SELinux sta per Linux Security-Enhanced (cioè migliorato nella sicurezza). In pratica Linux è un sistema operativo come Windows, Android o iOS con la differenza che non è sviluppato da una sola azienda, ma è stato pianificato sin dall’inizio come un progetto open source. Il “nucleo” di Linux è costituito dal cosiddetto kernel di Linux, il cui codice sorgente è aperto a tutti gli sviluppatori, sia di progetti non profit che di progetti commerciali. Esistono diversi sistemi operativi di Linux che si basano su questo kernel di Linux, chiamati nell’insieme distribuzioni. Tra le distribuzioni più conosciute di Linux troviamo Ubuntu, Debian o Fedora.
Il codice del kernel di Linux è sviluppato costantemente da parte di aziende, volontari e organizzazioni non profit. Security-Enhanced Linux è un’estensione del kernel di Linux disponibile sotto forma di un modulo di sicurezza proprio. Già dal 2013 SELinux fa parte delle componenti ufficiali del kernel di Linux. Alcune distribuzioni offrono SELinux come componente standard, ma è possibile comunque disattivare il modulo in modo semplice. SELinux aiuta gli amministratori a eseguire controlli rigorosi su tutti i processi nel loro sistema bloccando quelli non considerati essenziali. SELinux permette di ridurre in modo significativo il rischio di falle di sicurezza nei programmi applicativi.
È quindi utile limitare i diritti di accesso quando si conosce bene il programma. Se un’applicazione venisse hackerata da terzi, i danni sarebbero molto minimi. Se i programmi infettati da malware hanno accesso a tutti i processi e file di un sistema, possono sfruttarlo a loro vantaggio. SELinux si occupa di limitarne l’accesso e di conseguenza la portata dei danni.
SELinux offre una particolare architettura di sicurezza basata sui principi del “Mandatory Access Control” (MAC). A differenza del tradizionale kernel di Linux, SELinux riduce al minimo gli accessi a processi e file del sistema operativo. Attraverso un rigido protocollo di controllo degli accessi con relative linee guida di sicurezza, è garantito il mantenimento della riservatezza e dell’integrità delle informazioni. SELinux delimita tra loro in modo chiaro i programmi applicativi e il sistema operativo.
Per i controlli all’accesso, di solito Linux utilizza il Discretionary Access Control (DAC). Gli utenti o le applicazioni a cui sono stati conferiti i diritti relativi, di solito hanno accesso illimitato ai file e processi corrispondenti del sistema operativo. Nel caso del Mandatory Access Control utilizzato da SELinux, invece, un amministratore conferisce alle linee guida di sicurezza già ben definite un ulteriore attributo che stabilisce le condizioni e le misure in cui il titolare di diritti può accedere a processi o dati precisi del sistema operativo. In caso di mancata definizione di tali condizioni o misure (quindi degli attributi), l’accesso viene negato.
SELinux distribuisce diverse etichette per regolarsi:
Queste etichette sono valide per ciascun processo e ciascun file e possono essere incorporate nelle linee guida definite. In questo modo, ad esempio, un’applicazione può accedere solo a una cartella con un’etichetta precisa. La verifica delle linee guida prende il nome di SELinux Enforcement.
SELinux rende più difficile e ostacola la violazione dei diritti utente, come può verificarsi nei programmi applicativi con falle di sicurezza; di conseguenza il sistema operativo è ben protetto. Le distribuzioni Linux offrono il modulo SELinux con diversi pacchetti e linee guida di sicurezza corrispondenti. Ciò facilita la configurazione del livello di sicurezza. Gli amministratori autorizzati possono anche definire autonomamente le linee guida di sicurezza.
SELinux aiuta gli amministratori a incrementare in modo significativo i controlli sui processi dei loro sistemi; il programma, però, semplifica la risoluzione dei problemi solo in modo condizionale. Se un accesso viene bloccato, SELinux mostra una notifica di errore che può essere molto vaga, complicandone la ricerca diretta. SELinux è inoltre un modulo relativamente complicato. Per molti amministratori, confrontarsi con le linee guida di sicurezza e definire gli attributi è un procedimento troppo complesso o che richiede un notevole impegno. Per di più, è da considerare che SELinux diminuisce le prestazioni del sistema operativo, anche se in modo esiguo.
SELinux è uno strumento per la sicurezza molto efficace. Richiede però anche un po’ di lavoro aggiuntivo. Il software può funzionare solo se non si temono gli sforzi di configurazione. Se il sistema è impostato solo a metà, la sua utilità è pari a zero. Se ne consiglia particolarmente l’uso in ambienti professionali che trattano dati sensibili.
SELinux è stato sviluppato in modo significativo dai servizi segreti americani della NSA e dalla distribuzione Linux Red Hat. Red Hat Enterprise Linux 4 e Fedora, la distribuzione di Linux supportata dalla Red Hat, sono stati i primi sistemi operativi a offrire un supporto completo con SELinux. Oltre a Red Hat e Fedora, anche Gentoo Hardened Linux offre un supporto a SELinux relativamente ampio.
Un’alternativa a SELinux è il modulo di sicurezza AppArmor, supportato soprattutto dalle distribuzioni come openSUSE o dalle piattaforme basate sul sistema Debian.
Se gestite un vostro server o ne avete uno presso un provider, è vostra responsabilità renderlo sicuro da malfunzionamenti e accessi indesiderati. Potete gettare le basi per una buona protezione del server già al momento della configurazione, a patto che disponiate dei necessari permessi di amministratore. In particolare nel caso delle connessioni remote crittografate tramite il protocollo SSH, le...
Su Linux si possono svolgere tutte le azioni che si eseguono utilizzando il mouse e il terminale attraverso un’interfaccia grafica, anche tramite dei comandi inseriti nel terminale, a patto che conosciate il comando giusto e sappiate come usarlo con la sintassi corretta. Quindi per alleggerirvi l’approccio al lavoro con il terminale, vi proponiamo i comandi Linux principali con una descrizione più...
La maggior parte degli utenti di PC ha avuto modo di conoscere soltanto Windows nelle sue varie versioni disponibili. Tuttavia sul mercato esistono anche altri sistemi operativi: le distribuzioni Linux, per esempio, offrono molti vantaggi rispetto ai prodotti Microsoft. Fare una scelta di cambiamento frettolosa, però, non è una buona idea. E voi da quale parte state? Linux o Windows?
Le imprese limitano le autorizzazioni di accesso ai sistemi per proteggere i dati sensibili da accessi e modifiche non autorizzati. Tuttavia, l’assegnazione di permessi individuali per ciascun utente è un processo laborioso e soggetto a errori. Nel Role Based Access Control, o RBAC, le autorizzazioni sono rilasciate in base a ruoli prestabiliti. Vi spieghiamo come funziona il controllo d’accesso...
Da Ubuntu a Debian la scelta tra le distribuzioni di Linux è molto ampia. Nel 2015 Intel ha presentato un’ulteriore alternativa studiata su misura per il suo hardware: il sistema operativo cloud, Clear Linux. Nel corso degli anni, Clear Linux OS ha riscosso successo anche nella versione desktop e in combinazione con l’hardware di altri produttori. In questo articolo vi presentiamo Clear Linux OS...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio gratis