Um sistema Linux atualizado é muito seguro, com proteção integrada contra ataques de vírus e outros recursos essenciais de segurança. Contudo, no mundo atual de acesso remoto e comércio eletrônico internacional, os riscos são elevados, e alguns CIOs e gestores de rede querem saber se podem tornar os seus sistemas Linux ainda mais seguros. Outra opção para adicionar outra camada de segurança ao seu ambiente Linux é integrar o Controle de Acesso Obrigatório (MAC).
O Controlo de Acesso Obrigatório é um conceito que nasceu dos sistemas de segurança a vários níveis utilizados para segredos militares e outras informações privilegiadas. A melhor maneira de compreender o MAC é considerar como difere dos sistemas convencionais de Controlo de Acesso Discricionário (DAC) baseados em Unix utilizados em ambientes Linux fora de prateleira.
Um sistema Linux tradicional atribui privilégios de leitura/escrita/executar a um recurso e permite ao proprietário ou administrador conceder acesso a utilizadores e grupos. Um superuser (frequentemente chamado de utilizador "raiz") tem controlo total sobre o sistema e pode aceder ou conceder acesso a qualquer recurso. Se todos se comportarem e ninguém cometer um erro, é flexível, fácil de compreender, e muito seguro. Mas e se o proprietário de um recurso inadvertidamente der acesso a alguém que não o deveria ter? Ou, talvez mais importante, e se a conta do utilizador for comprometida, e um intruso explorar a flexibilidade incorporada no sistema DAC para aumentar os privilégios?
A presença da todo-poderosa conta "raiz" é outra característica que é inconsistente com os princípios de segurança granulares usados em organizações altamente seguras. Ambientes altamente seguros tendem a atribuir funções aos administradores de sistemas com base em responsabilidades precisas. O Controle de Acesso Obrigatório permite criar políticas que dão aos usuários os privilégios mínimos necessários e previne mudanças e escalação de privilégios. Tudo em TI tem um custo, portanto, antes de adotar um sistema de Controle de Acesso Obrigatório, tenha certeza de que é o que você precisa. A perda de flexibilidade pode acrescentar despesas gerais e complicações aos processos empresariais, por vezes forçando a intervenção administrativa para o que de outra forma seria uma tarefa comum.
As duas ferramentas mais populares para o controlo de acesso obrigatório no Linux são SELinux e AppArmor. As distros baseadas na Red Hat, tais como 7CentOS e 8CentOS estão pré-configuradas para SELinux. Ubuntu e openSUSE utilizam AppArmor; contudo, os programadores podem sempre desinstalar AppArmor e configurar o SELinux se estiver mais habituado a ele ou sentir que funcionará melhor para o seu ambiente. AppArmor e SELinux tomam ambos a forma de módulos do kernel Linux e podem ser configurados para funcionar na maioria dos principais sistemas Linux, embora o grau de suporte técnico possa variar.
Em geral, AppArmor é mais fácil de configurar e operar; no entanto, embora AppArmor seja muito seguro - e significativamente mais seguro do que operar sem um quadro de controlo de acesso obrigatório -SELinux proporciona um nível de protecção mais profundo e versátil. O AppArmor foi concebido para proteger ficheiros e outros recursos; contudo, não oferece protecção equivalente para processos. Além disso, porque AppArmor refere recursos por caminho, um intruso que já está no sistema poderia teoricamente pregar alguns truques com ligações difíceis que não seriam possíveis utilizando o SELinux baseado em inodas.
A SELinux foi originalmente desenvolvida com base na investigação da Agência Nacional de Segurança (NSA), uma agência de inteligência a nível nacional do Departamento de Defesa dos Estados Unidos. Oferece uma abordagem mais hermética ao controlo de acesso. No entanto, como é mais difícil de configurar e operar, espera-se que exija tempo de configuração adicional e uma curva de aprendizagem mais longa para o pessoal de TI.
Com a adesão de uma equipa, os benefícios de um MAC são muitos e podem abrir o caminho para uma tomada de consciência de segurança, que é sentida através de toda uma estrutura da empresa.
Comentários (2)
“an intruder who is already on the system could theoretically play some tricks with hard links that wouldn’t be possible using the Linode-based SELinux.”
That should probably be “inode-based”.
Hey Rudolph – thanks for bringing this to our attention! I’ll let our team know so that they can review this.