Ubuntu utilizza SELinux per impostazione predefinita e, in caso contrario, come viene gestito il contesto di sicurezza? Ad esempio, consentire l'esecuzione dei processi come root senza contesto di sicurezza può essere un rischio per la sicurezza.
La pagina di aiuto su SELinux suggerisce che SELinux è un programma che deve essere installato manualmente.
Allora, come fa Ubuntu a gestire il contesto di sicurezza immediatamente?
Risposte:
Ubuntu utilizza AppArmor , un'alternativa SELinux.
Wikipedia fornisce alcuni suggerimenti sul perché alcune persone pensano che AppArmor sia migliore di SELinux:
AppArmor è offerto in parte come alternativa a SELinux, che i critici considerano difficile da configurare e gestire per gli amministratori. A differenza di SELinux, che si basa sull'applicazione di etichette ai file, AppArmor funziona con i percorsi dei file. I sostenitori di AppArmor affermano che per l'utente medio è meno complesso e più facile da imparare rispetto a SELinux. Sostengono inoltre che AppArmor richiede un minor numero di modifiche per funzionare con i sistemi esistenti: ad esempio, SELinux richiede un filesystem che supporti le "etichette di sicurezza", e quindi non può fornire il controllo di accesso per i file montati tramite NFS. AppArmor è indipendente dal filesystem.
Ubuntu fornisce molti profili AppArmor per applicazioni core. Li puoi trovare in /etc/apparmor.d/. Se è necessario modificare i profili predefiniti, è possibile ignorare le impostazioni /etc/apparmor.d/local/.
Ubuntu fornisce anche alcune cosiddette "astrazioni", che sono modi per aiutarti a scrivere rapidamente i tuoi profili AppArmor senza ripetere te stesso (il famoso principio DRY ).
Una cosa che è importante notare è che il profilo AppArmor per Firefox è disabilitato per impostazione predefinita, perché potrebbe essere troppo restrittivo per molti utenti. È comunque possibile abilitarlo come descritto nella documentazione :
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Se vuoi andare con SELinux, sei libero di disabilitare AppArmor e installare il pacchetto selinux . Si noti tuttavia che la configurazione predefinita per SELinux in Ubuntu non è molto restrittiva, quindi è necessario configurarla da soli.
Come sottolinea la risposta di Andrea, Ubuntu usa AppArmor. Il contesto SELinux "predefinito" che Ubuntu utilizza dipende molto da come si installa SELinux (credo che quello selinux-defaultsia quello che si sta cercando). Naturalmente, se non ne installi nessuno, dovresti configurarlo secondo i tuoi gusti.