Server Linux e sicurezza: SELinux o Systemd?

La sicurezza di un server Linux è una questione delicata, ecco cosa ne pensa uno degli sviluppatori di riferimento del progetto systemd

 

La recente convention CoreOS Fest di Berlino (9 e 10 Maggio 2016) è stata particolarmente ricca di interventi e seguita da diversi portali specializzati. Nella news di ieri abbiamo ripreso le dichiarazioni di Greg Kroah-Hartman sull’iter di sviluppo del kernel Linux e la sicurezza del sistema operativo.systemd e Linux

L’importante tematica è stata toccata anche da Lennart Poettering (attualmente impiegato presso Red Hat), uno degli sviluppatori di riferimento del progetto systemd init (processo che durante l’avvio del sistema viene chiamato in causa dal kernel per inizializzare l’user space), che in un dettagliato keynote tecnico ha spiegato quali siano i parametri systemd fondamentali sui quali agire per la messa in sicurezza di un server Linux.

Tra le caratteristiche principali di systemd, ha sottolineato il programmatore, la possibilità di eseguire in un sandbox tanto i servizi dell’OS quanto altri elementi come ad esempio i container; le opzioni “systemd-nspawn” e “”privateNetwork” possono aiutare invece l’amministratore a garantire rispettivamente la sicurezza dei namespace utente ed a eseguire un servizio privato in una rete.

Systemd è preferibile a SELinux

Ad attirare l’attenzione dei presenti sono state in ogni caso le osservazioni di Poettering su SELinux (security enhanced Linux), un noto modulo del kernel Linux legato al monitoraggio dei processi/applicazioni ed alle policy di sicurezza del sistema: “sicuramente SELinux è un’incredibile tecnologia, anche se non la capisco” ha affermato suscitando l’ilarità del pubblico.

Sebbene alcune opzioni offerte da SELinux rendano a tutti gli effetti superflui alcuni setting presenti in systemd, ha dichiarato Poettering, quest’ultimo è presente tuttavia di default su qualsiasi distribuzione Linux mentre SELinux è un specifico per distro Red Hat ed affini – in Red Hat Enterprise, Fedora e CentOS SELinux è un core element della sicurezza.

“Le impostazioni systemd sono [semplici espressioni booleane] comprensibili dalla maggior parte delle persone; è per questo che le ho realizzate e ritengo che siano molto più utili delle policy SELinux. […] Probabilmente vi sono solo 50 persone al mondo in grado di capire le policy SELinux. Ma spero vivamente che vi siano più di 50 persone in grado di capire systemd” ha aggiunto lo sviluppatore.

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *