Desinstalar SELinux completamente
Saludos al foro, este es mi primer post:
Hace pocos mese probé Trisquel 5 y estoy encantado con su comportamiento y rapidez. Vengo de Mandriva, que no anda muy fina últimamente, aunque tengo que remarcar de esta distribución su excelente seguridad, encomendada por defecto al paquete 'msec'. En las pruebas que vengo realizando con Trisquel quiero poner en marcha un sistema de seguridad adaptado a esta distribución. He visto 'Tiger', pero no lo he probado aún. También he visto que, por ser Trisquel derivado de Ubuntu, hay restos del sistema de seguridad SELinux. Solo conocía este sistema de pasada por no haberlo utilizado, pero estos días he estado investigando un poco, y la verdad es que me he quedado un poco, por decirlo de alguna manera, "mosqueado".
SELinux es "un proyecto de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y de la comunidad SELinux. SELinux proporciona un sistema flexible de control de acceso obligatorio (mandatory access control) incorporado en el kernel". Si bien veo que SELinux está deshabilitado en Trisquel, un vistazo a los repositorios indican que al menos existen 2 librerías NO desinstalables (al menos de manera fácil), ya que multitud de programas propios de la distribución, entre ellos el eficaz Abrowser, dependen de ellas.
Sería de ingenuos pensar en la buena voluntad de cualquier agencia gubernamental de cualquier país, mas teniendo en cuenta los propósitos usuales de la nombrada mas arriba. Hace meses leí una noticia de fuentes fiables, en la que, debido a una desclasificación de documentos del FBI, se decía que esta agencia había implementado una puerta trasera en los firewall basados en las versiones abiertas de BSD (no recuerdo exactamente si FreeBSD u OpenBSD), consideradas tradicionalmente como los SSOO mas seguros. ¡El firewall del SO mas seguro, instalado seguramente en cientos o miles de sistemas, con una puerta trasera, increíble!...
Por otro lado, también he leído en algunos blogs y foros acerca de la posibilidad de sustituir SELinux por APParmor, ya que instalar este último desisnstala obligatoriamente el primero. Esto referido a versiones de Ubuntu anteriores a la 11.04, desconozco si en esta o en Trisquel 5 se puede hacer. De todas maneras, si SELinux no está habilitado, ¿por que mantener librerías suyas?
Bueno, pues estas son las cuestiones que planteo. Creo que en una distribución que se considera libre, y que por la intención de sus desarrolladores y usuarios lo es, no encaja ninguna pieza de software en la que "haya metido la nariz" ninguna agencia gubernamental (esto dicho sea dejando de lado cualquier cuestión política y demás basura). Lo anterior, sin tener la certeza de que el mantenimiento de esas librerías signifique ni mas ni menos que un agujero de seguridad o una posible puesta trasera.
Por lo demás, agradezco de antemano vuestras respuestas.
he leido tu post y te doy toda la razon, desafortunadamente yo carezco de conocimientos, pero ojala y venga mas gente como tu al proyecto trisquel, estoy seguro que si tienes cosas que aportar seras bien recibido,
he buscado la noticia que decias y he encontrado esta
http://noticiasdeabajo.wordpress.com/2010/12/17/%C2%BFpuertas-traseras-en-openbsd-por-gentileza-del-fbi/
de todas formas, esperemos a ver que dicen los expertos, pero si es verdad que esas librerias estan o pueden estar manipuladas por el fbi, tan solo si son sospechosas, yo las enviaria al carajo, si estamos aqui sudando tinta para no instalar sorfware privativo, no vamos a tener luego puertas traseras. un saludo y gracias por venir.
Concretamente alguien podría explicar el ¿por qué del SELinux? ignorancia
mode on, y nunca logro entender bien lo que dicen en internet, algo así
como el por qué de console-kit.. saludos
On Sat, 25 Feb 2012 16:03:57 -0300, <name at domain> wrote:
> he leido tu post y te doy toda la razon, desafortunadamente yo carezco
> de conocimientos, pero ojala y venga mas gente como tu al proyecto
> trisquel, estoy seguro que si tienes cosas que aportar seras bien
> recibido,
> he buscado la noticia que decias y he encontrado esta
> http://noticiasdeabajo.wordpress.com/2010/12/17/%C2%BFpuertas-traseras-en-openbsd-por-gentileza-del-fbi/
> de todas formas, esperemos a ver que dicen los expertos, pero si es
> verdad que esas librerias estan o pueden estar manipuladas por el fbi,
> tan solo si son sospechosas, yo las enviaria al carajo, si estamos aqui
> sudando tinta para no instalar sorfware privativo, no vamos a tener
> luego puertas traseras. un saludo y gracias por venir.
>
>
Antes de nada: bienvenido!!
Así a bote pronto creo que te pasas un poco con lo de que "...no encaja ninguna pieza de software en la que "haya metido la nariz" ninguna agencia gubernamental", ya que muchos proyectos de software libre están financiados por gobiernos y la administración pública, y son fiables 100%.
Y si una cosa tiene el software libre es que puedes mirar su código al completo, así que si hubiera algo raro ya habría salido a la luz hace tiempo y no se hubiera metido en algo tan importante como el kernel Linux. No creo que todos los desarrolladores del kernel estén aliados con los EEUU para ponernos puertas traseras a todo el mundo. Es verdad que viniendo de EEUU nos podemos esperar cualquier cosa, pero creo que esto ya roza la paranoia (con todos mis respetos).
Por otra parte, y respondiendo a lo que que preguntas, es verdad que no viene instalado por defecto pero si esas dos librerías y de las que dependen bastantes programas. Creo que apt no tiene forma de eliminar paquetes sin sus dependencias (rpm si que tiene esa opción), así que no creo que no los vas a poder eliminar fácilmente.
Lo que sí puedes hacer es deshabilitar las opciones de soporte de SELinux en el kernel y así te aseguras de que SELinux no funcione (que no sé que consecuencias puede tener):
http://img19.imageshack.us/img19/3205/selinux.png
Saludos.
Hola de nuevo, gracias por vuestras respuestas y vuestra acogida como nuevo usuario que soy.
De acuerdo con Alvarez72, y gracias por dar un enlace acerca de lo que comentaba, aunque no fué ahí donde leí la noticia (creo que fué en 'desarrolloweb', no estoy seguro). De todos modos lo importante es el trasfondo, creemos que utilizamos un SO seguro, y PUEDE QUE no lo sea. Remarco la posibilidad, porque en mi 1er post dejaba claro que no estaba seguro acerca de lo que exponía, pero no entendía el por que de unas librerías que aparentemente no se utilizan pero están incrustadas en lo mas profundo del sistema, y como dice Khany, sin facil posibilidad de desinstalación (yo ni siquiera lo intenté al ver que desinstalarlas suponía desmontar medio SO, ya que ¿como se vuelven a instalar esos programas imprescindibles?, ¿compilándolos desde las fuentes?). No es este el caso.
Evidentemente, Khany, si utilizamos un SO de código abierto o libre es, entre otras cosas, para lo que dices. Pero como echarle un vistazo a las fuentes exige conocimientos de programación que un usuario medio o incluso avanzado no tenemos, pues pasa lo que en el firewall del OpenBSD, que siendo de código abierto, la comunidad se enteró de la puerta trasera 10 años después, y porque se desclasificaron unos papeles, no porque un programador se diera cuenta del hecho.
También es cierto lo que dices de las Agencias gubernamentales. Pero también hay agencias y Agencias. De lo que hagan en el Molinux o el Guadalinex, me puedo fiar hasta cierto punto. Pero acerca de la frasecita "proporciona un sistema flexible de control de acceso obligatorio (mandatory access control)", y conociendo el doble lenguaje que utilizan estas Agencias de marras, pregunto ¿es que para conceder la certificación a un SO que proporciona el tener instalado SELiunx, certificación que permite poder instalarlo en equipos de la administración estadounidense, es necesario que dicho SO pueda estar bajo control, o es que dicho SO sea tan seguro que ni siquiera la(s) Agencia(s) pueda(n) tenerlo bajo control?
Cuando leemos que M$ ha tenido contactos con las Agencias de seguridad para el diseño de "Güin2 7", todos sabemos a que se refieren. Cuando dichas agencias diseñan un sistema de seguridad, implementado en todas las versiones de SSOO basados en Linux desarrollados en ese país, y alguno que otro desarrollado en otros (como Ubuntu), entonces no es aplicable. Por favor, puede que yo sea paranoico con lo de la seguridad, pero no soy ingenuo, teniendo en cuenta el afán de hegemonía mundial de dichas agencias y de como los SSOO son piezas clave para ello (y eso que no quería hablar de política...).
Bueno, concretando. Me gustaría, si es posible, que los empaquetadores de este maravilloso SO que es Trisquel revisen el tema de si se pueden eliminar esas librerias de la paquetería. Si no se puede, pues ya es decisión mia y del resto de usuarios utilizarlo o no. No me sirve decir que SELinux está deshabilitado, ya se que lo está por defecto. Lo que NO SE es que, si estando deshabilitado, el hecho de que esas librerias estén incrustadas de la forma que lo están en el SO puede suponer una posible vulnerabilidad.
Espero haber aclarado mi punto de vista. Saludos...
Ya, te entiendo, lo de "paranoico" no lo decía con mala intención, si no que si nos ponemos así con todo, no podríamos hacer nada. Relacionado con eso está el tema de la privacidad, que hoy en día en internet es muy difícil de conseguir, a no ser que te montes tus propios servidores de correos, utilices Tor siempre, y demás medidas para mantener tu privacidad. Pero como digo, en internet casi siempre vas a tener que depender de terceros, y que no sabes lo que hacen con tus datos.
Estuve mirando noticias sobre lo de OpenBSD, y como siempre, hay discordancias en lo que se dice según la fuente, pero algunas coinciden en que sólo fue para desacreditar a OpenBSD y el mismo líder del proyecto lo dijo en un mail ( https://www.readwriteweb.com/enterprise/2010/12/did-the-fbi-build-backdoors-in.php ), aunque si sale un twitt de un agente de la FBI diciendo que sí que lo intentaron pero que al final "no tuvieron éxito". Además sale algo importante y es que serían partes con blobs binarios, los cuales son eliminados en el kernel-libre en Trisquel (y con OpenBSD creo que tampoco incluyen blobs binarios en la rama principal del kernel). No sé, es un caso un poco extraño pero evidentemente no tengo ninguna duda de que pasara eso.
Volviendo al tema de SELinux, insisto: creo que está en el kernel desde 2004 (rama 2.6), y ya desde su primera versión en el 2000 fue liberado bajo GPL, así que dudo que no se descubriera con tantos ojos que revisan el kernel.
Como ejemplo, hace unos años hubo un problema muy grave con ssh en Debian que permitía a otra gente acceder a tu máquina de forma sencilla (o alo así era), y al mismo día ya avisaran a la comunidad y al día siguiente con una actualización corrigiendo el problema (que era que alguién había eliminado una línea o algo parecido).
Lo de quitar esos paquetes dudo que se pueda hacer, ya que si tiene tantas aplicaciones dependientes... Aunque eso ya es cosa de los desarrolladores.
Y, haciendo como te dije, recompilando el kernel excluyendo SELinux, no es que lo deshabilite, si no que ya lo quita del kernel. Es como si quitaras del kernel el soporte para sata y así después ya no te detectaría el disco duro.
Saludos
hola
yo no tengo muchos conocimientos, pero visto todo el software espia que lleva todo, sobre todo telefonos, ordenadores, y hasta batidoras, ya, yo estoy acojonado.
va a resultar que al final vamos a estar monitorizados en todo momento y geoposicionados, y si te sales de camino establecido , salta una alarma en la central del fbi en eeuu y en 10 minutos ya te han empapelado.
por fabor, ¿donde hay un sistema operativo autenticamente limpio?
yo en mi modesta opinion, creo que no lo hay.
de echo las placas base usan firmware privativo, si ese firware ya tiene una blach door, que mas te da usar windows o linux, si ya estas monitorizado.
que mas te da usar los servidores de TOR si ya te monitoriza tu ISP directamente en una log, como dijo telefonica. al final es muy dificil escapar.
otro tema es tener un ordenador preparado para eso. y no meter ni un dato ni una foto, haberlo pagado con dinero, hacerte todos los correos nuevos y no tener a ningun amigo agregado ni familiar, y conectarte en una conexion publica, asi puede ser que permanezcas anonimo, pero si te pones linux y despues tienes un iphone o android con software espia instalado de serie, o te pones whatś app, que te graba todos los telefonos y te hace logs comprimidas y no sabemos si las envia a algun sitio. estas jodido.
yo creo que los principales esfuerzos deberian ir hacia crear un firmware libre para las placas base, y totalmente limpio y despues ya depuramos mas los sistemas operativos.
al final ser autenticamente libre es estar aislado.
eso no quita que si vemos algun archivo espia y lo podemos quitar, pues mejor. uno menos que nos espia.
segir asi, que hay que limpiar el mundo de spyware.
saludos y gracias.
Gracias de nuevo por vuestros comentarios.
Khany, no me molestó tu anterior comentario en absoluto, y si, reconozco que en esto de la seguridad soy un poco paranoico. De hecho, la vuelta que le doy a lo del MAC (Mandatory access control) en mi comentario anterior, lo es (¿o no?). Podemos ver la definión de MAC, que se aplica a otros sistemas de seguridad aparte de SELinux.
En 'http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html' hay una buena comparativa de los diversos sistemas de seguridad. Si uno está desarrollado por quienes ya hemos comentado, otro por Novell, y un tercero es GPL, ¿por que no implementar este último en Trisquel?, ya que he visto que AppArmor se encuentra también casi completamente instalado por defecto en Trisquel (lo cual responde a una de las cuestiones que ponía en mi 1er post, ya que si AppArmor está activo, no lo puede estar SELinux). Intentaré averiguar "como de incrustado" está AppArmor, ya que las librerias de SELinux es IMPOSIBLE desinstalarlas. Quizá esto sea uno de los inconvenientes de hacer una distribución libre derivada de una no libre.
En cuanto a lo de la "empresa de Mulder y Scully", pues que como mínimo tienen mucho morro. Recuerdo cuando sacaron un morphing entre una foto de un político español y otra de OBL (lo pongo así, en siglas, por lo de las máquinas de rastreo de Internet), y ante las lógicas protestas del 1er afectado, dijeron que no, que eran fotos que habian sacado de un buscador de internet (?), y demás, como si hubiera algún buscador que pudiera buscar por fotos (??)...
Bueno, no quiero apartarme del tema. Como bien dice alvarez72, esta es la lucha de los SSOO libres, conseguir alguno 100% limpio, y el tema de Stallman en la mayoría de sus discursos. Cuando alguien como él que lleva en la brecha todos estos años, insiste tanto en el tema (y que mucha gente lo acusa también de paranoico, yo no), es porque sabe de lo que está hablando, y no de una simple filosofia (que también) acerca de lo libre y lo privativo.
Como botón de muestra, os contaré una anécdota que me pasó hace unos pocos años utilizando Debian. Yo tenía muy poca experiencia en Linux, y tenía algunas vulnerabilidades en el sistema porque había estado intentando dias atrás instalar NX, y no me funcionaba bién. Pero estando navegando con el Iceweasel por la web de Debian, de pronto se oscurece la pantalla y me sale la petición de contraseña que sale cuando se activa el bloqueo de pantalla del salvapantallas... ¡sin tenerlo yo activado!. Inmediatamente apagué el ADSL, y desinstalé Debian, claro... Y es que se dice que los mejores hackers utilizan Debian, y también, que a muchos de ellos los tienen en nómina alguna Agencia.
Gracias por vuestros comentarios. Probaré lo que he dicho en este post un poco mas atras, y prometo contaros lo que averigue.
Saludos.