A SELinux egyre inkább a kötelező hozzáférés-ellenőrzés (MAC) rendszerek középpontjába kerül az openSUSE disztribúciókban és a SUSE termékekben egyaránt. A SUSE SELinux munkacsoportjának tavaly nyári bejelentésének megfelelően, az új Tumbleweed telepítések alapértelmezett MAC rendszerévé válik a SELinux
Tartalomjegyzék
Mi változik a telepítéseknél?
Eddig az új Tumbleweed telepítések az AppArmor-t választották alapértelmezett MAC rendszerként az installer során. A változtatás után az új Tumbleweed telepítések alapértelmezettként az SELinux-t választják, kényszerítő mód (enforcing mode) bekapcsolásával. Azonban a felhasználók továbbra is választhatják az AppArmor-t is a telepítőben.
Ennek megfelelően a következő Tumbleweed ISO kiadás már SELinux-szal fog érkezni (a 20250211-es pillanatképtől kezdve), amely alapértelmezés szerint kényszerítő (enforcing) mód bekapcsolásával fog futni. Fontos ismét megjegyezni, hogy ezt a változást az openSUSE levelezőlistán már tavaly év közepe táján bejelentették.
Mi történik a meglévő telepítésekkel?
A meglévő telepítések nem érintettek a változásban. Ha valaki a meglévő rendszerét szeretné AppArmor-ról SELinux-ra migrálni, a SUSE egy útmutatót készített a szükséges lépésekről és szempontokról, amely itt található.
Mit jelent ez a felhasználók számára?
A SELinux politika sok policy modult tartalmaz, amelyek a legismertebb szolgáltatásokat korlátozzák. A SELinux-ra való átállás azt jelenti, hogy több szolgáltatás lesz alapértelmezett módon korlátozva, így fokozott biztonságot nyújtva ezzel. Ugyanakkor a fokozott korlátozás kezdeti szakaszában több hiba is előfordulhat, amikor a SELinux jogos hozzáféréseket tagad meg.
A megfelelő működés biztosítása érdekében a fejlesztők manuális és automatizált teszteket végeztek openQA-n keresztül. Emellett a fejlesztők a közösség segítségére is számítanak, hogy hibajelentéseket küldjenek, ha olyan szcenáriókkal találkoznak, amelyeket a fejlesztők nem látnak előre. A hibajelentések készítéséhez útmutatók találhatók itt: bugreport guide.
Egyelőre nincs terv a kernel konfigurációjának módosítására, az új telepítéseken a SELinux aktiválását az installer kezeli.
A közösség reakciója nagyrészt pozitív, bár néhány felhasználó – különösen azok, akik erősen testreszabott AppArmor profilokra támaszkodnak – aggodalmukat fejezték ki. Az AppArmor továbbra is támogatott lesz, és a felhasználók manuálisan telepíthetik, ha szükségük van rá.
Fontos információ, hogy a változás nem érinti a Leap 15.x verziót. Az első rendszerindítás valamivel hosszabb ideig tarthat, mivel a SELinux címkézi a fájlokat. Az elkövetkező hetekben frissítések és finomhangolások várhatók a SELinux működésének optimalizálása érdekében. A részletekért érdemes figyelni az openSUSE hivatalos bejelentéseit.
A SELinux-ról további információk az openSUSE wiki Portálján találhatók: SELinux Portal.
