Selinux کاربرد

سلام دوستان برای امن نگه داشتن سیستم عامل یکی از راه ها فعال بودن selinux هستش. میخواستم اطلاعات راجبش به دست بیارم. که دقیقا چه کاری برای سیستم عامل میکنه و یا جلوی چه اتفاقاتی رو میگیره؟

توی لینوکس به معنای ویندوزی «مشکل امنیت» وجود نداره. اینطوری نیست که از یه سایت بازدید کنیم یا فلش وصل کنیم به سیستم و ویروسی بشه.
مشکلات امنیتی اصولا به این شکل به وجود میان که از یا منبع غیر معتبر (هرجایی بجز پکیج منیجر سیستم) نرم‌افزاری دانلود و نصب کنیم و اون نرم‌افزار، تروجان باشه یا به هر طریقی چیزی که ما فکر میکنیم نباشه. (اگه از هر طریقی، چیزی دانلود میکنید باید checksum یا gpg فایل رو چک کنید تا مطمئن بشید توی مسیر اتفاقی براش نیفتاده باشه)
یه مشکل دیگه هم ممکنه اتفاق بیفته. مثلا من vlc نصب میکنم روی سیستمم و همه چیز درسته و مشکلی نیست، ولی بعد از چندوقت یه باگ امنیتی توش پیدا میشه و به فرد مهاجم اجازه میده از طریق این نرم‌افزار به سیستمم دسترسی پیدا کنه. (مثلا فرض کنیم وقتی دارم یه فایلی رو به صورت steam پخش میکنم، طرف میتونه توی سیستمم کامند بزنه)

برای این تهدیدها یه سری نرم‌افزارها مثل selinux و apparmor وجود دارن که در حقیقت access controller هستن. اینا دسترسی نرم‌افزارهای روی سیستم رو کنترل میکنن. مثلا به هیچ نرم‌افزاری بجز nginx اجازه نمیدن به پورت 80 متصل بشه، اونهم فقط زمانی که خودمون بگیم که این اجازه رو به nginx بده (اصولا وقتی پکیج منیجر نرم‌افزار رو نصب میکنه خودش selinux یا apparmor رو کانفیگ میکنه و وقتی خودم بخوام nginx رو به عنوان پراکسی برای یه پورت دیگه انتخاب کنم باید به صورت دستی این اجازه رو بهش بدم)

حالا بین این‌دوتا میتونید انتخاب کنید. اگه سیستم‌عامل شما یکی از اینا رو داره بهتره با همون ادامه بدید ولی به نظر من apparmor بهتره. حداقل برای کاربری ما!
تفاوت اصلیشون اینه که کانفیگ selinux سختتر و پیچیده‌تره درحالی که apparmor راحتتر کانفیگ و کاستومایز میشه.

به شخصه درحد selinux حرفه‌ای نیستم (من برنامه نویسم نه متخصص امنیت) و حوصله‌ی جنگ و دعوا باهاش ندارم!

3 Likes

درود بر تو پویا جان. شما که این قدر خوب توضیح میدی چرا همینارو ویدیو یا پادکست نمیکنی. باور کن مطالبی که شما داری به درد خیلی ها میخوره.موفق باشی

2 Likes

سلام
من هم با دوستمون موافقم شما خیلی با حوصله و کامل سوالا رو جواب میدی و خیلی خوب میتونی پادکست تهیه کنی یا هرچیز مشابه به این.

در این مورد یه نکته ای که هست اینه که به نظر من checksum فقط به درد این میخوره که بررسی کنی فایلت ناقص دانلود نشده باشه یا اگه با فلش غیر مطمئن میخوای کپی کنی روی یه سیستم دیگه بررسی کنی که فایل خراب نشده باشه
وگرنه اگر سایتی که یه برنامه رو دانلود میکنی معتبر نباشه که خوب checksum یه برنامه آلوده رو به شما میده و بعد از بررسی checksum هم شما متوجه نمیشی برنامه مشکل داره
و اگر هم سایت معتبره ولی احتمال این میره که لینکی که شما داری ازش دانلود میکنی توسط یه هکر عوض شده باشه و فایل مخرب جایگزین فایل اصلی شده باشه بازم checksum مشکلی رو حل نمیکنه چون هکری که اومده لینک رو عوض کرده یا فایل مخرب رو به جای فایل اصلی توی سرور قرار داده مطمئنن میتونه checksum رو هم تغییر بده

2 Likes

ممنون. بسیار ذوق کردم :innocent:
ولی نمیدونم چرا نتونستم ۴تا پست درست حسابی توی وبسایت خودم منتشر کنم از سال ۲۰۱۴ تا الآن. توی تولید محتوا خوب عمل نمیکنم ولی اگه ازم چیزی بپرسید خوب جواب میدم :nerd_face:

درمورد وبلاگ و پادکست، فکر میکنم جادی خیلی خوب عمل کرده توی این زمینه. بعضیوقتها جزئیات کوچیکی رو اشتباه بیان میکرد (قدیما، اخیرا مشکلی ندیدم) ولی در کل کارش رو تحسین میکنم.

موافقم. استفاده از کلید GPG برای چک کردن صحت checksum و فرستنده‌ی مورد نظر ما اونو تولید کرده باشه، میتونه این مشکل رو حل کنه.
خوشبختانه اینترنت بر پایه‌ی اعتماد ساخته شده. متاسفانه آدمهای دنیای واقعی به خوبی چیزی که سازنده‌های اینترنت توی ذهنشون هست، نیستن.

2 Likes

یه زمونی هر از گاهی سر میزدم به سایتت اما خب دیگه فکر کنم بسته شد دیگه منم نرفتم