Un piccolo addendum al whitepaper “Proteggere i files sensibili con SE-Linux”.

Se vi ricordate, uno dei problemi principali era il fatto di non poter concedere attraverso sudo tutti i privilegi di root, perchè il super user poteva disabilitare le protezioni SE-Linux tramite il comando setenforce oppure disabilitare l’audit tramite il comando auditctl.

Dopo alcune prove, ho scoperto che posso proteggere auditctl e setenforce in una maniera analoga a come avevo protetto la directory dei documenti /documents, ovvero l’uso degli stessi MLS. Nel mio caso, ho creato un secondo livello MLS che ho chiamato Serights e l’ho inserito in /etc/selinux/targeted/setrans.conf:

s0:c4=Serights

Poi, tramite chcat, ho protetto i due comandi:

chcat +Serights /usr/sbin/setenforce

chcat +Serights /sbin/auditctl

Ho reso permanenti questi files ad un relabel inserendo nel file “docsecret.fc” le seguenti righe:

/usr/sbin/setenforce        gen_context(system_u:object_r:sbin_t,s0,c4)

/sbin/auditctl              gen_context(system_u:object_r:auditctl_exec_t,s0,c4)

Ho poi permesso ad un utente, es: l’utente secofr (=security officer), di poter abilitare/disabilitare selinux con:

chcat -l +Serights secofr

Ovviamente, sempre da quello descritto nel paper, l’utente secofr è stato aggiunto nel gruppo wheel. In questo modo solo collegandosi come secofr e poi facendo “su -” si potrà disabilitare selinux, oppure collegandosi a root da console.
Tanto per essere un po’ piu’ paranoici …

Oggi rilascio pubblicamente il whitepaper dal titolo Proteggere i files sensibili con SE-Linux.

Tratto dall’esperienza di un caso reale, il documento descrive come proteggere alcuni files sensibili (nel caso in questione dei PDF) da accessi non autorizzati utilizzando i sistemi ad accesso mandatorio (MAC) tipicamente utilizzati in ambienti militari.

La particolarità di questo documento è la metodolgia utilizzata in quanto i sistemi MAC sono tipicamente difficili da amministrare. Sono riuscito a trovare una formula per coniugare la necessità di riservatezza di files, proteggendoli anche dalle utenze di amministrazione, senza però introdurre troppe complicazioni di gestione. Un sistema protetto da SE-Linux è molto difficile da amministrare, ed è raro trovare competenze in questo ambito, ad esempio io sono l’unico in Europa per Red Hat. Attraverso la personalizzazione di SE-Linux e di alcune configurazioni del sistema operativo, sono riuscito ad ottenere un ottimo compromesso tra sicurezza/riservatezza e gestione.

Potete scaricarlo gratuitamente dalla sezione pubblicazioni. L’annuncio ufficiale con la press release è disponibile qui.

Buona lettura e buone vacanze a tutti!

Maria si è presentata a casa con un regalo per me: un adorabilissimo pupazzo della Trudi. Non è carino??

Dice che è perche -con me- c’è un “alieno” in casa: tutto nasce da quando -più di un anno fa- ho cominciato a fare gli esperimenti con VoIP e facevo le telefonate provando audio feedback e codecs. In quel momento mi ha chiesto se cercavo gli alieni …. e allora me ne ha portato uno! Subito è diventata la mia mascotte!! Lo chiamo affettuosamente “Ciao Mondo” (ovvero “hello world”), perchè nelle varie telefonate VoIP rispondeva la voce di Asterisk con “Ciao Mondo”.