Czy Ubuntu domyślnie korzysta z SELinux, a jeśli nie, w jaki sposób zarządzany jest kontekst bezpieczeństwa? Na przykład zezwolenie na uruchamianie procesów jako root bez kontekstu bezpieczeństwa może stanowić zagrożenie bezpieczeństwa.
Strona pomocy na temat SELinuksa sugeruje, że SELinux to program, który należy zainstalować ręcznie.
Więc w jaki sposób Ubuntu obsługuje kontekst bezpieczeństwa po wyjęciu z pudełka?
Ubuntu korzysta z AppArmor , alternatywy SELinux.
Wikipedia podaje kilka wskazówek, dlaczego niektórzy uważają, że AppArmor jest lepszy niż SELinux:
AppArmor jest częściowo oferowany jako alternatywa dla SELinuksa, który zdaniem krytyków jest trudny do skonfigurowania i utrzymania przez administratorów. W przeciwieństwie do SELinux, który opiera się na stosowaniu etykiet do plików, AppArmor działa ze ścieżkami plików. Zwolennicy AppArmor twierdzą, że jest on mniej złożony i łatwiejszy do nauczenia dla przeciętnego użytkownika niż SELinux. Twierdzą także, że AppArmor wymaga mniej modyfikacji do pracy z istniejącymi systemami: na przykład SELinux wymaga systemu plików, który obsługuje „etykiety bezpieczeństwa”, a zatem nie może zapewnić kontroli dostępu do plików montowanych przez NFS. AppArmor jest niezależny od systemu plików.
Ubuntu dostarcza wiele profili AppArmor dla podstawowych aplikacji. Możesz je znaleźć w /etc/apparmor.d/. Jeśli chcesz edytować profile domyślne, możesz zastąpić ustawienia z /etc/apparmor.d/local/.
Ubuntu dostarcza również tak zwane „abstrakty”, które są sposobem na szybkie pisanie własnych profili AppArmor bez powtarzania się (słynna zasada DRY ).
Należy zauważyć, że profil AppArmor dla przeglądarki Firefox jest domyślnie wyłączony, ponieważ może być zbyt restrykcyjny dla wielu użytkowników. Możesz go jednak włączyć zgodnie z opisem w dokumentacji :
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Jeśli chcesz korzystać z SELinuksa, możesz wyłączyć AppArmor i zainstalować pakiet selinux . Pamiętaj jednak, że domyślna konfiguracja SELinuksa w Ubuntu nie jest zbyt restrykcyjna, więc musisz ją skonfigurować samodzielnie.
Jak wskazuje odpowiedź Andrei, Ubuntu używa AppArmor. „Domyślny” kontekst SELinux, z którego korzysta Ubuntu, zależy w dużej mierze od tego, w jaki sposób instalujesz SELinux (uważam, że selinux-defaultto ten, którego szukasz). Oczywiście, jeśli nie zainstalujesz żadnego, powinieneś skonfigurować go zgodnie ze swoimi upodobaniami.