Security-Enhanced Linux: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Recupero di 2 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.8.6 |
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
||
Riga 21:
== Storia ==
Il primo lavoro rivolto a standardizzare i controlli di accesso obbligatori e discrezionali (MAC e DAC) all'interno di un ambiente UNIX (più precisamente [[POSIX]]) può essere attribuito al gruppo di lavoro Trusted UNIX (TRUSIX) dell'agenzia di sicurezza nazionale americana ([[National Security Agency|NSA]]) che dal 1987 al 1991 ha prodotto un modello formale (pubblicato in un [[Rainbow Book]]) ed un prototipo di valutazione che però non è mai stato pubblicato.
SELinux è stato progettato per dimostrare il valore dei controlli di accesso obbligatori alla comunità linux e come tali controlli potrebbero essere aggiunti a Linux. Originariamente, le patch che sono state integrate in SELinux dovevano essere esplicitamente applicate al [[codice sorgente]] del kernel linux, dalla versione 2.6 del kernel invece è stato completamente integrato di default.
Il primo sviluppatore di SELinux, ha rilasciato la prima versione alla comunità di sviluppo [[open source]] sotto la [[GNU General Public License|GNU GPL]] il 22 dicembre 2000.<ref>Compare{{Cita web |url= https://www.nsa.gov/news-features/press-room/press-releases/2001/se-linux.shtml |titolo= National Security Agency Shares Security Enhancements to Linux |data= 2 gennaio 2001 |opera= NSA Press Release |editore= National Security Agency Central Security Service |città= Fort George G. Meade, Maryland |accesso= 17 novembre 2011 |citazione= The NSA is pleased to announce that it has developed, and is making available to the public, a prototype version of a security-enhanced Linux operating system. |dataarchivio= 20 febbraio 2018 |urlarchivio= https://web.archive.org/web/20180220033503/https://www.nsa.gov/news-features/press-room/press-releases/2001/se-linux.shtml |urlmorto= sì }}</ref> Il software si è unito al main kernel Linux 2.6.0-test3, rilasciato l'8 agosto 2003.
Riga 46:
Gli utenti e le politiche di SELinux non devono essere correlati agli utenti e alle politiche del sistema Linux. Per ogni utente o processo, SELinux assegna un context a tre stringhe costituito da nome utente, ruolo e dominio (o tipo). Di norma, la maggior parte degli utenti reali condivide lo stesso nome utente SELinux e tutto il controllo degli accessi è gestito tramite il terzo tag, il dominio. Questo sistema utilizzato è quindi più flessibile di quanto è normalmente richiesto. Un processo viene posto in un determinato dominio se la configurazione delle politiche lo permette. Per avviare un processo in un contesto esplicitamente specificato (utente, ruolo, dominio) deve essere lanciato con il comando <code>runcon</code>, SELinux può negare l'avvio se non è specificato nella configurazione della politica di sicurezza.
Hardware, porte di rete e file possiedono un contesto SELinux. Questo è costituito da un nome, un ruolo (raramente usato) e un tipo. In caso di [[file system]], il mapping tra i file e i contesti di sicurezza è chiamato etichettatura. L'etichettatura è definita nei file delle politiche, ma può anche essere regolata manualmente senza modificare le configurazioni delle politiche. I tipi, nei contesti SELinux, vengono definiti in modo molto dettagliato.
Ad esempio, <code>bin_t</code> (tutti i file nella cartella /bin) oppure <code>postgresql_port_t</code> (porta PostgreSQL, 5432).
Il contesto SELinux per un file system remoto può essere specificato esplicitamente al momento del montaggio.
| |||