Revista Fedora Brasil 4
Para encerrar com chave de ouro o ano de 2008 o Projeto Fedora tem o prazer de anunciar o lançamento da quarta edição da Revista Fedora Brasil. Este número traz o editorial assinado por Augusto Campos, que traça uma retrospectiva sobre os 5 anos de existência do Fedora e mostra um quadro de como o ecossistema das distribuições Linux mudou após o anúncio do lançamento do primeiro Fedora. Além disso a revista também traz um enfoque especial ao novo Fedora 10, apresentando de maneira muito clara e simples todas as novidades e mudanças da nova release. Aproveite também para participar da promoção da Revista Fedora Brasil e concorra a um exemplar do livro "Java - Fundamentos, prática & certificação" do autor Adilson Bonanovisk. Continuam as aulas sobre shell script, há também um passeio sobre os mistérios do SELinux, tiros certeiros no jogo Urban Terror e uma receita infalível para você fazer o seu próprio Fedora. Tem mais, muito mais, são 66 páginas onde a variedade não será problema. Um feliz ano novo e não se esqueça de baixar a revista aqui
Fedora 10 e o SELinux
Danwalsh é um mestre jedi no que diz respeito ao SELinux, e recentemente ele publicou em seu livejournal sobre o Fedora 10 & SELinux.
Resumindo com as minhas palavras o que foi escrito por Danwalsh sobre as metas de desenvolvimento do SELinux a um tempinho atrás:
As pessoas que utilizam o SELinux tem como objetivo tornar os seus ambientes mais seguros, mas uma dúvida que ainda permanece é “Como evitar ataques que são comuns em ambientes MS ??” Esses ataques em sua maioria são realizados por intermédio do navegador, pois é o navegador a aplicação que permanece por maior tempo em ambiente não confiável (Internet).
Muitas pessoas vem tentando criar um confinamento dos navegadores através do SELinux, mas infelizmente sem sucesso, essa é uma tarefa muito árdua já que os desktops atuais possuem vários caminhos de comunicação.
Existem vários motivos para que não seja realizado o confinamento dos navegadores, uma das consequências desse confinamento seria a impossibilidade do usuário salvar documentos em seus diretórios pessoais, sem falar que não poderiam realizar uploads de arquivos, isso realmente os deixaria confusos, isso sem mencionar que várias aplicações como OpenOffice, Evince e muitas outras precisam do navegador para realizar tarefas, além de tudo isso é de conhecimento geral de que existem muitas aplicações on-line que executamos dentro do navegador como forma de evitar a sobrecarga dos serviços na web, a partir dessas premissas é possível imaginar o trabalho que seria realizar o confinamento de um navegador.
Colin Walters em uma palestra a alguns anos atrás discutiu sobre a possibilidade de realizar o confinamento dos plugins do firefox, aumentando a segurança sem colocar em risco a usabilidade, esse confinamento seria realizado nos plugins do flash, java, codecs de video e audio; essas bibliotecas atualmente estão integradas em um único processo.
Para quem não conhece o nspluginwrapper, ele é um plugin open-source utilizado para possibilitar a utilização de vários plugins não compatíveis com diversos sistemas operacionais, dessa forma é possível utilizar o flash em sistemas BSD’s e etc. além de possibilitar o enjaulamento com o SELinux ou RSBAC.
O Fedora como pioneiro na introdução de várias inovações não poderia deixar de aproveitar isso, consequentemente Danwalsh criou uma regra para realizar o enjaulamento do nsplugin no domínio nsplugin_t, e com isso o navegador continua rodando no domínio unconfined_t, isso no Fedora 9.
Como não era possível prever os problemas que poderia causar a utilização dessa regra, a melhor coisa que fizeram foi deixar essas restrições desabilitadas por padrão, mas elas estão lá, e quem desejar habilita-las poderá fazer isso com o comando: setsebool -P allow_unconfined_nsplugin_transition 1 .
Não foi reportado nenhum problema com a utilização dessa regra, talvez seja necessário realizar a reconfiguração do contexto do diretório pessoal e isso pode ser feito com o comando: restorecon -R -v ~/
Infelizmente uma nova versão do mozplugger introduziu uma série de aplicativos que vem causando problemas ao SELinux, e como o Fedora 10 já vem com o mozplugger instalado no padrão, se você quiser realizar o confinamento do nsplugin terá como solução remover o mozplugger: rpm -e mozplugger .
Ou então deverá desligar o confinamento do nsplugin com o comando:
setsebool -P allow_unconfined_nsplugin_transition 0
