Zucco Weblog

Apresentação sobre SELinux no FISL 10

2009-07-01T13:34:00.004-03:00

English version bellow.

Abaixo segue a apresentação feita por mim e pelo Ulisses Castro no FISL-10 Forum Internacional de Software Livre, realizado em Junho de 2009.

SELinux for Everyday SysAdmins - FISL 10

View more presentations from guest552ebe.

http://www.slideshare.net/guest552ebe/selinux-for-everyday-sysadmins-fisl-10

Na demonstração, confinamos uma PoC de uma vulnerabilidade do PhpMyAdmin (CVE-2009-1151), mostrando a sua exploração com selinux habilitado e desabilitado.

Obrigado a todos que puderam comparecer na apresentação.

English version:

Follow bellow a presentation that I've made with Ulisses Castro in FISL-10 Free Software Internacional Forum, in June of 2009.

SELinux for Everyday SysAdmins - FISL 10

View more presentations from guest552ebe.

http://www.slideshare.net/guest552ebe/selinux-for-everyday-sysadmins-fisl-10

In the demonstration, we have confined a PoC of a vulnerability of PhpMyAdmin (CVE-2009-1151), with selinux enabled and disabled.

Thanks to all who could attend the presentation.

Android + SELinux

2008-11-21T15:37:00.000-02:00

Entendendo o SELinux - Security Enhanced Linux

2008-11-10T13:54:00.002-02:00

Slides da apresentação realizada no evento Tchelinux 2008 no dia 8 de Novembro na PUC em Porto Alegre. O pdf da apresentação pode ser pego aqui.

Entendendo o SELinux - Security Enhanced Linux

View SlideShare presentation or Upload your own. (tags: selinux mac)

SELinux em Porto Alegre

2008-10-18T11:36:00.005-03:00

Irei palestrar sobre SELinux na Tchelinux 2008, que se realizará no dia 8 de Novembro nas dependências da Faculdade de Informática da PUC-RS em Porto Alegre - RS - Brasil. Segue anúncio oficial:

"É com imenso orgulho que anunciamos a 3ª edição do Seminário de Software Livre Tchelinux que acontecerá no dia 8 de Novembro nas dependências da Faculdade de Informática da PUC-RS em Porto Alegre. O temário desta desta edição é composto por 30 apresentações sobre temas relacionados ao Software Livre, e dentre os palestrantes confirmados teremos a presença dos Kernel Hackers da RedHat Arnaldo Carvalho Melo, Eduardo Habkost, Fábio Olivé Leite, Luis Claudio Gonçalves e Douglas Landgraf, do membro do Mozilla Brasil Clauber Halic e do desenvolvedor de Software Livre e escritor Aurélio Marinho Jargas. Não será cobrada inscrição em dinheiro, entretanto cada participante deverá doar 2 (dois) quilogramas de alimentos não perecíveis que serão encaminhados à instituições de caridade. Para maiores informações sobre o evento, recomendamos visita ao site abaixo:

http://www.tchelinux.org/2008

As pré-inscrições para as 500 vagas disponíveis já se encontram abertas, garanta já a sua!!"

openSUSE irá adotar SELinux na versão 11.1

2008-08-22T16:24:00.000-03:00

Foi anunciado na lista opensuse.devel que o SELinux será disponibilizado a partir da versão 11.1 do openSUSE Linux. O AppArmor ainda será a opção default.

Link para o anúncio:

http://article.gmane.org/gmane.linux.suse.opensuse.devel/16096

Core SELinux version R080611 released

2008-06-14T18:40:00.000-03:00

An updated public release of SELinux was made available today. Some highlights of this release are listed below:

* New support for permissive domains in libsepol and checkpolicy.
* New support for user and role remapping in libsepol (required for use in optionals).
* Fixed endianness bug in handling network node addresses in libsepol.
* Fixed semanage port to use --proto.
* Updated audit2allow to report dontaudit cases.
* Revised the policy load logic in libselinux to try loading the maximum supported version of the kernel or libsepol.
* Fixed matchpathcon -V support and changed it to report success/failure via exit status.
* Fixed memory leaks in matchpathcon in libselinux.

Fonte: National Security Agency

Monografia sobre SELinux

2008-04-26T14:40:00.001-03:00

Publiquei na internet minha monografia de conclusão da pós-graduação em Gerência e Segurança de Redes de Computadores. A monografia aborda o uso de SELinux para aumentar a segurança de servidores Linux. Como não encontrei muita documentação em português sobre SELinux, caso tenha interesse em ler poderá acessá-la em:

http://jczucco.googlepages.com/selinux.html

SELinux disponível para o Ubuntu 8.04 - “Hardy Heron”

2008-03-19T10:34:00.002-03:00

A partir da versão do Ubuntu 8.04, você pode optar por usar AppArmor ou SELinux.

O AppArmor continua sendo a opção padrão na instalação. Apesar de o projeto SELinux ser aberto e independente de distribuição, frequentemente o seu uso é associado com algumas distribuições, como Fedora, Red Hat, etc. A adoção do SELinux pelo Ubuntu irá ajudar a sua popularização e a dispersar esses mitos, incluindo o que diz que o SELinux é difícil de usar.

Para remover o AppArmor e instalar o SELinux, basta dar o seguinte comando:

sudo aptitude install selinux

Para maiores detalhes:

How To Install SELinux on Ubuntu 8.04 “Hardy Heron”

Vídeos sobre SELinux

2008-03-10T09:15:00.000-03:00

Se você quer saber mais sobre SELinux, uma forma rápida é assistir esses vídeos para ter uma idéia do poder que ele dá ao administrador. Os vídeos abordam a administração básica do SELinux, e demonstra uma das proteções aplicadas ao servidor apache.

SELinux Permissive mode intro

Use chcon in SELinux to alter security context for Apache

Peruse the targeted SELinux policy

SELinux Slogans

2008-02-06T22:01:00.000-02:00

Post muito engraçado (ou não, depende do seu ponto de vista) feito por Spencer Shimko em http://beyondabstraction.net/2008/01/10/selinux-slogans

SELinux - Because users do weird shit.

SELinux - Fuck root.

SELinux - Hampering administrators since before it was cool.

SELinux - High-security gone haywire.

SELinux - Turning it off is like removing the batteries from a smoke detector. Sure it sounds better but you might get burned.

SELinux - Because life is too simple.

SELinux - AppArmor sucks.

SELinux - It’s too early in the morning to be cleaning up after 11-year old kiddies.

SELinux - Too powerful for our own good.

SELinux - Here’s our root password, what’s yours?

SELinux - Didn’t they teach you about using protection in high-school?

SELinux - Blind faith not required

SELinux will save you tons of money, your TCO will go down and your ROI will go up.

SELinux supports 3-letter acronyms out of the box, no complex policy changes required.

Zero day vulnerabilities are a fact. Do something about it.

Trusted Solaris has been end-of-lifed and you’re not in the government space to begin with.

Path-named based access control is weak.

Implicitly trusting admins doesn’t have to be SOP.

You’re not a security expert, let us do the hard work.

The US military (and others) trust SELinux with their information, shouldn’t you?

Desenvolvedor do AppArmor é contratado pela Microsoft

2008-01-30T22:47:00.000-02:00

Crispin Cowan, desenvolvedor do AppArmor e ex-funcionário da Novell foi contratado pela Microsoft [1]. (Observação: a equipe desenvolvedora do AppArmor foi demitida pela Novell em outubro de 2007 sem muitas explicações [2], e Crispin criou a Mercenary Linux [3] para dar continuidade ao desenvolvimento do AppArmor).

Além de colocar em dúvida a continuidade do desenvolvimento do AppArmor, esse fato impediu que Crispin Cowan desse sua palestra na LinuxConf Austrália desse ano. Crispin havia convidado o desenvolvedor do SELinux Russel Coker para um debate público que iria expor as diferenças das duas tecnologias, o qual Russel não aceitou [4]. Como Crispin nem ninguém compareceu para substituí-lo, a palestra iria ser cancelada, quando Russel se ofereceu para falar sobre SELinux, e sua palestra foi muito bem recebida [5].

Qual será agora o futuro do AppArmor? O Suse Linux e mais recentemente, o Ubuntu Linux ainda continuarão usando essa tecnologia? Pelo menos já existem esforços para que o SELinux seja portado para Ubuntu pela equipe Ubuntu-Hardened [6].

Referências:
[1]: http://blogs.msdn.com/michael_howard/archive/2008/01/17/crispin-cowan-joins-the-windows-security-team.aspx
[2]: http://www.heise.de/english/newsticker/news/97383/from/rss09
[3]: http://www.mercenarylinux.com
[4]: http://linux.conf.au/programme/detail?TalkID=210
[5]: http://etbe.coker.com.au/2008/01/30/my-lca-talk
[6]: https://wiki.ubuntu.com/HardySELinux

Tipos de Políticas de Segurança SELinux

2007-12-08T16:45:00.000-02:00

- Política Strict:
Um sistema que usa a política de segurança strict é aquele onde tudo é negado por padrão, é nescessário habilitar regras na política de segurança para cada tarefa que cada aplicação ou processo irá realizar. O SELinux foi concebido originalmente para atender à política strict, pois as políticas são somente de permissão e não de bloqueio.

Para um sistema generalista como é o Linux, atender ao uso de uma política strict é uma grande e complexa tarefa. As primeiras experiências de uso da política strict no sistema operacional Linux foram na distribuição Fedora Core versão 2, onde a política era desabilitada por padrão. Esse novo recurso causou curiosidade em muitos administradores de sistemas, que por desejo de tornar o seu sistema mais seguro, habilitaram o uso da política strict durante a instalação. Como a política strict ainda não era madura o suficiente para seu uso em sistemas comerciais (o Linux Fedora Core é uma distribuição usada pela Red Hat para testar novos recursos e amadurecimento de versões de aplicações para depois então serem aplicados no Red Hat Linux) e não atendia todos os programas disponíveis na distribuição Fedora, acabaram ocorrendo muitos problemas em seu uso, e esse deve ter sido o fato que motivou a "má fama" que o SELinux ganhou de ser um sistema muito complexo, que apenas trazia mais problemas para serem contornados pelos administradores de sistemas, tanto que a principal pergunta em fóruns de internet sobre segurança e SELinux da época era: "Como desabilito o SELinux?" [1]

Desde então muita coisa mudou no SELinux até os dias atuais, pois hoje a política strict se mostra utilizável em sistemas Linux para muitos casos. Os incidentes ocorridos nas distribuições Fedora 2 levaram a criação de uma nova política de segurança SELinux, a targeted, e a criação de um novo domínio chamado unconfined_t. [2]

- Política Targeted:
Através da política targeted, cada sujeito e objeto roda em um domínio chamado unconfined_t exceto alguns serviços alvos que possuem políticas pré-definidas. Objetos que estão no domínio unconfined_t não possuem restrições e usam a segurança Linux padrão (DAC), ou seja, rodam como se não existisse o SELinux para realizar os controles de segurança. Os serviços que fazem parte da política targeted rodam em seus próprios domínios e são restritos à política para cada operação que realizam no sistema, dessa forma se esses serviços forem comprometidos ou de alguma maneira explorados por suas vulnerabilidades, os danos são limitados e até mesmo podem ser controlados.

Como exemplo, o servidor web apache é protegido pela política targeted, e não poderá comprometer os outros serviços do sistema, como servidor de nomes, servidor ssh, arquivos privados de usuários, etc, conforme a política pré-definida. No formato padrão DAC, isso não acontece, um bom exemplo disso é a vulnerabilidade no aplicativo gerenciador de conteúdo web chamado Mambo, que na versão 4.0.14 é vulnerável ao ataque descrito na CVE-2005-3738 [3]. O SELinux é capaz de limitar esse ataque a ponto de torná-lo inútil. [4]

A política targeted é a padrão na maioria das distribuições Linux que usam SELinux, como Fedora 3 ou superior e Red Hat 4 ou superior.

OBS: Na versão 8 do Fedora Core Linux lançada em novembro de 2007, que é a distribuição Linux onde a maioria do desenvolvimento do SELinux é realizada e são propostos e implementados novos recursos e várias mudanças, a política strict deixou de existir como uma política totalmente isolada da política targeted, foi criada uma política híbrida onde tanto a política targeted quanto a strict é utilizada. No Fedora 8 é possível usar a política strict por usuário, adicionando o usuário em um domínio strict (domínio guest ou xguest, por exemplo), e esse usuário estará com limitações de acessos como era antigamente usando-se a política strict. Por padrão, os usuários serão criados ainda no domínio unconfined_t. Para remover totalmente a habilidade de processos executarem no domínio unconfined_t, pode-se remover o módulo unconfined com o comando "semodule -r unconfined". [5]

No próximo post, comentarei sobre políticas MLS e MCS no SELinux.

Referências:
[1]: http://selinux-symposium.org/2005/presentations/session4/4-1-walsh.pdf
[2]: http://danwalsh.livejournal.com/9031.html
[3]: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3738
[4]: http://www.linuxjournal.com/article/9176
[5]: http://fedoraproject.org/wiki/Interviews/SELinux

Quais são os objetivos de uso do SELinux?

2007-12-02T17:29:00.000-02:00

O uso do SELinux tem por objetivos de segurança primários:

- Isolamento das aplicações: buscando o nível do menor privilégio no uso de aplicações, um problema de segurança em uma aplicação isolada (como bugs, vulnerabilidades e zero-days) não influencia o sistema como um todo, não comprometendo o funcionamento das outras aplicações e diminuindo o efeito da exploração de vulnerabilidades, limitando a propagação de erros;

- Fluxo de informações: garantia de que a informação deve seguir caminhos pré-definidos para acesso entre os processos;

- Confidencialidade: a informação não estará disponível ou será divulgada a indivíduos, entidades ou processos sem a devida autorização;

- Integridade: disponibilidade de informações confiáveis, corretas e dispostas em formato compatível com o de sua utilização. A informação manipulada mantém todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

- Auto-proteção: como o SELinux é aplicado diretamente sobre o kernel do Linux, além de proteger as políticas ele também tem por objetivo proteger o próprio sistema operacional (binários, configurações, recursos, etc) para se auto proteger;

- Menor privilégio: garante que as políticas aplicadas estão corretas e de que os processos possuem apenas o acesso nescessário para realizar a sua função, e nada mais do que isso;

- Separação de papéis: definição das permissões de usuários e processos para evitar a elevação de privilégios e suas consequências.

SELinux vs chroot

2007-11-24T11:44:00.000-02:00

Uma questão frequentemente feita é qual a melhor maneira de restringir um programa? Usando a maneira tradicional com chroot, ou usar SELinux para fazer isso?

No mundo Unix, chroot é uma maneira de rodar um programa com um conjunto restrito de arquivos e diretórios disponíveis. Essa técnica de isolamento de programas é conhecida como sandbox, e o chroot é uma maneira de implementá-la. O chroot pode ser implementado como um daemon (usando a chamada de sistema chroot) ou por um shell script usando o comando "chroot". A desvantagem do chroot é que é possível escapar dele, um processo rodando em chroot tem a capacidade de ver a existência de processos que não estão rodando em chroot (ps e programas similares funcionam da mesma maneira em ambientes chroot) e IPC's (Inter-Process Communication) não são prevenidos. Uma solução para esse problema é ter um ambiente chroot avançado (que normalmente requer um patch de kernel) onde os processos chroot não podem rodar comandos como o ps sem restrições e outros têm outros limites aplicados (existem vários patches do kernel que implementam essas restrições).

Configurar um ambiente em chroot é incoveniente. Se ele é configurado da maneira tradicional (copiando arquivos para o chroot ao invés de montar com bind os diretórios) então versões antigas de programas podem existir no ambiente chroot enquanto novas versões de programas com correções de segurança são instalados no ambiente principal.

SELinux provê uma segurança melhor do que um ambiente chroot típico controlando todas as interações entre os processos. Ele provê mais flexibilidade do que um ambiente chroot avançado porque pode ser configurado inteiramente por políticas e a recompilação do kernel não é nescessária para mudar a maneira de como ela funciona. Eu acredito que é mais correto abandonar a maneira tradicional de criar ambientes chroot e usar SELinux.

Baseado no post de Russel Coker, desenvolvedor do SELinux:

http://etbe.coker.com.au/2007/08/22/se-linux-vs-chroot

Como verificar se o seu sistema suporta SELinux

2007-11-23T10:39:00.000-02:00

O SELinux é compilado no kernel, e é suportado via LSM (Logical Security Modules). Para determinar se o seu kernel foi compilado com suporte a SELinux, devemos primeiro determinar qual versão do kernel está rodando:

# uname -r
2.6.23.1-49.fc8

Depois que determinamos a versão do kernel que está rodando, podemos consultar o arquivo de configuração que foi usado para compilar o kernel:

# grep -i selinux /boot/config-2.6.23.1-49.fc8
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT=y
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set

A opção CONFIG_SECURITY_SELINUX está configurada como 'yes'. Isso siginifica que o suporte a SELinux está habilitado no kernel. A opção CONFIG_SECURITY_SELINUX_DISABLE também está configurada como 'yes'. Portante, apesar de o suporte a SELinux estar habilitado no kernel, ele não está habilitado por padrão.

Outra maneira de determinar o suporte a SELinux no kernel é dar o comando para verificar o systema de arquivos virtual do SELinux:

grep selinuxfs /proc/filesystems

Para verificar o estado corrente do SELinux no seu sistema:

# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted

Obrigado ao amigo dgrift pela sua disposição em ensinar o mundo SELinux. O post original em inglês você pode acessar aqui:

http://domg444.blogspot.com/2007/11/how-to-determine-if-our-system-supports.html

SELinux by Example

2007-11-11T19:23:00.000-02:00

Estou estudando SELinux à algum tempo. Para quem deseja fazer o mesmo, recomendo esse livro:

OBS: Sem querer assustar ninguém, mas existem vários motivos para o sabre de luz jedi estar na capa do livro :-)

Para quem ainda não sabe o que é SELinux (ou só ouviu falar quando instala o Red Hat e o desabilita) , assista esse vídeo:
http://www.redhat.com/v/swf/SELinux

Vídeos sobre segurança na Red Hat Magazine

2007-10-27T20:46:00.000-02:00

A Red Hat Magazine disponibilizou vídeos curtos do desenvolvedor do glibc Uli Drepper falando sobre diversos ataques, e como eles podem ser evitados.

Você pode baixar os vídeos nos seguintes endereços:
Vídeo 1
Vídeo 2
Vídeo 3
Vídeo 4
Vídeo 5