achekalin Oct 1 at 14:46

Небезопасность Debian

6 min

13K

Information Security*Server Administration*System Programming*

Recovery Mode

Translation

+12

Comments 20

RodionGork Oct 1 at 16:00

По-моему тут некий эмоциональный перегиб в сторону "максимальная безопасность нужна всем и во всех случаях". Это наверное не совсем правильно т.к. операционные системы вообще и дистрибутивы на базе Debian в частности используются в очень разнообразных условиях. Тут нет какой-то конкретики, прямо таки кейса "вот здесь сломали apparmor потому что это не selinux" и получается довольно туманно. Если речь идёт об ubuntu в подах кубернетеса например, в системе где безопасность обеспечивается снаружи - насколько это (туманное) различие между apparmor и selinux помешает?

+11

useduser Oct 1 at 20:59

да - потребителю нужна vanilla os 2 orchid как и mint выбравших debian заместо ubuntu ... даже интересно что будет в третьем релизе

Johan_Palych Oct 1 at 17:23

09.07.2019 16:42 Официально завершена сделка о покупке Red Hat компанией IBM
https://www.opennet.ru/opennews/art.shtml?num=51063
08.12.2020 18:46 Red Hat прекращает разработку CentOS 8 в пользу тестового CentOS Stream
https://www.opennet.ru/opennews/art.shtml?num=54219
21.06.2023 17:50 CentOS Stream станет единственным публичным источником кода пакетов RHEL
https://www.opennet.ru/opennews/art.shtml?num=59323
30.08.2023 11:46 В ядре Linux убрали упоминание связи SELinux с АНБ
https://www.opennet.ru/opennews/art.shtml?num=59685
"...В кодовую базу, на основе которой будет сформирован выпуск ядра Linux 6.6.
Механизм SELinux был разработан АНБ, включён в состав ядра Linux в 2003 году и используется во многих дистрибутивах Linux.
Последние 20 проект развивается под крылом сообщества и сопровождается независимыми мэйнтейнерами.
Решено перейти на использование имени "SELinux" вместо "NSA SELinux"
в комментариях и документации в Kconfig (например, пояснение к сборочному параметру SECURITY_SELINUX изменено с "NSA SELinux Support" на "SELinux Support")..."
https://en.wikipedia.org/wiki/Security-Enhanced_Linux
"...SELinux has been implemented in Android since version 4.3. Other distributions include support: Debian 9 Stretch and Ubuntu 8.04 Hardy Heron..."
Нет проблем в использовании SELinux на Debian.
На Debian и Arch Linux уже несколько лет использую podman с buildah и skopeo.
Когда в конце мая 2024 заблокировали Docker Hub, я и не заметил. Настроено проксирование через mirror.gcr.io.
https://github.com/containers/podman/blob/main/test/registries.conf

dartraiden Oct 2 at 08:10

Вам надо новостникам Хабра устраиваться, это они любят накидать в конце портянку новостей, хоть как-то относящихся к теме.

Johan_Palych Oct 2 at 17:22

"...Ничего, мужчина может иметь безобидное хобби..."
Было интересно отследить метаморфозы Red Hat, Inc. после сделки с IBM.
Посмотреть, кто принимал участие в создании SELinux - NSA's Official SELinux Homepage
"...Debian недостаточно делает для защиты пользователей. Хотя AppArmor способен обеспечить надежную безопасность при правильной настройке, настройки Debian «из коробки» не используют весь его потенциал..."
ansible-debootstrap - отличная штука
Linux Security Modules (LSM) в ядрах от Debian дают возможность использовать альтернативы: SELinux, Tomoyo
https://wiki.debian.org/AppArmor/HowToUse
https://wiki.debian.org/SELinux/Setup
https://wiki.debian.org/Tomoyo

VenbergV Oct 1 at 17:47

Возможно у меня плохой опыт. Но если на проекте, или в дальнейшей эксплуатации отсутствует персона безопасника, то SELINUX=disabled присутствует почти всегда.

Shaman_RSHU Oct 1 at 20:12

Иногда для работы средств защиты тоже необходимо отключать SELinux:

https://support.kaspersky.com/KWTS/6.1/ru-RU/165993.htm

Gem 2 hours ago

Касперский сам по себе вектор атаки и живая проблема
Selinux обеспечивает лучшую защиту не опускаясь до сигнатурного сканирования и потребляя на порядок меньшие ресурсы

arachnid Oct 2 at 11:05

довелось потрогать несколько крупных отечетсенных проектов (не буду тыкать пальцем, уж извините, хрен его знает, может под nda попаду) - и в одном точно (и еще в другом - кажется, но лень искать) на первых строках мануала - необходимо отключить selinux. и что любой безопасник с этим сделает? ну вот такое вот треботвание у внедряемого софта...
и да, это не про средства защиты

dbax Oct 2 at 13:18

Статья-то переводная. Реальный автор не знает про "отечественные" проекты ))

achekalin Oct 2 at 15:02

Ну а что, может, кто из сотрудников "отечественных" проектов напишет контр-статью, где поделится, почему они делают так, как делают. Ну, что на selinux свет не сошёлся, и что в трудное время выбор между "шашечки" или "ехать" нужно делать в сторону ~~высокой цены~~ быстрейшего запуска?

arachnid Oct 2 at 15:20

статья - да. но отвечал на первый комментарий в этой ветке Vengberga. вернее, дополнял

JHD Oct 2 at 13:01

А кто, кроме безопасника будет следить за безопасностью? Кому платят, тот и делает.

m0xf Oct 1 at 17:55

В базовой конфигурации не должно быть явных уязвимостей, вроде СУБД без пароля на адресе 0.0.0.0. Больше ничего от хорошего дистрибутива не требуется.

+10

eyeDM Oct 2 at 07:52

Что сильно дискредитирует Debian, так это wiki.debian.org, местами сильно устаревшая и несогласованная. На фоне ArchWiki и docs.redhat.com очень уж бледно смотрится.

achekalin Oct 2 at 11:29

Насколько сил у них хватает на документацию, насколько они верят в её необходимость (а вот тут прицел сбился, как кажется), ну и насколько сил после разбирания "этических" вопросов остаётся.

ZVEZDO4ETik Oct 2 at 12:58

вторичных сборок RHEL
Oracle Linux

Это Вы сейчас накидываете на вентилятор?

mmmex Oct 2 at 13:13

В голосовании не нашел "Иное мнение". Что значит безопасность? Это наверно когда безопасно? А как безопасно? Совсем или что-то не безопасно? ... Во первых RH коммерческий дистрибутив и они хороши в этом "точка". Поэтому из коробки у них SELinux и уже в enforced. Дистрибутив Debian это другое (https://www.debian.org/intro/why_debian#:~:text=Debian is made of free,It's also free of cost.) и он довольно не плохо поддерживается. Ничего не мешает в Debian установить пакет политики по умолчанию в stable дистрибутиве (selinux-default-policy) и выключить модуль unconfined (https://debian-handbook.info/browse/stable/sect.selinux.html) что приведет к настройки строгой политики SELinux в Debian:

The selinux-policy-default package contains a set of standard rules. By default, this policy only restricts access for a few widely exposed services. The user sessions are not restricted and it is thus unlikely that SELinux would block legitimate user operations. However, this does enhance the security of system services running on the machine. To setup a policy equivalent to the old “strict” rules, you just have to disable the unconfined module (modules management is detailed further in this section).

На хабре достаточно тем по SELinux: https://habr.com/ru/users/annmuor/publications/articles

Refpolicy (https://github.com/SELinuxProject/refpolicy) является основой, наверное для всех дистрибутивов и он очень хорошо документирован. Во многих случаях SELinux отключать не обязательно, а достаточно перевести его в разрешающий режим и проводить отладку, что является стандартной практикой и в RH, а обширный инструментарий (sepolgen и policygentool и многие другие) помогут лучше разобраться с разработкой политик.

ИМХО модули безопасности SELinux должны писать разработчики ПО т.к. им лучше знать поведение своего детища, и если кто-то из вендоров в инструкции указывает что перед установкой его ПО необходимо отключить SELinux, то кажется что у вендора костыльное представление о безопасности его ПО на данный момент времени, т.к. технология существует уже более 10 лет.

slonik_nocry Oct 2 at 17:56

Спасибо за статью. Я как хомячёк считал redhet издателем просто хороших и для сервера дистров и для пк, и внедрятором иноваций безопастности, а теперь знаю чуть больше подробностей почему. Саму идею идею бежать в debian считаю дичью, так как имел неприятный опыт. Тогда уж arch

-1

mnnoee Oct 2 at 19:23

А если начать с другого... Нужна ли вам защита в вашей ОС на ядре Linux или нет?