Mentre molti specialisti concordano nell’affermare che SELinux è un prodotto maturo e di alta qualità, altri dibattono se sia il caso di lasciare a questo framework per il Mandatory Access l’onore e l’onere di essere l’unico sistema di hardening disponibile per il kernel Linux.
Si parla, infatti, di eliminare il modulo LSM (Linux Security Module) che attualmente permette a progetti come AppArmor, Smack e Tomoyo di agganciarsi al kernel dall’esterno, grosso modo come se fossero dei plugin aggiuntivi.
Continua »
A meno di due anni dal suo rilascio come opensource, Novell ha licenziato le cinque persone che costituivano il team di sviluppo di AppArmor, incluso lo sviluppatore principale Crispin Cowan, che era arrivato in Novell dopo l’acquisizione di Immunix, originale licenziataria del software.
Per ora Novell non ha voluto commentare, presentando l’accaduto come parte dell’ampia ristrutturazione dell’azienda che, secondo i suoi intenti, dovrebbe portare a un miglioramento dei processi di sviluppo.
La notizia comunque tende a far scalpore, anche perché AppArmor ultimamente gode di ottima fama. Anche se Novell in passato ha fallito più volte nell’ottenere l’inclusione di default nel Kernel Linux, il suo software per la sicurezza è stato scelto dalle nuovissime Ubuntu Gutsy Gibbon e Mandriva 2008, oltre che ovviamente da Suse/OpenSuse.
Continua »
Nei giorni scorsi, sulla mailing list OpenBSD-misc, si è sviluppata una discussione, al limite della guerra di religione (ma niente a cui non siamo più che abituati), in cui si cerca di capire se sia meglio SELinux o OpenBSD.
OpenBSD, lo sappiamo, è il sistema BSD sicuro a prescindere, che vanta due soli bug di sicurezza remota in dieci anni mentre SELinux è il Security Enhanced Linux, una patch per blindare il kernel Linux, che vanta altrettanto validi riconoscimenti.
Continua »
Bisogna ammetterlo: tanti pensano (a ragione) che Linux sia abbastanza sicuro e quindi installano un server LAMP (Linux-Apache-MySQL-PHP) con pochi click e senza preoccuparsi di affinare troppo la configurazione, quando invece qualche piccolo ritocco, e un po’ di manutenzione, potrebbe rendere il sistema più sicuro e meno esposto.
A tal proposito su TechRepublic, un articolo con tanto di esempi pratici elenca dieci punti da seguire per rinforzare l’installazione base del Web Server con la piuma:
Continua »
Al SELinux Symposium 2007 è stato presentato un documento (PDF) sul porting di SELinux su sistemi diversi da Linux.
Il lavoro non è certo semplice, visto che bisogna lavorare sul kernel scrivendo dei moduli o, nei casi più difficili, delle patch.
Tuttavia c’è chi ha già ottenuto risultati significativi, un esempio è TrustedBSD con il loro Mandatory Access Control (MAC) Framework che fornisce a FreeBSD un framework di sicurezza basato sul controllo degli accessi alle risorse utilizzando SEBSD, un port di SELinux su kernel FreeBSD.
Continua »
Se per la sicurezza di solito le distribuzioni preferiscono SELinux, Ubuntu va un po’ controcorrente. Infatti, la prossima versione, Gutsy Gibbon, prevista per il 18 ottobre, includerà AppArmor già nell’installazione base.
Del modulo per la sicurezza sviluppato principalmente da Novell e incluso in Suse e OpenSuse avevamo già parlato, descrivendolo come un sistema semplice ed immediato e forse proprio questo ha condizionato la scelta della distro Ubuntu, che ha la facilità d’uso tra le sue bandiere.
Continua »
Che ognuno tenti di tirare l’acqua al suo mulino è cosa nota, soprattutto quando si parla di grandi aziende del calibro di Novell. E proprio per attirare gli utenti verso la propria tecnologia AppArmor, Novell ha stilato una faziosa (e come poteva essere altrimenti) tabella comparativa tra il suo prodotto e SELinux, che invece è fortemente spalleggiato da RedHat.
Dalla tabella si deduce che AppArmor è, ovviamente, migliore di SELinux. E altrettanto ovviamente non bisogna chiedere all’oste se il vino è buono.
Anche per questo c’è chi si è preso la briga di analizzare punto per punto quanto presentato nella comparativa pubblicata da Novell.
Continua »
Negli ultimi tempi PHP non è stato famoso per essere sicuro, vuoi per le varie polemiche sull’implementazione del linguaggio in sé, vuoi per i numerosi script scritti con poca attenzione.
Se siamo troppo pigri per validare ogni campo, o anche se vogliamo avere qualche strumento utile in più, ci viene in soccorso Suhosin, letteralmente (in coreano) angelo custode.
Continua »
SSH è la shell remota sicura per antonomasia ma non è detto che sia impenetrabile, facendo un esempio, se un lucchetto è costruito a regola d’arte, ma la chiave (cioè la password) è facile da trovare tramite un attacco Brute-Force, cioè provando moltissime chiavi possibili, il lucchetto è sicuro ma comunque sarà aperto.
Fortunatamente noi scegliamo delle password difficili (vero?), ma per Security-Hacks.com neanche questo è sufficiente.
Continua »
Quanto spesso bisogna cambiare la password? Ogni mese? Ogni settimana? Ogni giorno? E se vi dicessi che potreste farlo ogni volta che fate il login?
Questo è il caso delle One-Time Password, ottima soluzione per tenere al sicuro il vostro account, specialmente se accedete al vostro computer da un internet café o tramite una rete di cui non vi fidate.
Il gioco è semplice: portate con voi un foglio con una lista di codici e password (se il foglio non vi piace potete salvarle sul telefonino) e quando il sistema vi chiederà una password corrispondente a un codice, cercate il codice sul foglio e digitate la password a fianco.
Continua »
