Bene, sembrerebbe che finalmente abbiamo a disposizione una bella e completa guida per l’ oscuro” mondo di Security Enhanced Linux (SElinux, per gli amici).

SElinux è un progetto nato e finanziato dalla NSA americana ed altri soggetti, allo scopo di ottenere una versione di Linux particolarmente sicura con l’adozione di alcuni particolari accorgimenti. Le distribuzioni “americane” quali Fedora Core, e Red Hat che la sponsorizza, sono state tra le prime (ed uniche) tra le distribuzioni (che io conosco) ad aver adottato questa tecnologia attivamente.

Uno di principali problemi derivanti da questa politica e’ quella di avere tale tecnologia attiva sin dalle prime fasi di installazione {questo comportamento puo’ essere evitato scrivendo linux selinux=0 al momento di fare boot col supporto di installazione, oppure facendo attenzione a “spegnerlo” durante la fase di configurazione del sistema durante la stessa}.

Ora, questa tecnologia – come tutte le altre – ha bisogno di essere studiata ed imparata prima di essere applicata appropriatamente. Il fatto che una distribuzione particolarmente famosa ed importante come Fedora/RHEL la abbia adottata ed attivata di default ha fatto si che un notevole numero di persone l’abbia applicata senza essersi resa conto dei cambiamenti dovuti all’ introduzione di questa tecnologia.

Ma SElinux e’ una tecnologia “subdola”, poichè consente l’esecuzione di gran parte degli applicativi comuni ma inibisce anche l’uso di alcuni comandi non cosi’ inutilizzati (a mo di aneddoto posso ricordare quando nella prima Fedora che adottava tale tecnologia l’attivai senza aver letto una riga al riguardo – del resto ero e sono niubbio e pigro – e pur essendo autenticato come utente root non riuscivo ad editare il file /etc/fstab con vi !!!)

Quindi, se siete alla prese con una macchina equipaggiata con Fedora/RedHat (o loro derivate) e volete servirvi della sicurezza extra garantita da SElinux e’ fortemente raccomandato il suo test e apprendimento su una macchina non di produzione e una lettura della documentazione disponibile, partento dalle apposite FAQ e risorse on-line disponibili sul wiki del Progetto Fedora.

Ed infine ieri, leggendo il blog di James Morris ho scoperto della recente pubblicazione di un libro su SElinux orientato all’apprendimento per esempi (assieme alla realizzazione di un nuovo strumento integrato in Gnome – ignoro se lo sia in KDE – per gestire al meglio SElinux sui file e sui servizi della macchina host)

Tutto ciò mi è sembrato degno di nota, no ??

Sul libro, e SElinux, vi invito a scoprirne di più sul blog di uno degli autori del libro: SElinux by Example