Ubuntu utilise-t-il SELinux par défaut et sinon, comment le contexte de sécurité est-il géré? Par exemple, autoriser les processus à s'exécuter en tant que root sans contexte de sécurité peut représenter un risque pour la sécurité.
La page d'aide sur SELinux suggère que SELinux est un programme qui doit être installé manuellement.
Alors, comment Ubuntu gère-t-il le contexte de sécurité dès le départ?
Réponses:
Ubuntu utilise AppArmor , une alternative SELinux.
Wikipedia donne quelques conseils sur la raison pour laquelle certaines personnes pensent qu'AppArmor est meilleur que SELinux:
AppArmor est proposé en partie comme une alternative à SELinux, que les critiques considèrent difficile à configurer et à maintenir pour les administrateurs. Contrairement à SELinux, qui est basé sur l'application d'étiquettes aux fichiers, AppArmor fonctionne avec les chemins de fichiers. Les partisans d'AppArmor affirment qu'il est moins complexe et plus facile à apprendre pour l'utilisateur moyen que SELinux. Ils affirment également qu'AppArmor nécessite moins de modifications pour fonctionner avec les systèmes existants: par exemple, SELinux nécessite un système de fichiers qui prend en charge les «étiquettes de sécurité» et ne peut donc pas fournir de contrôle d'accès aux fichiers montés via NFS. AppArmor est indépendant du système de fichiers.
Ubuntu fournit de nombreux profils AppArmor pour les applications principales. Vous pouvez les trouver dans /etc/apparmor.d/. Si vous devez modifier les profils par défaut, vous pouvez remplacer les paramètres de /etc/apparmor.d/local/.
Ubuntu propose également des «abstractions», qui sont des moyens de vous aider à écrire rapidement vos propres profils AppArmor sans vous répéter (le célèbre principe DRY ).
Il est important de noter que le profil AppArmor pour Firefox est désactivé par défaut, car il peut être trop restrictif pour de nombreux utilisateurs. Vous pouvez cependant l'activer comme décrit dans la documentation :
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Si vous souhaitez utiliser SELinux, vous êtes libre de désactiver AppArmor et d'installer le package selinux . Notez cependant que la configuration par défaut de SELinux dans Ubuntu n'est pas très restrictive, vous devez donc la configurer vous-même.
Comme le souligne la réponse d'Andrea, Ubuntu utilise AppArmor. Le contexte "par défaut" SELinux qu'Ubuntu utilise, dépend beaucoup de la façon dont vous installez SELinux (je crois que le selinux-default, est celui que vous recherchez). Bien sûr, si vous n'en installez aucun, vous devez le configurer selon vos goûts.