Auteur Sujet: SELinux + Apparmor  (Lu 32780 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
SELinux + Apparmor
« le: juin 08, 2016, 15:32:47 »
Bonjour,  :AAC

Je suis en train de regarder SELinux

Outre le fait qu'il vaut mieux utiliser postfix qu' exim en Mail Transfert Agent (MTA)

Je me demande si SELinux et Apparmor peuvent coexister ? Et n'est-ce pas redondant ?  ::)

Je sais bien que ces deux systèmes de contrôle d'accès n'agissent pas au même niveau (je crois) et pas de la même façon (c'est sûr ^^).

Merci de m'éclairer :AAN
Puisque la science n'est pas infuse, elle se diffuse !

Security-X

SELinux + Apparmor
« le: juin 08, 2016, 15:32:47 »

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #1 le: juin 08, 2016, 17:06:33 »
Mais pourquoi tu parles de postfix et exim  ???

SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control)  c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.


Selinux = plus puissant, mais plus compliqué à configurer/maintenir
ArrArmor = plus simple à configurer, mais moins expressif

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
Re : Re : SELinux + Apparmor
« Réponse #2 le: juin 08, 2016, 17:28:08 »
Re,

Citer
Mais pourquoi tu parles de postfix et exim  ???
Tout simplement parce que mon MTA est exim4 et qu'il est fortement recommandé d'utiliser postix avec SELinux

SELinux - mail servers (postfix/exim/etc)  ;)

Citer
SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control)  c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.
Si je comprends bien, en utilisant SELinux, Apparmor devient "inutile" car le processus qu'il confine a déjà des restrictions en amont engendrées par SELinux.
Si tout est bien configuré ... :hi:

Merci bien, au plaisir d'échanger avec toi :AAN
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #3 le: juin 08, 2016, 17:38:52 »
Tu peux les empiler, normalement depuis quelques noyau c'est possible (même si au final apparmor ne sert à rien) mais effectivement ça n'en vaut pas le coup.
Ca peut être l'occasion de faire la politique SELinux pour exim.

D'un point de vu pratique, SELinux est beaucoup plus fonctionnel sous les systèmes REDHAT( centos, fedora, etc) que sous les debian like, car c"'est maintenu par red hat.

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
Re : SELinux + Apparmor
« Réponse #4 le: juin 09, 2016, 11:12:15 »
Bonjour,

Un bon papier sur SELlinux : https://fedoraproject.org/wiki/SELinux

:AAN
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne WawaSeb

  • Expert Securité
  • Members
  • ****
  • Messages: 89
Re : SELinux + Apparmor
« Réponse #5 le: juin 09, 2016, 12:42:48 »
Bonjour à tous, salut igor51,

Quelqu'un a-t-il une expérience avec "grsecurity" ?
D'après mes lectures, il est légèrement "parano"... mais semble efficace (si bien configuré).

Lien (officiel) : https://grsecurity.net/compare.php


@ vous lire,
 :miam:

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
Re : SELinux + Apparmor
« Réponse #6 le: juin 09, 2016, 16:03:09 »
Hello,

Aucune expérience avec grsecurity  :-X

Un autre lien de comparaison : http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html

Au plaisir :AAN
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #7 le: juin 09, 2016, 16:11:33 »
Citer
Quelqu'un a-t-il une expérience avec "grsecurity" ?
Oui moi.

Grsecurity est un pbac, il ajoute des acl aux processus (sujet) du système.
En terme de granularité, SELinux est meilleur mais la contrainte c'est qu'il est plus difficile à configurer
Grsecurity est plus accessible, mais, comme il agit en tant que patch noyau, il est moins maintenable (faut recompiler le noyau à chaque fois)
AppArmor, vis à vis des autres, ne sert à rien

Attention : il faut bien différencier Grsecurity de PAX. L'un est un MAC tandis que l'autre est un mécanisme de protection contre l'exploitation. On peut appliquer GrSec sans PAX et inversement.

(je n'ai pas lu le lien, je le ferai ce soirà)

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #8 le: juin 09, 2016, 16:31:23 »
J'ai lu rapidement le lien

On peut déjà rajouter :
- SMACK
- TOMOYO
- RSBAC

De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^

Après je ne suis pas d'accord sur tous les points, mais c'est plus une vision personnelle des choses

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
Re : SELinux + Apparmor
« Réponse #9 le: juin 09, 2016, 16:42:17 »
Re,

Citer
De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^
Ça m'a surpris aussi.
Toute action demande un laps de temps et de la ressource ...

Je vais déjà voir si je me dépatouille dans la compréhension de SELinux  ;D
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne WawaSeb

  • Expert Securité
  • Members
  • ****
  • Messages: 89
Re : SELinux + Apparmor
« Réponse #10 le: juin 13, 2016, 10:15:51 »
Bonjour à tous,

igor51, tu réponds parfaitement bien aux questions que je me posais.

Si je te lis bien entre les lignes, tu utilises SELinux "only"... ?   :)


A la limite du hors-sujet, mais cela me donnera l'impression d'avoir apporté des éléments au fil de discussion, je vous remets ici un post récent de grsecurity au sujet de l'annonce faite par INTEL la semaine passée : https://forums.grsecurity.net/viewtopic.php?f=7&t=4490

Je vous souhaite une excellente semaine.

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #11 le: juin 13, 2016, 12:41:43 »
Salut

L'idéal pour moi c'est PaX et SELinux et d'autres trucs beaucoup plus compliqué à configurer/installer.

Mais comme je n'ai pas envie de recompiler mon noyau à chaque mise à jour, je ne fais effectivement que du SELinux, ce qui est largement suffisant dans la plus grande majorité des cas, surtout quand il est bien configuré/utilisé.

La seule politique intéressante étant la MLS

Hors ligne Tawal

  • Archives
  • Power Members
  • *
  • Messages: 1009
  • Le savoir n'a d'intérêt que si on le transmet.
Re : SELinux + Apparmor
« Réponse #12 le: juin 13, 2016, 18:46:42 »
Hello,

J'en suis pas encore à l'application de SELinux. Je lis, je lis ...

Pour la politique Multi-Level-System, j'ai trouvé ça :
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/mls.html

D'ailleurs, le guide complet est bien :
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html

Il faut faire attention avec la MLS, ça peut-être bloquant (jusqu'à empêcher le boot !) si c'est mal configuré.

De plus, c'est déconseillé de l'utiliser avec un serveur X.
It is not recommended to use the MLS policy on a system that is running the X Window System.

Encore de la lecture  :miam:
Puisque la science n'est pas infuse, elle se diffuse !

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #13 le: juin 13, 2016, 21:09:57 »
Re,

En fait, dans le concept théorique des MAC, il n'y a plus de notion de root (ou d'admin). pour décrire ce role, on va utiliser des rôles (rbac) qui vont définir les privilèges associés.

La politique targeted SELInux de RH est une blague, les utilisateurs sont en unconfined par défaut et comme l'indique son nom, ils ne sont pas confinés... La mls implémente le concept de confidentialité décrit pas Bell La Padula et est beaucoup plus stricte.

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #14 le: juin 26, 2016, 13:59:12 »
Tiens, pour voir, j'ai installé le noyau Grsecurity + PaX maintenu spécifiquement pour Debian.

Ba il reste du boulot pour l'utiliser en mode desktop...Impossible de lancer FF sans un kernel panic, pas de son, un souris qui clignotte, etc.

C'est pas gagné pour le mettre grand public

Hors ligne WawaSeb

  • Expert Securité
  • Members
  • ****
  • Messages: 89
Re : SELinux + Apparmor
« Réponse #15 le: juin 28, 2016, 14:34:28 »
Bonjour à tous, salut igor51,

Je vous remercie pour ces informations... et les tests.


Impossible de lancer FF sans un kernel panic, pas de son, un souris qui clignotte, etc.
==> J'étais tombé sur un billet qui décrivait en effet plusieurs "exceptions" à mettre en place pour que Grsecurity soit vraiment fonctionnel (dans la vraie vie) : https://micahflee.com/2016/01/debian-grsecurity/

@ tout bientôt,
 :AAN


Edit : correction orthographique
« Modifié: juin 28, 2016, 16:27:04 par WawaSeb »

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10418
Re : SELinux + Apparmor
« Réponse #16 le: juin 28, 2016, 14:52:37 »
Salut Wawa;

Je lirai ton lien ce soir ou ce week-end si j'ai pas oublié d'ici.

La problématique de ce genre de chose (grsecurity, selinux) et différemment pax, c''est qu'il faut faire des exceptions pour que certains programmes, mais qui dit exceptions, dit création de failles de sécu donc bon.

P-e que si je me motive, je regarderai pour faire fonctionner Grsecurity + PaX sur ma debian,

Hors ligne WawaSeb

  • Expert Securité
  • Members
  • ****
  • Messages: 89
Re : SELinux + Apparmor
« Réponse #17 le: juin 28, 2016, 16:33:07 »
Re-
:)

mais qui dit exceptions, dit création de failles de sécu donc bon.
==> Je suis complètement d'accord avec toi.
==> Supprimer toutes les fonctionnalités d'un système le rendra plus sécurisé, forcément...


P-e que si je me motive, je regarderai pour faire fonctionner Grsecurity + PaX sur ma debian,
==> Si tu le fais, ton retour d'expérience sera intéressant.
==> Je devrais aussi... si j'avais plus de temps...
==> Si d'autres sont tentés, cela nous intéressera aussi évidemment...   ^^

Tags: