger af automatiske updateringer af nogen som helst slags. Hverken på Win, Lin eller Mac samt diverse programmer. Godt nok lader jeg systemerne søge efter dem, men de får ikke lov til at installere sig automatisk. En vane fra WU, Service Packs med mere, som jeg har medbragt fra for mange dårlige oplevelser på Windows.

DreamHost er heller ikke min kop The http://www.upstartblogger.com/why-dreamhost-sucks Man skal lige lave sit forarbejde, før man falder for sådan noget. Handler det om uheldige opdateringer, der får serveren eller desktoppen til at falde fra hinanden, er det fornuftigt at klone systemerne mens de er velfungerende. Det giver altid en failback, men kræver noget vedligeholdelsesarbejde. Tiden er dog godt brugt når (ikke hvis) det går galt.

Alligevel vil jeg overveje SElinux med mere, især hvis jeg kan få fleres personlige oplevelser.

#10

Nu går jeg lidt offtopic, men lidt relevant er det alligevel. Angående sikkerhed og browsers:
Til fosdem i weekenden så jeg en fremvisning af Xan Lopez om hvordan epiphany browseren snart kan lave "apps" af websider. Dvs. en browser uden urlbar og andet "browser"-stuff. Ideen er bla. at browseren laver en profil til hver "app" sådan at cookies osv ikke kan tilgås fra andre "apps" osv osv. Det er meget fint, men det blev først spændende da en tilskuer begyndte at stille spørgsmål. Det var Lennart Poettering der begyndte at spørge ind til, om browseren brugte de relevante sandboxing-teknikker fra linux kernen. Det gjorde den ikke, men hvis vi kender Lennart ret, så kommer den snart til det. Dvs. at enkelte per-webside browser-instanser _måske_ snart vil få maksimal beskyttelse fra via kernen. Det var næsten det allermest spændende jeg hørte dernede!

#12

Jeg synes Sandboxies af browseren lyder fornuftigt. Helt paradoksalt, så har den elendige sikkerhed på Windows allerede skabt flere sikkerhedsprogrammer der kan forebygge sådanne problemer på andre platforms.

Der er naturligvis allerede DeepFreeze fra Faronics, der også beskytter servere.

http://www.ccpro.dk/deepfreeze.htm

#13
Jeg kan ikke se hvordan det er relevant for tråden at diskuttere sikkerhedsprodukter til windows. Åbn venligst separat tråd til dette.

#14

Det er jeg ikke enig i. Sikkerhedsprogrammer til Windows eksistere allerede fx som browser sandbox.

Udover det, så er Deepfreeze ikke kun til Windows, men i lige så høj grad til Linux, og iøvrigt Mac.

Jeg ved godt Phomes, at du ind imellem taler før du tænker. Findes et program til et system, kan der være en ide på andre også.

#15
tror du at jeg vil bide på dit trolleri?

Manden spørger pænt om sikkerhedsløsninger til linux, som SELinux, AppArmor og lign. Skal vi ikke bare holde os til det?

Det er et sikkerhedsprogram til Linux, med tryk på lignende.
SELinux, AppArmor og lign.

http://www.faronics.com/news/article/faronics-deep-freeze-makes-linux-c…

Manden spørger til MAC løsninger, der sørger for at et program (simplificeret tilfælde) kun kan tilgå specifikke ressourcer, f.eks. filer, hukommelse, hw, osv.

Du hiver så et close source betalingsprogram frem, der kan genstarte en computer i en predefineret tilstand. Et program der også kræver en windows maskine til administration. Det er svært at se hvordan det er relevant.

Den lange snak om dns spoof, ms updater trojan, osv er 100% offtopic og hentydninger om dårlige dansk politik og tilsvining af dreamhost er bare ren hijacking.

Gab. Tilbage til topic. Tukanfan, fik du hvad du havde brug for?

#18: Et program der også kræver en windows maskine til administration. Det er svært at se hvordan det er relevant.

Hvad mener du med at deepfreeze kræver Windows til administration?

Man behøver overhovedet ikke Enterprise versionen, der ikke er andet end administration af maskiner med programmet installeret. Enterprise kan ikke selv beskytte noget. Det er jo noget sludder du siger, og din tone berettiger også til en klage.

Deepfreeze er et standalone program, men jeg bruger da selv Enterprise til administration.

sjovt du siger det, for jeg er kommet dig i forkøbt :)

Nu må vi se ...

#14: Jeg kan ikke se hvordan det er relevant for tråden at diskuttere sikkerhedsprodukter til windows. Åbn venligst separat tråd til dette.

Phomes, at bruge en enkelt linje + et link til at nævne et relaterede sikkerhedsprodukt til Windows er ikke at hijacke tråden. Frogmaster har ikke engang startet en diskussion, han har blot i en sidebemærkning nævnt et produkt til Windows. Det skal der være plads til.

Mange af brugerne herinde er i øvrigt på flere platforme.

Edit: plus at jeg kan se at Deepfreeze også er til Linux: "Beskytter hele harddisken i Windows 2000/XP/Vista/7, Linux, Server eller Mac".

Min fremhævelse.

Det er meget fint at det også findes til linux, men det ændrer ikke på at produktet er totalt irrelevant for diskussionen af MAC teknologier. Det der irriterer her, er at frogmaster i begge sine posts kaster de ting han lige tilfældigvis havde i tankerne ind. Han kunne ligeså lige kommentere på hvordan transfervinduet i fodbold er forløbet.

Denne tråd er nu officielt trollet ihjel. Det var synd, for det var ellers spændende.

#23: Denne tråd er nu officielt trollet ihjel

Den eneste der har lavet noget der minder om trolling er dig.

#0 skriver:

"Jeg kunne godt tænke mig at høre, om nogle af jer bruger sikkerhedsløsninger som SELinux, AppArmor, GrSecurity, SMACK eller lignende."

Bemærk eller lignende. Han spørger til sikkerhedsløsninger generelt. Uden at vide mere har vi ingen mulighed for at afgøre hvad OP finder relevant.

Jeg kan godt se, at jeg har formuleret mig en smule uklart - beklager mange gange.
Selvom det er spændende at diskutere sikkerhed på Linux generelt, vil jeg gerne holde fokus på MAC-systemer, så folk der læser med kan tage stilling til, om netop denne type sikkerhed er relevant for dem. Dermed ikke sagt, at folk skal udøve unødig selvcensur - bare det har et eller andet at gøre med topic, som altså er MAC-systemer ;-)

#25:

Der såmænd ikke noget at beklage fra din side.

Jeg vil blot henstille til brugerne at være lidt mere varsomme med at anklage andre før de er sikre på at der er belæg for det.

Frogmasters indspark var relevant ud fra hvad vi på det tidspunkt vidste om dit spørgsmål.

En af udviklerne udtalte at værktøjerne til at justere restriktionerne og fil-rettigheder, er blevet væsentlig forbedret de sidste par år.

Gemt i denne video er der et par tips til hvilke værktøjer man med fordel kan anvende for at få Mandatory Access Control til kun a blokere uønskede hændelser.
http://youtu.be/dtclmj3H7ZU

Nogle af de nævnte kommandoer er
ls -Z viser SE-linux-relateret info (labels?)
chcon skifter fil-rettigheder som SE-linux bruger.
restorecon
sealert (Uddybende forklaring på log-beskeder, kommer med løsningsforslag)
Udnyt auditd til logs

Nå, men muligvis er SELinux ikke så bøvlet som tidligere, men kræver stadig viden om effektiv brug (tolket ud af videoen).