Re: Selinux
Il 01/02/23 15:56, Paride Desimone ha scritto: Il 01-02-2023 12:33 Paride Desimone ha scritto: Buongiorno. Sto provando a studiare Selinux, perché mi serve per un esame di certificazione rhcsa ex200. Qualcuno può dipanarmi un dubbio? Se io confino l'utente root, in modo che nemmeno lui abbia poteri illimitati, in modo che un'eventuale escalation, non consenta di prendere il controllo della macchina, come si fa in caso si voglia agire sulla configurazione di selinux e nemmeno lui può farlo? /paride Come non detto. Non ero arrivato alla gestione degli utenti con selinux. /paride Ciao Paride, è possibile confinare l'utente root? Io so che prima viene valutata la DAC. Se la DAC permette all'utente di eseguire una certa operazione SELinux non entra in gioco. Se la DAC non lo consente, Selinux controlla tutte le sue cose (contesti, booleans, [attento alle don't audit rules], ecc) (ed è qui che salva le chiappe) e in base alle policy crea un deny o un allow. Detto questo, essendo root utente con privilegi elevati, è possibile confinarlo? Inoltre non sarebbe il caso di evitare di far entrare root nel confinamento? Cioè ha senso confinare root? Almeno un utente privilegiato deve poter fare qualcosa se le cose non funzionano, anche perche se tu non permetti a root di effettuare qualcosa tipo operazioni di rete, accesso a determinati file ecc, si può sempre impostare selinux in permissive mode, e poi da quello che ho letto (non l'ho provato) sistemi come SELinux e AppArmor possono essere aggirati a livello del kernel, non chiedermi come che non lo so. SELinux non dovrebbe evitare proprio problemi di questo tipo come le escalation? (Lo chiedo perche ho il dubbio) Cmq se puo esserti di aiuto, che nessuno me ne voglia, l'ambiente migliore per studiare SELinux è una RHEL Based tipo AlmaLinux/RockyLinux. Purtroppo su debian ho sempre avuto problemi con SELinux. D'altro canto su debian uso apparmor che nella creazione delle policy è moltooo più semplice e diretto. Se posso darti un consiglio su SELinux, quando passi al processo della creazione delle policy custom, revisiona sempre quello che audit2allow aggiunge al file della policy (prima di compilarla e caricarla) perche potrebbe includere software/contesti/azioni che non vorresti permettere e questo è male perche crei una policy bacata non sapendolo. Altro consiglio è, nel caso in cui non riesci a trovare il deny ad una certa azione e quindi non puoi creare la regola nella policy, ti può tornare utile disabilitare le regole dont'audit che sono regole per cui è indicato di non riportate negli audit perche ce ne sarebbero troppe nel log. A me è capitato con un'applicazione che provava ad accedere a PostgreSQL ma l'applicazione nel contesto non aveva il permesso di lettura e scrittura nel comunicare in rete con postgresql. Ci ho messo qualche giorno per scoprire queste tipi di regole. Un saluto e scusate l'OT.
Re: Selinux
Il 01-02-2023 12:33 Paride Desimone ha scritto: Buongiorno. Sto provando a studiare Selinux, perché mi serve per un esame di certificazione rhcsa ex200. Qualcuno può dipanarmi un dubbio? Se io confino l'utente root, in modo che nemmeno lui abbia poteri illimitati, in modo che un'eventuale escalation, non consenta di prendere il controllo della macchina, come si fa in caso si voglia agire sulla configurazione di selinux e nemmeno lui può farlo? /paride Come non detto. Non ero arrivato alla gestione degli utenti con selinux. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Selinux
Buongiorno. Sto provando a studiare Selinux, perché mi serve per un esame di certificazione rhcsa ex200. Qualcuno può dipanarmi un dubbio? Se io confino l'utente root, in modo che nemmeno lui abbia poteri illimitati, in modo che un'eventuale escalation, non consenta di prendere il controllo della macchina, come si fa in caso si voglia agire sulla configurazione di selinux e nemmeno lui può farlo? /paride -- http://keys.gnupg.net/pks/lookup?op=get=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Debian 11 e SELinux
Il 11/08/21 14:53, Alessandro Baggi ha scritto: Il 11/08/21 13:48, Alessandro Baggi ha scritto: Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo. Dopo aver spulciato qualche boolean di SELinux ho abilitato ssh_sysadm_login (impostato a on) e permette agli utenti non confinati di effettuare il login su ssh. Non capisco perche se effettuo il login da utente confinato se lancio id -Z ho: user_u:user_r:user_t:s0 e dopo "su - root" mantiene lo stesso contesto dell'utente semplice e non unconfined. Può essere che la transazione da un contesto user_t non puo essere effettuata verso unconfined? Continuando la ricerca ho capito che: se si necessità di avere solo i servizi pubblicati su internet come confinati non ha senso usare il mapping degli user con gli user SELinux. Inoltre se viene abilitato il boolean ssh_sysadm_login, agli utenti non confinati è permesso il login, mentre ad un utente lo confiniamo con "user_u", è permesso il login ssh ma è confinato quindi nel caso in cui lanciasse un "su -" e ottenesse la root ha comunque il contesto dell'utente confinato e quindi non può fare nulla. Quello che non mi è chiaro è che se un utente lo mappo all'user SELinux staff_u (dalla doc di gentoo: SELinux user with direct system administrative role assigned), permette di fare il login ma non permette di lanciare comandi amministrativi ne da utente normale (credo sia normale) ne da utente root (con su -) perche il contesto rimane lo stesso di staff_u. A questo punto a che serve se non puo lanciare comandi amministrativi tipo apt?
Re: Debian 11 e SELinux
Il 11/08/21 13:48, Alessandro Baggi ha scritto: Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo. Dopo aver spulciato qualche boolean di SELinux ho abilitato ssh_sysadm_login (impostato a on) e permette agli utenti non confinati di effettuare il login su ssh. Non capisco perche se effettuo il login da utente confinato se lancio id -Z ho: user_u:user_r:user_t:s0 e dopo "su - root" mantiene lo stesso contesto dell'utente semplice e non unconfined. Può essere che la transazione da un contesto user_t non puo essere effettuata verso unconfined?
Debian 11 e SELinux
Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo.
Re: selinux
Ciao, dai un occhio a questo manuale dell´amministratore debian. https://debian-handbook.info/browse/stable/sect.selinux.html Paolo On 1/29/19 10:17 AM, Marco Pirola wrote: Come faccio a sapere se selinux e' abilitato e in caso lo fosse come devo fare per disabilitarlo?
selinux
Come faccio a sapere se selinux e' abilitato e in caso lo fosse come devo fare per disabilitarlo?
Re: Problema selinux e Iceweasel
In data mercoledì 13 novembre 2013 18:51:00, i...@thepostglobal.com ha scritto: Quando modifico il settaggio di selinux da enforcing 0 a enforcing 1 non si avvia più Iceweasel. Non ho portato nessuna modifica ad Iceweasel, non ho nemmeno installato flash. Qualcuno sa individurare quale potrebbe essere il problema? Lanciare iceweasel da console e farci leggere un eventuale messaggio di errore (o dare un'occhiata a .xsession-errors) aiuterebbe: ho portato la mia sfera di cristallo a far lucidare. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/14130019.7dklFTE3da@debian
Problema selinux e Iceweasel
Ciao, Ho installato e attivato selinux secondo la procedure descritta nella apposita pagina del progetto Debian. Quando modifico il settaggio di selinux da enforcing 0 a enforcing 1 non si avvia più Iceweasel. Non ho portato nessuna modifica ad Iceweasel, non ho nemmeno installato flash. Qualcuno sa individurare quale potrebbe essere il problema? grazie, Lorenzo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ab58f4b9f34898d4d85e5fece44b1a74@localhost
Re: selinux e librerie
On 11/06/2013 13:17, Dario wrote: Si dovrebbe riflettere se, pur avendo libertà di scegliere quale S.O. installare, chi ti dice che il tutto non sia stato spostato ed implementato a più basso livello, magari direttamente nel firmware hardware di cpu, schede di rete, router etc.? [2] in effetti questa domanda se la sono posta anche alcuni stati. Ad esempio un bel po' di anni fa la Gran Bretagna ha acquistato degli aerei militari e ha chiesto i sorgenti del firmware; gli USA hanno vietato alle pubbliche amministrazioni di comprare PC prodotti da società cinesi; ... ., altro esempio è ci chiediamo cosa può esserci dentro magari gli smartphone che compriamo? o tablet che magari costano un pò meno? in effetti la possibilità di controllare totalmente l'utente di un prodotto è sempre più reale. Purtroppo questi temi sono completamente ignorati volutamente dal 99,99% delle persone. Si accorgeranno di questo solo dopo che non avranno più diritto alla privacy e alla libertà di scelta... la storia insegna che è sempre stato così. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Perché microsoft continua a compiere azioni illegali?: http://linguistico.sf.net/wiki/doku.php?id=traduzioni:ms_illegal GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51ba1fa1.8040...@gmail.com
Re: selinux e librerie
Il 12/06/2013 07:31 Luca Panella ha scritto: [1]http://arstechnica.com/information-technology/2013/06/what-the-nsa-can-do-with-big-data/ Non c'è che dire... Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/281f3948d540761230a56fc5d15aa...@autistici.org
Re: selinux e librerie
Ciao On Tue, 11 Jun 2013 13:17:29 +0200, Dario dario.j...@gmail.com wrote: [Leggere ciò che segue in chiave di lettura: PARANOIA] Dal mio punto di vista rende bene l'idea anche con una chiave di lettura normale. Aggiungo un link ad una notizia di oggi, se può essere di interesse [1] Luca [1]http://arstechnica.com/information-technology/2013/06/what-the-nsa-can-do-with-big-data/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5975bd29b88321e3edba0098086cfc55@localhost
Re: selinux e librerie
On 10/06/2013 20:15, Paride Desimone wrote: Paride dopo l'affaire Prism, ho deciso di non voler aver più Paride nulla a che fare con nsa. Ora vorrei eliminare le librerie: Paride ...[cut] Paride libselinux1 On 10/06/2013 21:17, Davide Prina wrote: Davide non sono un esperto, ma penso che sia difficile aver introdotto in Davide selinux qualcosa che possa danneggiare la tua privacy o la tua Davide sicurezza, dato che sono a disposizione tutti i sorgenti e molte persone Davide li hanno analizzati e contribuito a migliorarli. Davide Potrebbe esserci un difetto (bug) strutturale, ma, secondo me, l'NSA non Davide avrebbe rischiato così tanto per rendere alla luce del sole un suo Davide tentativo di aprirsi una breccia in un sistema GNU/Linux. Davide Fai conto che il contributo dell'NSA è stato fatto per avere lei stessa Davide a disposizione dei sistemi difficilmente attaccabili dall'esterno. Davide Davide Se veramente non vuoi più avere a che fare con l'NSA, allora non Davide dovresti usare più prodotti delle grandi aziende IT: microsoft, IBM, Davide Google, ... Davide Davide qualche articolo un po' datato (spero i link siano ancora funzionanti, Davide altrimenti prova con www.archive.org) che mi ero salvato: Davide Davide http://www.heise.de/tp/r4/artikel/5/5263/1.html Davide http://www.heise.de/tp/r4/artikel/2/2898/1.html Davide http://www.gnuvox.info/index.php/2007/01/15/vista_e_nsa_per_un_mondo_piu_sicuro Davide Davide Davide tieni conto che, da quel che si può evincere, è che tutte le aziende IT Davide americane sono costrette a venire a patti con l'NSA... Davide PS: ma poi io mi chiedo perché qualcuno dovrebbe preoccuparsi di queste Davide bazzeccole e fuori moda come la privacy. Basta vedere la diffusione Davide di facebook C. che demoliscono tutto questo Mi permetto di aggiungere questo link [1] pertinente all'argomento: From: Claude Jones claude_jones levitjames com To: fedora-list redhat com Subject: How NSA access was built into Windows Date: Sun, 14 Jan 2007 23:58:52 -0500 How NSA access was built into Windows So, my question is, if this is all true, then, what about Selinux? [Leggere ciò che segue in chiave di lettura: PARANOIA] Si dovrebbe riflettere se, pur avendo libertà di scegliere quale S.O. installare, chi ti dice che il tutto non sia stato spostato ed implementato a più basso livello, magari direttamente nel firmware hardware di cpu, schede di rete, router etc.? [2] Aggiungiamo che la maggior parte di ciò che usiamo viene prodotto in ., altro esempio è ci chiediamo cosa può esserci dentro magari gli smartphone che compriamo? o tablet che magari costano un pò meno? Dario --- Link --- [1] http://www.redhat.com/archives/fedora-list/2007-January/msg01901.html [2] https://it.wikipedia.org/wiki/Hardware_libero -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51b70749.2050...@gmail.com
Re: selinux e librerie
Il 11/06/2013 11:17 Dario ha scritto: Si dovrebbe riflettere se, pur avendo libertà di scegliere quale S.O. installare, chi ti dice che il tutto non sia stato spostato ed implementato a più basso livello, magari direttamente nel firmware hardware di cpu, schede di rete, router etc.? [2] Aggiungiamo che la maggior parte di ciò che usiamo viene prodotto in ., altro esempio è ci chiediamo cosa può esserci dentro magari gli smartphone che compriamo? o tablet che magari costano un pò meno? E di fatti sto pensando di acquistare un notebook in cui sia possibile sostituire il firmware con quello free software od al limite di prendere lo stesso di rms Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/879d50d19e9e94236ccc70b2cee4a...@autistici.org
Re: selinux e librerie
Il 10/06/2013 18:40 dea ha scritto: Paride, mi viene in mente una possibilità .. usare il kernel BSD. Non mi sono mai cimentato con Debian, a supporto hardware è equivalente al 3.2 di Linux ? Non saprei proprio dirti, ma vorrei rimanere su linux. Provero ad installare un sistema base virtualizzato per vedere se sono incluse di default. Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7476091159cc144166ec94907fb1a...@autistici.org
selinux e librerie
Ciao a tutti, dopo l'affaire Prism, ho deciso di non voler aver più nulla a che fare con nsa. Ora vorrei eliminare le librerie: libselinux1 libsemanage-common libsemanage1 libsepol1 Il problema è che cercando di disinstallarle, synaptic, mi vuol buttare giù mezzo sistema. Fa anche a voi la stessa cosa, o debbo indagare moolto più a fondo? Attualmente sono passato a sid. Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5bf7e645123cbdb3cbff1da235375...@autistici.org
Re: selinux e librerie
Paride, mi viene in mente una possibilità .. usare il kernel BSD. Non mi sono mai cimentato con Debian, a supporto hardware è equivalente al 3.2 di Linux ? Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130610183820.m79...@corep.it
Re: selinux e librerie
On 10/06/2013 20:15, Paride Desimone wrote: dopo l'affaire Prism, ho deciso di non voler aver più nulla a che fare con nsa. Ora vorrei eliminare le librerie: libselinux1 [...] hmm... non sono un esperto, ma penso che sia difficile aver introdotto in selinux qualcosa che possa danneggiare la tua privacy o la tua sicurezza, dato che sono a disposizione tutti i sorgenti e molte persone li hanno analizzati e contribuito a migliorarli. Potrebbe esserci un difetto (bug) strutturale, ma, secondo me, l'NSA non avrebbe rischiato così tanto per rendere alla luce del sole un suo tentativo di aprirsi una breccia in un sistema GNU/Linux. Fai conto che il contributo dell'NSA è stato fatto per avere lei stessa a disposizione dei sistemi difficilmente attaccabili dall'esterno. Se veramente non vuoi più avere a che fare con l'NSA, allora non dovresti usare più prodotti delle grandi aziende IT: microsoft, IBM, Google, ... qualche articolo un po' datato (spero i link siano ancora funzionanti, altrimenti prova con www.archive.org) che mi ero salvato: http://www.heise.de/tp/r4/artikel/5/5263/1.html http://www.heise.de/tp/r4/artikel/2/2898/1.html http://www.gnuvox.info/index.php/2007/01/15/vista_e_nsa_per_un_mondo_piu_sicuro tieni conto che, da quel che si può evincere, è che tutte le aziende IT americane sono costrette a venire a patti con l'NSA... Ciao Davide PS: ma poi io mi chiedo perché qualcuno dovrebbe preoccuparsi di queste bazzeccole e fuori moda come la privacy. Basta vedere la diffusione di facebook C. che demoliscono tutto questo -- Dizionari: http://linguistico.sourceforge.net/wiki Motivi per non comprare/usare ms-windows-vista: http://badvista.fsf.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51b62663.2000...@gmail.com
Re: SELinux e Apache2
Il 29/04/2011 18:45, antonio ha scritt radicale come SELinux (che comunque mi affascina e penso di volerlo abilitare comunque una volta che ci ho capito di più). Gia' che ci siamo, qualcuno conosce un buon editor di policy che giri su debian? Ad oggi, ho trovato solo roba che va su ded rat c. Paride -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dbc3ea7.60...@autistici.org
SELinux e Apache2
Salve, ho installato Apache2 sulla mia Squeeze al fine di far girare un CRM. Chiaramente lo scopo è di far girare il CRM solamente nella mia LAN e non voglio che sia accessibile dall'esterno. Mi chiedevo se fosse sufficiente la clausola LISTEN 192.168.0.0/24 nel file /etc/apache2/ports.conf (e se si come lo testo in modo attendibile?) oppure se era necessario pensare a qualcosa di più radicale come SELinux (che comunque mi affascina e penso di volerlo abilitare comunque una volta che ci ho capito di più). Thanks Antonio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1304095554.2943.5.ca...@gaia.geolandia.home
Re: SELinux e Apache2
Mi chiedevo se fosse sufficiente la clausola LISTEN 192.168.0.0/24 nel file /etc/apache2/ports.conf (e se si come lo testo in modo attendibile?) oppure se era necessario pensare a qualcosa di più radicale come SELinux (che comunque mi affascina e penso di volerlo abilitare comunque una volta che ci ho capito di più). iptables Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110429170641.m12...@corep.it
Re: SELinux e Apache2
Antonio, scusa la risposta stringata di prima, non volevo essere scorbutico (ero solo di corsa). Se il tuo problema è limitare ad una sottorete l'utilizzo di Apache, trovo la soluzione più semplice, banale, quella di usare iptables, senza modificare nulla in Apache. iptables -A INPUT -p tcp -s (tua rete) --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP questo per la porta 80. Poi, se vuoi usare SELinux è un'altro discorso.. ma va *BEN* oltre la questione di permettere o meno l'utilizzo di Apache su un range di IP specifici. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110429182041.m37...@corep.it
SELinux
Qualcuno sa, se esiste un editor di policy SELinux per debian? Ho trovato seedit ,ma va solo su fedora, redhat e centos Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza.” (Benjamin Franklin, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1303682259.16323.1.ca...@rivendel.homelinux.com
Debian4 e SELinux
Leggevo sull'articolo http://www.ossblog.it/post/1155/debian-4-a-dicembre che debian 4 includerà SELinux... cos'é? -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian4 e SELinux
2006/7/22, Andrea [EMAIL PROTECTED]: Leggevo sull'articolo http://www.ossblog.it/post/1155/debian-4-a-dicembre che debian 4 includerà SELinux... cos'é? è un tool di sicurezza a basso livello, ossia a livello del kernel. Serve per rendere più sicuro il passaggio dei pacchetti attraverso la rete
Re: Debian4 e SELinux
heba wrote: 2006/7/22, Andrea [EMAIL PROTECTED]: Leggevo sull'articolo http://www.ossblog.it/post/1155/debian-4-a-dicembre che debian 4 includerà SELinux... cos'é? è un tool di sicurezza a basso livello, ossia a livello del kernel. Serve per rendere più sicuro il passaggio dei pacchetti attraverso la rete Ciao, quello a cui ti riferisci tu penso sia ipsec... SeLinux è un'estensione del kernel per poter utilizzare delle policy di sicurezza estremamente flessibili. E' stato sviluppato dalla NSA americana. Qui trovi tutto: http://www.nsa.gov/selinux/ Alessio -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian4 e SELinux
Il 22/07/06, Alessio Curri[EMAIL PROTECTED] ha scritto: heba wrote: Ciao, quello a cui ti riferisci tu penso sia ipsec... SeLinux è un'estensione del kernel per poter utilizzare delle policy di sicurezza estremamente flessibili. E' stato sviluppato dalla NSA americana. Qui trovi tutto: http://www.nsa.gov/selinux/ Alessio no, mi riferivo proprio a quello, conosco il sito, grazie per averlo postato tu, comunque. Ma io non direi che è un estensione del kernel, ma è un programma che va integrato al kernel, cioè il kernel funziona anche senza selinux, come funziona ora. Se fosse un estensione del kernel stesso, il nuovo kernel non funzionerebbe senza. Il resto è lo stesso che ho detto io, o almeno volevo dire quello...:S...chiedo scusa se sono stata poco capibile.
Re: Debian4 e SELinux
heba wrote: 2006/7/22, Andrea [EMAIL PROTECTED]: Leggevo sull'articolo http://www.ossblog.it/post/1155/debian-4-a-dicembre che debian 4 includerà SELinux... cos'é? è un tool di sicurezza a basso livello, ossia a livello del kernel. Serve per rendere più sicuro il passaggio dei pacchetti attraverso la rete guarda che fa altre cose. vedi le capabilities -- Non c'è più forza nella normalità, c'è solo monotonia. signature.asc Description: OpenPGP digital signature
Re: Debian4 e SELinux
Il 22/07/06, Ottavio Campana[EMAIL PROTECTED] ha scritto: heba wrote: 2006/7/22, Andrea [EMAIL PROTECTED]: Leggevo sull'articolo http://www.ossblog.it/post/1155/debian-4-a-dicembre che debian 4 includerà SELinux... cos'é? è un tool di sicurezza a basso livello, ossia a livello del kernel. Serve per rendere più sicuro il passaggio dei pacchetti attraverso la rete guarda che fa altre cose. vedi le capabilities l'ho letto tutto il sito, anche perchè mi serviva per un altro lavoro che dovevo fare. So perfettamente quello che fa, ho solo esemplificato, ma se volete vi intrattengo con una discertatio su come interagisce a livello di programmazione, non so vedete voi.
selinux
ciao a tutti, sto studiando selinux su sarge (kernel 2.6.8) e ho notato che in rete non c'è molta documentazione a riguardo (soprattutto la configurazione delle policy). qualcuno ne sa qualcosa e mi può indicare qualche documento interessante? il mio obiettivo è configurare un server web (sarge + zope) in modo da capire bene la configurazione degli utenti, processi, attributi dei file. Grazie a tutti, Fabio -- Dott. Fabio Marcone 2T srl Telefono +39 - 0871- 540154 Fax+39 - 0871- 571594 Email [EMAIL PROTECTED] Indirizzo Viale B. Croce 573 66013 Chieti Scalo (CH) GNU/Linux registered user #400424
errore durante di Selinux durante il boot
Ciao a tutti! Durante la fase di boot mi si genera questo errore ... Freeing unused kernel memory: 176k freed Failed to mount /selinux/: No such file or directory- INIT: version 2.86 booting ... Qualcuno saprebbe dirmi cosa fare in merito? bye AndreA -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
