Esiste un’azione che il 99% degli utenti fa dopo aver installato Fedora o una qualsiasi distribuzione Red Hat-like come CentOS o Red Hat Enterprise Linux: la disabilitazione di SELinux.
Sebbene infatti la funzionalità Security Enhanced Linux (SELinux, appunto) sia uno standard dall’enorme potenziale, portando con se anche un livello di complessità gestionale parecchio alto nella maggioranza dei casi viene disabilitato.
Senza sindacare sui benefici che porterebbe lasciare in funzione un sistema di controllo nativo, completamente integrato e che agisce a livello di Kernel, esistono due modi per disabilitare SELinux, uno runtime e temporaneo, utilizzando il comando setenforce 0 che imposta la modalità SELinux a “permissive” (ossia segnala le anomalie, senza intervenire) e l’altro permanente, andando a modificare il file /etc/sysconfig/selinux (che è un link simbolico a /etc/selinux/config), impostando la variabile SELINUX a permissive o disabled:
SELINUX=permissiveed effettuando un reboot.
Entrambi questi metodi sono considerati “a runtime” poiché subentrano dopo che tutti i moduli del Kernel sono stati debitamente caricati. Infatti l’ambiente SELinux viene sempre caricato dal sistema, proprio perché il livello di integrazione (favorendo le performance) è totale.
Nella pratica ciò che viene fatto a runtime è questo:
- scrittura del valore 1 nel file
/sys/fs/selinux/disable; - unmount del filesystem virtuale
/sys/fs/selinux;
Si agisce quindi su quei file che sono definiti hook LSM (Linux security module).
Per disabilitare totalmente il sottosistema SELinux è necessario aggiungere, a livello di grub, alla riga che avvia il Kernel Linux la voce selinux=0, solo in questo modo infatti SELinux non verrà caricato.
Almeno fino ad oggi.
A cominciare da Fedora 34 l’unica modalità per disabilitare SELinux sarà proprio l’ultima descritta. Come spiega il Wiki di Fedora, la modalità runtime di disabilitazione di SELinux verrà considerata deprecata, per tutta una serie di ragioni, prima fra tutte proprio la sicurezza.
Infatti impostare gli hook LSM del Kernel descritti sopra a read-only consentirà di aumentare la protezione nei confronti di determinati attacchi, descritti proprio nella pagina Wiki.
Vien da sé come questa variazione impatterà nel lungo periodo anche le altre distribuzioni che in un certo senso “nascono” da Fedora: Red Hat Enterprise Linux e, ovviamente, CentOS.
Non è quindi qualcosa di urgente a cui prepararsi, ma tenete a mente: setenforce 0 non sarà una comoda modalità per salvarsi in situazioni di urgenza 🙂 un reboot sarà verosimilmente da mettere nel conto!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Lascia un commento