Proteggere il sistema con le sandbox di SELinux
Nonostante le critiche alla sua complessità e la disponibilità di alternative come AppArmor, SMACK o TOMOYO, SELinuxcontinua ad essere la soluzione più utilizzata per l’hardening di un sistema Linux.
Dato che la configurazione di SELinux può essere particolarmente complicata, due sviluppatori del progetto hanno deciso di dedicare un po’ del loro tempo libero alla creazione di sandbox, uno strumento che consente dilimitare l’ambiente di esecuzione di qualsiasi tipo di programma.
L’implementazione è abbastanza semplice: essenzialmente si impedisce ad un determinato eseguibile l’accesso alla rete e a qualsiasi file su cui non abbia diritti; in questo modo si riduce la superficie di attacco utilizzabile da un ipotetico software maligno.
Attualmente le applicazioni che richiedono il server grafico X non sono supportate ma gli sviluppatori intendono approcciare questo problema nell’immediato futuro. Maggiori informazioni sul funzionamento di sandbox e sul suo stato sono disponibili in questo post.
