Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: Internetnews.com

Het Amerikaanse National Security Agency (NSA), ook wel bekend als de cryptologiedivisie van het Ministerie van Defensie van de VS, heeft een nieuwe versie van de Security Enhanced Linux-kernel (SELinux) vrijgegeven. Deze aangepaste kernel is beschikbaar voor de 2.6.3- en de 2.4.24-branch. De kernel van SELinux is een aangepaste versie van de standaard Linux-kernel waarin code is aangepast en toegevoegd voor een betere security. Het belangrijkste punt waar SELinux op is aangepast, is de manier waarop de kernel omgaat met access controls. Dit zorgt ervoor dat gebruikers en daemons het minimum aan rechten en toegang krijgen tot het systeem om het werk te kunnen doen dat ze moeten doen. Een complete lijst met veranderingen ten opzichte van eerdere versies is hier terug te vinden en een FAQ met daarin meer achtergrondinformatie is hier te bekijken.

Tux (linux logo)Deze aanpassingen zorgen er ook voor dat het probleem van de almachtige superuser wordt opgelost, aldus Joshua Brindle, productleider bij Gentoo. Hij merkt echter wel op dat SELinux niet alles is en dat er ook andere manieren van beveiliging toegepast moeten worden om Linux-systemen te beveiligen. De verwachting is dat de kernel met zijn nieuwe beveiligingsfeatures op korte termijn ook in andere Linux-distributies zal gaan opduiken. Onder andere de huidige Debian-, Gentoo- en Fedora-distributies maken al gebruik van enkele features van de SELinux-kernel. Red Hat heeft ook al laten weten SELinux in de volgende versie van Red Hat Enterprise Linux te gaan verwerken. De SELinux-kernel is door de NSA vrijgegeven onder de GNU GPL-licentie en is hier te downloaden.

Moderatie-faq Wijzig weergave

Reacties (23)

Is het niet verstandiger om de development van de kernel op een centrale plaats te laten gebeuren... bijvoorbeeld op een website en dan noemen we die www.kernel.org :+ . Ik vindt het een beetje idioot dat men de kernel forked en daarvan dan een nieuwe kernel maakt. Is het dan niet mogelijk in overleg met Linus en consorten een kernel te maken die sowieso veiliger is. Op deze manier krijg je alweer een grotere diversiteit in de linux distro's .

imho dus niet echt een stap naar voren (zeer zeker ook geen stap terug). ik zag liever een betere gelijkwaardige kernel in alle distro's
Da's helemaal niet idioot. De wijzigingen die ze door voeren kan je beter eerst testen in een aparete tak van de kernel.Als het werkt worden die wijzigingen weer terug in de kernel gestopt. Kijk hier maar bv.
Behalve dat je verhaal zowiezo in twijfel te trekken is, je hebt het ook nog eens mis. Het is geen fork maar een patch.
Waarom hebben de duizenden ogen, die naar de kernel kijken deze verbeteringen nog niet doorgevoert in de "officiele" tree?
Omdat het een keuze is, niet iedereen draait een multiuser systeem, laat staan een die qua veiligheid NSA-grade hoeft te zijn. Veiligheid, zeker mandatory access control, kan bijvoorbeeld ten koste gaan van de gebruikersvriendelijkheid. Verder kost het een bepaalde performance-penalty omdat elke system call extra gechecked moet worden.
In gevallen dat unix-security an sich toereikend is is dit dus niet nodig.
Het zijn niet alleen verbeteringen... er komt heel veel ellende bij SELinux kijken... configuratie maken + onderhouden is een zeer intensief werkje... dat wil je niemand aandoen...

Er zijn ook verschillende alternatieve ACL (+ nog veel meer dan alleen ACLs) producten die men (kernel dev's) het wil aandoen om eerst heel SELinux uit de kernel te slopen en dan hun spul er weer in te stoppen... (in 1 patch, want die zou enorm worden)

Om dit op te lossen is er LSM in Linux 2.6 gestopt... echter dit is een crappy systeem, en de maintainers van alternatieve producten hebben het allemaal verworpen... (behalve SELinux... suprise suprise... waarvoor LSM uiteindelijk helemaal naar is aangepast)
Wordt geleverd inc. backdoor voor de NSA zelf :P :+
Ik denk het niet, de NSA maakt SELinux namelijk met het doel een veilige, gecertificeerde Linux versie te maken die te gebruiken is door de Amerikaanse overheid, ook in vertrouwelijke situaties.
Het inbouwen van een achterdeur voor jezelf zorgt ervoor dat ook anderen gebruik zouden kunnen maken van die achterdeur en dus de veiligheid van Amerikaanse staatsgeheimen kunnen compromiteren. De NSA zal daar dan dus ook wel voor uit kijken.
Dat is in een open source versie nou net niet zo goed mogelijk. Juist omdat het van een in sommige ogen verdachte bron komt, zal er serieus naar dit soort aspecten gezocht worden.
Trouwens heeft de NSA ook DES, AES en andere goede dingen tot stand gebracht.
DES en AES zijn gewoon bestaande algoritmes waaraan hun het naampje DES en AES aan hebben gegeven... dus ze hebben niet echt waanzinnige bijdrages geleverd... ze zorgen juist voor zeer veel restricties op de export uit amerika van cryptografie producten...
Zou de NSA dit allemaal doen uit de goedheid van hun hart? :+
Nee, omdat ze zich (uit ordinair utilitarisme) realiseren dat je een veilig systeem goed kan baseren op een open source besturingssysteem, en hier hebben ze kennelijk linux voor gekozen.
Ik vind het wel heel gaaf van ze, daar niet, van, maar om ze nou gelijk goedheid in hun hart toe te schrijven weet ik niet. Het blijft een enge instantie in my opinion }>
Natuurlijk niet... Alles wat er van deze kernel wordt overgenomen in de officiŽle kernel hoeven ze in de toekomst niet meer te patchen. Het vrijgeven kan ze dus een hoop werk besparen in de toekomst...
SeLinux is geen forked versie van de originele kernel hoor
Het is juist een patch voor de huidige kernel.

Om deze juist vieliger te maken.
Wij werken er elke dag mee.......
We hebben het zelf gepatch in de 2.4 versie van de kernel
Ik maak zelf gebruik van RSBAC
www.rsbac.org

bied meerdere vormen van access control
Ik voel met je mee, jullie werken er inderdaad elke dag mee...
de configuratielast bij veranderingen is niet te overzien...
Een goede zaak dat een instituut als NSA zo haar verbeteringen vrijgeeft. Niet alleen is dat een stimulans voor een veiliger Linux maar misschien ook voor de Amerikaanse overheid om Linux serieus te nemen.
De SELinux-kernel is door de NSA vrijgegeven onder de GNU GPL-licentie en is hier te downloaden.
Veel keus hebben ze hierin ook niet, aanpassingen in de kernel vallen onder derived work en zijn dus automatisch GPL.
GPL dwingt het NSA toch niet om hun werk openbaar te maken. Ze hadden het net zo goed als een intern research aktiviteit kunnen uitvoeren en de resultaten itern houden.
What is SELinux?

The Security-enhanced Linux kernel enforces mandatory access control policies that confine user programs and system servers to the minimum amount of privilege they require to do their jobs
Doet me denken aan de melding: Warning, a program is trying to directly access your hardware, this cannot be supported.

:+
De superenthousiaste 'linux'-mensen of Windows-lovers zijn dan verkeerd.
En de windows-haters ook vaak ongefundeerd. -> Ook meestal niet de 'meest ervaren' gebruikers die over windows hun beklag dan te pas en te onpas doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True