Perangkat lunak konteks keamanan apa yang digunakan Ubuntu?

10

Apakah Ubuntu menggunakan SELinux secara default dan jika tidak, bagaimana konteks keamanan dikelola? Misalnya, membiarkan proses berjalan sebagai root tanpa konteks keamanan dapat menjadi risiko keamanan.

The halaman bantuan tentang SELinux menunjukkan bahwa SELinux adalah program yang harus diinstal secara manual.

Jadi bagaimana Ubuntu menangani konteks keamanan di luar kotak?

JohnMerlino
sumber

Jawaban:

15

Ubuntu menggunakan AppArmor , alternatif SELinux.

Wikipedia memberikan beberapa petunjuk mengapa sebagian orang berpikir AppArmor lebih baik daripada SELinux:

AppArmor ditawarkan sebagian sebagai alternatif untuk SELinux, yang oleh para kritikus dianggap sulit untuk dibuat dan dikelola oleh administrator. Tidak seperti SELinux, yang didasarkan pada penerapan label pada file, AppArmor bekerja dengan path file. Para pendukung AppArmor mengklaim bahwa itu kurang kompleks dan lebih mudah bagi pengguna rata-rata untuk belajar daripada SELinux. Mereka juga mengklaim bahwa AppArmor memerlukan lebih sedikit modifikasi untuk bekerja dengan sistem yang ada: misalnya, SELinux membutuhkan sistem file yang mendukung "label keamanan", dan karenanya tidak dapat menyediakan kontrol akses untuk file yang dipasang melalui NFS. AppArmor adalah filesystem-agnostik.

Ubuntu mengirimkan banyak profil AppArmor untuk aplikasi inti. Anda dapat menemukan mereka di /etc/apparmor.d/. Jika Anda perlu mengedit profil default, Anda dapat mengabaikan pengaturan /etc/apparmor.d/local/.

Ubuntu juga mengirimkan beberapa yang disebut "abstraksi", yang merupakan cara untuk membantu Anda menulis profil AppArmor Anda sendiri dengan cepat tanpa mengulangi diri Anda sendiri ( prinsip KERING yang terkenal ).

Satu hal yang penting untuk dicatat adalah bahwa profil AppArmor untuk Firefox dinonaktifkan secara default, karena mungkin terlalu membatasi bagi banyak pengguna. Namun Anda dapat mengaktifkannya seperti yang dijelaskan pada dokumentasi :

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Jika Anda ingin menggunakan SELinux, Anda bebas untuk menonaktifkan AppArmor dan menginstal paket selinux . Namun perlu dicatat bahwa konfigurasi default untuk SELinux di Ubuntu tidak terlalu ketat, jadi Anda harus mengonfigurasinya sendiri.

Andrea Corbellini
sumber
0

Seperti yang ditunjukkan oleh jawaban Andrea, Ubuntu menggunakan AppArmor. Konteks "default" SELinux yang digunakan Ubuntu, sangat tergantung pada bagaimana Anda menginstal SELinux (saya percaya bahwa selinux-default, adalah yang Anda cari). Tentu saja, jika Anda tidak menginstalnya, Anda harus mengonfigurasinya sesuai dengan selera Anda.

Braiam
sumber