Какое программное обеспечение контекста безопасности использует Ubuntu?

10

Использует ли Ubuntu SELinux по умолчанию, а если нет, то как управляется контекст безопасности? Например, разрешение процессов, выполняемых как root без контекста безопасности, может представлять угрозу безопасности.

Страница страницы SELinux предполагает, что SELinux - это программа, которая должна быть установлена ​​вручную.

Итак, как Ubuntu обрабатывает контекст безопасности из коробки?

    
задан JohnMerlino 11.09.2013 в 16:26
источник

2 ответа

15

Ubuntu использует AppArmor , альтернативу SELinux.

Wikipedia дает некоторые подсказки о том, почему некоторые люди считают AppArmor лучше, чем SELinux:

  

AppArmor предлагается частично как альтернатива SELinux, которые критики считают сложными для администраторов настраивать и поддерживать. В отличие от SELinux, основанного на применении меток к файлам, AppArmor работает с файловыми путями. Сторонники AppArmor утверждают, что для среднего пользователя это становится менее сложным и легким, чем SELinux. Они также утверждают, что AppArmor требует меньше изменений для работы с существующими системами: например, SELinux требует файловой системы, которая поддерживает «метки безопасности» и, следовательно, не может обеспечить контроль доступа для файлов, смонтированных через NFS. AppArmor является файловой системой-агностиком.

Ubuntu отправляет много профилей AppArmor для основных приложений. Их можно найти в /etc/apparmor.d/ . Если вам нужно отредактировать профили по умолчанию, вы можете переопределить настройки из /etc/apparmor.d/local/ .

Ubuntu также отправляет некоторые так называемые «абстракции», которые помогут вам быстро написать свои собственные профили AppArmor, не повторяя себя (знаменитый Принцип DRY ).

Важно отметить, что профиль AppArmor для Firefox отключен по умолчанию, поскольку он может быть слишком ограниченным для многих пользователей. Однако вы можете включить его, как описано в документации :

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Если вы хотите пойти с SELinux, вы можете отключить AppArmor и установить selinux . Обратите внимание, однако, что конфигурация по умолчанию для SELinux в Ubuntu не слишком ограничительна, поэтому вам нужно настроить ее самостоятельно.

    
ответ дан Andrea Corbellini 11.09.2013 в 16:36
источник
0

Как указывает Андреа, Ubuntu использует AppArmor. Контекст SELinux по умолчанию, используемый Ubuntu, во многом зависит от того, как вы устанавливаете SELinux (я считаю, что selinux-default - это тот, который вы ищете). Конечно, если вы не установите ни одного, вы должны настроить его в соответствии с вашими вкусами.

    
ответ дан Braiam 11.09.2013 в 16:43