De beveiliging die Security-Enhanced Linux biedt
Een van de meest besproken features in Fedora Core 3 (FC3) is Security-Enhanced Linux, dat volgens sommige mensen van Linux een "military-grade" beveiligd besturingssysteem maakt. SELinux kan echter ook andere distributies beveiligen. Het de facto Linux security mechanisme, Discretionary Access Control, zorgt ervoor dat programma's worden uitgevoerd afhankelijk van de rechten die de gebruiker heeft. Als een gebruiker een programma draait, dan werkt dit alleen in zijn home directory en nergens anders. SELinux voegt een extra niveau van security toe aan Linux's DAC. Via Mandatory Access Control (MAC), draait een programma binnen een domein of sandbox met beperkte rechten, net zoals chroot. Op een machine met SELinux moet een actie eerst langs de Linux DAC gaan, waarna SELinux kijkt of die wel aan het MAC voldoet, voordat de actie wordt uitgevoerd, zo laat dit artikel weten dat dieper op SELinux ingaat.
aanspreekt, maar niet zoveel aandacht krijgt als SELinux) is
RSBAC: http://www.rsbac.org
soortgelijk principe. Het was een behoorlijk werk om in te
stellen.. eerst werk je vanuit zeer hoge restrictie en je
geeft langszamerhand de applicatie de rechten die het
precies nodig heeft om z'n taak te doen.. Het exploiteren
van zo'n proces zal dan lastig zijn omdat er moeilijk uit de
omgeving van het proces gebroken kan worden aangezien die
omgeving zeer beperkt is.
Ik vond het leuk om het te doen voor een keer.. en het werkt
zeer effectief. Maar gebruik dit aub niet als je je systeem
nog fatsoenlijk wilt kunnen onderhouden.. Althans ik vond
het maar een chaos om dingen te upgrade en dergelijke, geen
schrijfrechten naar files in /bin, moest je de hele boel
weer unlocken en dergelijke. Al met al leuk als hobby, maar
inderdaad wel military-grade te noemen. Ook als je het wil
instellen moet je toch wel behoorlijk veel weten van Linux
om de juiste rechten te kunnen geven.
Naar mijn mening te overdreven voor normale thuis-servers of
werkstations (ik zou het niet willen hebben op een desktop
PC.. nooit)..
veilige stand. Alles werkte prima maar alleen crossover
office ging retetraag.
Bij een nieuwe installatie op een andere pc ook selinux in
waarschuwingsmodus gezet. Dan werkt cxoffice prima.
De technische details ken ik (nog) niet maar het idee dat er
in linux ook zoiets als dit nodig zou zijn, geeft me niet
zo'n goed gevoel eerlijk gezegd.
Daarom ga ik me er snel eens in verdiepen! :-)
moeten worden voordat ze echt goed op
buiten-het-lab-machines kunnen worden ingezet. Te zijner
tijd zullen bijvoorbeeld packages met
standaard-security-instellingen komen, en handige
mechanismen om bijvoorbeeld te upgraden, wat nu inderdaad
nog een ramp is. Een distributie die hiermee met RSBAC
experimenteert is http://adamantix.org
Ik heb enige tijd FC3 met selinux gebruikt. Selinux in de
veilige stand. Alles werkte prima maar alleen crossover
office ging retetraag.
Bij een nieuwe installatie op een andere pc ook selinux in
waarschuwingsmodus gezet. Dan werkt cxoffice prima.
De technische details ken ik (nog) niet maar het idee dat er
in linux ook zoiets als dit nodig zou zijn, geeft me niet
zo'n goed gevoel eerlijk gezegd.
Daarom ga ik me er snel eens in verdiepen! :-)
Je moet het zien als een second-line-of-defense. Als je
lekken zou hebben in software dan maakt selinux en
soorgelijke oplossingen het moeilijk en soms bijna
onmogelijk om er misbruik van te maken. Dit is vooral
belangrijk als je bang bent dat er 0day attacks uitgevoerd
zullen worden tegen je systeem.. het geeft je meer tijd om
de aanval te zien en af te weren. Een 0day (een nog
onbekende exploit voor een vuln waar geen patch voor is) zal
niet direct werken en dat geeft je de tijd om het te zien
gebeuren en te reageren: details doorgeven aan fabrikant,
service dichtzetten tot patch er is.
100% veiligheid is het wederom niet, maar het werkt zeer
frustrerend kan ik je zeggen. Ook andere kernel patches
zoals grsecurity (grsecurity.net) zijn wel een kijkje waard.
Maar het voornaamste van selinux is dat het suggereerd dat
het Unix security model tegenwoordig onvoldoende is (voor
een military-grade security).
Je kunt zoiets als selinux ruw vergelijken met
"kogelwerende" beveiliging, geen "kogelvrije" beveiliging..
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.