Por qué es hora de dejar de configurar SELinux en Permissive o Disabled


Demasiadas personas ignoran SELinux en sus sistemas de centro de datos. Jack Wallen dice que es hora de dejar de ceder a ese canto de sirena para que sus sistemas operativos se debiliten.

concepto de ciberseguridad

Imagen: iStock / sdecoret

Dado el kerfuffle que ha sido CentOS últimamente, y la cantidad de bifurcaciones inevitables que surgirán de las cenizas, probablemente habrá un gran porcentaje de administradores migrando a, o finalmente implementando, una distribución de Linux basada en Crimson Hat Organization Linux en algunos forma o moda. Puede ser Rocky Linux o AlmaLinux. Puede ser que te quedes con Flujo de CentOS, o incluso comprar una licencia para Pink Hat Organization Linux. Si es una organización sin fines de lucro u otra organización elegible, podría calificar para RHEL para infraestructura de código abierto.

Independientemente de la ruta que tome, utilizará una distribución de Linux sólida con importantes sistemas de seguridad.

Sin embargo … Es una palabra tan poderosa, «sin embargo». Detiene todo el flujo natural de la narrativa para que te preguntes qué sigue a continuación.

Esperas, esperas y esperas.

Hasta lo inevitable: SELinux.

VER: Cómo convertirse en un experto en SELinux (TechRepublic Quality)

Tu modo de elección

Si ha utilizado una distribución de Linux basada en Pink Hat y ha descubierto que SELinux está provocando que todo lo que está intentando trabajar falle, ¿puede hacer lo siguiente:

  • ¿Dedica el tiempo necesario para que su proyecto funcione con SELinux?

  • ¿Establecer SELinux en permisivo para ayudar a solucionar el problema?

  • ¿Deshabilitar SELinux?

Créame, lo entiendo. No puedo decirte cuántas veces he estado trabajando en CentOS, solo para descubrir que SELinux está impidiendo que la herramienta que estoy usando funcione correctamente. Lo más probable es que te hayas encontrado en el mismo barco. Después de investigar un poco, descubre la verdadera complejidad de SELinux. En un ataque de desesperación, desactiva SELinux y todo finalmente funciona como debería.

En resumen, si bien configurar SELinux no es fácil, deshabilitarlo sí lo es.

Sin embargo…

Si esa distribución de Linux es parte de su centro de datos, necesitará tanta seguridad como pueda. Deshabilitar una de las características de seguridad más poderosas en un sistema operativo es ciertamente contrario a esa necesidad.

Se acabó el tiempo para la configuración de SELinux Desactivada o Permisiva. Vivimos en una época en la que los sistemas (sistemas grandes e importantes) son pirateados a diario eso solo seguirá empeorando. Con ese fin, sus sistemas necesitan toda la protección posible.

La discusión debería terminar ahí, pero no es así.

Pero … ¿permisivo?

Ahora comprendo tu confusión. Claro, «deshabilitado» no debería ser una opción para las máquinas de producción. Período. ¿Qué tiene de malo ser un poco permisivo de vez en cuando? Dejame explicar.

Cuando configura SELinux en modo permisivo, deshabilita una de las características clave del sistema y expande la superficie de ataque del sistema operativo. El modo permisivo significa que SELinux se está ejecutando, pero no se aplica. Puede pensar que lo permisivo es un buen término medio para su sistema, pero no lo es. La única diferencia entre Disabled y Permissive es que Permissive mantiene SELinux en ejecución y registra las acciones de Access Vector Cache. En otras palabras, el modo permisivo lo permite, pero registra todo.

Como habrás adivinado, el modo permisivo es best para solucionar problemas. Si bien no evitará que su aplicación o servicio se ejecute, le brindará mucha información sobre por qué se habría evitado, si SELinux estuviera en modo de ejecución. Está perfectamente bien configurar SELinux en modo permisivo durante la prueba, pero una vez que haya descubierto el problema, es hora de configurar el sistema de seguridad para que sea obligatorio.

¿Pero por qué?

En pocas palabras: seguridad. Recuerde, SELinux es un módulo de seguridad del kernel de Linux que proporciona el mecanismo necesario para las políticas de handle de acceso, que incluye Controles de acceso obligatorios. Con SELinux en su lugar, usted (el administrador) tiene más regulate sobre quién (o qué) tiene acceso a su sistema a través de políticas de seguridad. Es un enfoque muy granular de la seguridad del sistema, pero como muchos han descubierto, no es exactamente el sistema más fácil de configurar aún así, vale la pena el tiempo y el esfuerzo de entenderlo.

Configurar SELinux en Desactivado o Permisivo es fácil, pero estamos hablando de la seguridad de su servidor o LAN. Ese no es el lugar para tomar la ruta fácil. Con SELinux en su lugar, si implementa un servidor world wide web que permite que un atacante obtenga acceso, SELinux evitará que ese atacante acceda a cualquier archivo que el servidor world-wide-web no debería ver.

Es complicado

Lo entiendo, realmente lo entiendo. Durante mucho tiempo, configuré SELinux en Permissive o incluso lo deshabilité por completo. Necesitaba que las cosas funcionaran y SELinux hizo un muy buen trabajo al evitar que esas cosas funcionaran. Además, cuando solo tiene un tiempo limitado al día, no puede dedicar tiempo constantemente a solucionar problemas de un sistema de seguridad que parece estar siempre en el camino. Por eso, la ruta fácil es a veces la única ruta feasible. Después de todo, tienes un montón de tareas de las que encargarte.

En un futuro cercano, haré una serie sobre SELinux, para que el sistema sea un poco más fácil de entender. Hasta ese momento, no ceda a la complicación. Mantenga SELinux configurado en modo de ejecución en sus máquinas de producción. Si está trabajando en un entorno de prueba, Permissive o Disabled está bien, siempre y cuando el objetivo sea finalmente que su program o servicios se ejecuten en modo obligatorio.

Trabajar con SELinux puede ser un gran desafío, pero la seguridad adicional obtenida con el esfuerzo vale la pena. Tómese el tiempo, investigue y sus sistemas disfrutarán al final de un mayor nivel de seguridad.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia first