Fedora 10 e o SELinux

securityDanwalsh é um mestre jedi no que diz respeito ao SELinux, e recentemente ele publicou em seu livejournal sobre o Fedora 10 & SELinux.

Resumindo com as minhas palavras o que foi escrito por Danwalsh sobre as metas de desenvolvimento do SELinux a um tempinho atrás:

As pessoas que utilizam o SELinux tem como objetivo tornar os seus ambientes mais seguros, mas uma dúvida que ainda permanece é “Como evitar ataques que são comuns em ambientes MS ??” Esses ataques em sua maioria são realizados por intermédio do navegador, pois é o navegador a aplicação que permanece por maior tempo em ambiente não confiável (Internet).

Muitas pessoas vem tentando criar um confinamento dos navegadores através do SELinux, mas infelizmente sem sucesso, essa é uma tarefa muito árdua já que os desktops atuais possuem vários caminhos de comunicação.

Existem vários motivos para que não seja realizado o confinamento dos navegadores, uma das consequências desse confinamento seria a impossibilidade do usuário salvar documentos em seus diretórios pessoais, sem falar que não poderiam realizar uploads de arquivos, isso realmente os deixaria confusos, isso sem mencionar que várias aplicações como OpenOffice, Evince e muitas outras precisam do navegador para realizar tarefas, além de tudo isso é de conhecimento geral de que existem muitas aplicações on-line que executamos dentro do navegador como forma de evitar a sobrecarga dos serviços na web, a partir dessas premissas é possível imaginar o trabalho que seria realizar o confinamento de um navegador.

Colin Walters em uma palestra a alguns anos atrás discutiu sobre a possibilidade de realizar o confinamento dos plugins do firefox, aumentando a segurança sem colocar em risco a usabilidade, esse confinamento seria realizado nos plugins do flash, java, codecs de video e audio; essas bibliotecas atualmente estão integradas em um único processo.
Para quem não conhece o nspluginwrapper, ele é um plugin open-source utilizado para possibilitar a utilização de vários plugins não compatíveis com diversos sistemas operacionais, dessa forma é possível utilizar o flash em sistemas BSD’s e etc. além de possibilitar o enjaulamento com o SELinux ou RSBAC.

O Fedora como pioneiro na introdução de várias inovações não poderia deixar de aproveitar isso, consequentemente Danwalsh criou uma regra para realizar o enjaulamento do nsplugin no domínio nsplugin_t, e com isso o navegador continua rodando no domínio unconfined_t, isso no Fedora 9.

Como não era possível prever os problemas que poderia causar a utilização dessa regra, a melhor coisa que fizeram foi deixar essas restrições desabilitadas por padrão, mas elas estão lá, e quem desejar habilita-las poderá fazer isso com o comando: setsebool -P allow_unconfined_nsplugin_transition 1 .
Não foi reportado nenhum problema com a utilização dessa regra, talvez seja necessário realizar a reconfiguração do contexto do diretório pessoal e isso pode ser feito com o comando: restorecon -R -v ~/

Infelizmente uma nova versão do mozplugger introduziu uma série de aplicativos que vem causando problemas ao SELinux, e como o Fedora 10 já vem com o mozplugger instalado no padrão, se você quiser realizar o confinamento do nsplugin terá como solução remover o mozplugger: rpm -e mozplugger .
Ou então deverá desligar o confinamento do nsplugin com o comando:

setsebool -P allow_unconfined_nsplugin_transition 0

Fonte

Anúncios

2 pensamentos sobre “Fedora 10 e o SELinux

  1. Pingback: Fedora 10 e o SELinux

  2. Pingback: Fedora 10 e o SELinux | BlogAll

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s