Ubuntu utilise-t-il SELinux par défaut et si non, comment le contexte de sécurité est-il géré? Par exemple, permettre aux processus de s'exécuter en tant que root sans contexte de sécurité peut constituer un risque pour la sécurité.
La page d’aide sur SELinux suggère que SELinux est un programme qui doit être installé manuellement.
Dans ce cas, comment Ubuntu gère-t-il le contexte de sécurité?
Ubuntu utilise AppArmor , une alternative à SELinux.
Wikipedia explique pourquoi certains pensent qu'AppArmor est meilleur que SELinux:
AppArmor est proposé en partie comme une alternative à SELinux, que les critiques jugent difficile à configurer et à gérer pour les administrateurs. Contrairement à SELinux, basé sur l'application d'étiquettes à des fichiers, AppArmor fonctionne avec des chemins de fichiers. Les partisans d'AppArmor affirment qu'il est moins complexe et plus facile à apprendre pour l'utilisateur moyen que SELinux. Ils affirment également qu'AppArmor nécessite moins de modifications pour fonctionner avec les systèmes existants: par exemple, SELinux requiert un système de fichiers prenant en charge les "étiquettes de sécurité" et ne peut donc pas fournir de contrôle d'accès aux fichiers montés via NFS. AppArmor est indépendant du système de fichiers.
Ubuntu fournit de nombreux profils AppArmor pour les applications principales. Vous pouvez les trouver dans /etc/apparmor.d/
. Si vous devez modifier les profils par défaut, vous pouvez remplacer les paramètres de /etc/apparmor.d/local/
.
Ubuntu propose également des "abstractions", qui vous permettent d’écrire rapidement vos propres profils AppArmor sans vous répéter (le fameux principe DRY ).
Il est important de noter que le profil AppArmor pour Firefox est désactivé par défaut, car il est peut-être trop restrictif pour de nombreux utilisateurs. Vous pouvez cependant l'activer comme décrit dans la documentation :
Sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Si vous voulez utiliser SELinux, vous êtes libre de désactiver AppArmor et installer le package selinux . Notez cependant que la configuration par défaut de SELinux dans Ubuntu n’est pas très restrictive, vous devez donc la configurer vous-même.
Comme Andrea le souligne dans sa réponse, Ubuntu utilise AppArmor. Le contexte "par défaut" de SELinux utilisé par Ubuntu dépend énormément de la manière dont vous installez SELinux (je crois que le selinux-default
est celui que vous recherchez). Bien sûr, si vous n'en installez aucun, vous devez le configurer selon vos goûts.