Toon posts:

SElinux, gebruikt iemand het

Pagina: 1
Acties:

vrijdag 5 november 2010 22:25

Acties:
  • 0 Henk 'm!
  • mpol
  • Registratie: September 2002
  • Laatst online: 15-06 22:26

mpol

root@localhost

Topicstarter
Hoi,

Ik heb pas voor mezelf een webserver met SElinux ingericht. De grootste frustratie hirbij was wel SElinux. Ik had veel gehoord over MS Vista, wat met een slecht ingerichte UAC kwam. Maar SElinux vond ik toch wel een grotere ramp. Zoals het standaard opgzeet is gaat het volgens mij het eesrte zijn wat iedereen uitzet.
Is er iemand hier die het gebruikt en er blij mee is? En dus ook echt gebruikt en er voordeel van heeft?

https://timelord.nl

vrijdag 5 november 2010 22:27

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Euh. SELinux zou juist iets zijn dat iemand expliciet aanzet omdat ze er een reden voor hebben.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 5 november 2010 22:29

Acties:
  • 0 Henk 'm!
  • mpol
  • Registratie: September 2002
  • Laatst online: 15-06 22:26

mpol

root@localhost

Topicstarter
Standaard staat het aan in Fedora 13. Ik neem aan ook in RHEL 6 binnenkort.
Je hebt wel een punt hoor, de reden om het dus expliciet uit te zetten is gebruiksgemak.

https://timelord.nl

vrijdag 5 november 2010 22:35

Acties:
  • 0 Henk 'm!
  • silentsnake
  • Registratie: September 2003
  • Laatst online: 19:58

silentsnake

Het concept van SELinux is zeker niet verkeerd, maar ik denk dat het veelal ongewenst is vanwege de support nachtmerrie dat het met zich meebrengt. Je krijgt het pas goed voor elkaar als je zelf je policy files heb gemaakt en ook zeker weet dat al je security contexten goed zijn. Ergo het moet een business requirement zijn om je systeem zo veel mogelijk dicht te timmeren. Denk aan banken / credit card toko's, defensie, justitie, dat soort zaken. Voor het normale bedrijfsleven zie ik het niet zo snel gebeuren.

Maar ja, SElinux is ook niet iets voor eventjes erbij. Je moet er toch echt flink wat tijd aan gaan zitten en je applicatie(s) van top tot teen testen voordat je er productie mee kan gaan draaien. Anders is de kans groot dat de boel niet werkt of omvalt.

Overgens zijn een zooi applicaties die door Red Hat geleverd worden wel al standaard door hun gesupport met SELinux. Maar ja, dat is alleen dan maar de default installatie. Alles wat je zelf er bovenop zet (denk aan een webapp) moet er toch ook mee werken.

Edit: volgens mij staat het in RHEL5 ook standaard al aan.

[ Voor 17% gewijzigd door silentsnake op 05-11-2010 22:39 ]

zaterdag 6 november 2010 13:07

Acties:
  • 0 Henk 'm!
  • martijnvanegdom
  • Registratie: Januari 2004
  • Laatst online: 27-05 17:54

martijnvanegdom

Ja het staat in REHL5 standaard aan en ook in het afgeleidde project Centos 5.

maandag 8 november 2010 19:48

Acties:
  • 0 Henk 'm!
  • mpol
  • Registratie: September 2002
  • Laatst online: 15-06 22:26

mpol

root@localhost

Topicstarter
Bedankt silentsnake. Dat was ook mijn globale indruk eigenlijk wel. Maar omdat het standaard aanstaat in RH lijken ze het wel te pushen, ook naar gewone gebruikers. Dus het voelde wat gek om het standaard zomaar uit te zetten. Maar het is dus inderdaad de normale gang van zaken om het uit te zetten.

https://timelord.nl

dinsdag 9 november 2010 14:39

Acties:
  • 0 Henk 'm!
  • Rainmaker
  • Registratie: Augustus 2000
  • Laatst online: 14-07-2024

Rainmaker

RHCDS

RHEL is bedoeld als een server distro.

Dat betekend dat je altijd een zo hoog mogelijke beveiliging out of the box wil en moet bieden.

Fedora is ontwikkelstraat voor RHEL, dus ook daar; lekker standaard aan.

Mijn ervaring met selinux is dat het me zelden dwarszit, behalve inderdaad bij een webserver. Komt omdat veel te veel services (IMHO) unconfined draaien. Een paar restorecon's op de juiste plek en een webserver is makkelijk opgezet; met de bijkomende beveiliging dat een script van een webserver nooit buiten zijn "eigen" bestanden zal komen. De paar dingen die je er aan moet tweaken, zijn voor gemiddelde dingen makkelijk te doen.

Ben het wel met je eens dat er eens een goede policy writer moet komen, in plaats van audit2allow.

Ik vind SELinux op zich een mooi systeem, geeft ook een redelijke veiligheid tegen runaway scripts op je webserver, bugs in je mailserver etc.

Het werkt hetzelfde zoals alle "lastige" dingen in Linux; als je het eenmaal redelijk doorhebt, zie je er toch wel de voordelen van in.

We are pentium of borg. Division is futile. You will be approximated.

dinsdag 9 november 2010 20:03

Acties:
  • 0 Henk 'm!
  • Big Mama
  • Registratie: Mei 2000
  • Laatst online: 06-10 09:11

Big Mama

Het mooie aan SE-Linux is dat je het uit kunt zetten (/etc/selinux/config) ;-)
Je kunt hem ook op 'permissive' zetten: dan houdt het niets tegen, maar logt wel wat er tegengehouden zou zijn als SE-Linux actief zou zijn.

Je moet het zien als beveiliging van binnenuit. Een firewall dient als beveiliging tegen ongewenste indringers. SE-Linux (of AppArmor van SuSE/Ubuntu) zorgt ervoor dat je processen niet meer kunnen doen dan strict noodzakelijk. Bijvoorbeeld buiten de voor hen belangrijke directories lezen/krassen, of een netwerkpoort openen, of zoiets.
Het is een beveiligingsmechanisme wat door de NSA gedicteerd is, zie ook
RedHat SE-Linux

Computers follow your orders, not your intentions.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq