SlideShare une entreprise Scribd logo

Entendendo o SELinux: Security Enhanced Linux - Jeronimo Zucco

Tchelinux
Tchelinux

O documento apresenta uma introdução ao Security Enhanced Linux (SELinux), discutindo sua motivação, arquitetura e modelos de políticas. É apresentada uma agenda com os tópicos a serem abordados, incluindo definição de SELinux, modelos de controle de acesso, histórico, políticas de segurança, criação e manutenção de políticas e demonstração prática.

Technologie
1  sur  31
Télécharger pour lire hors ligne
Entendendo o SELinux Security Enhanced Linux Jeronimo Zucco jczucco@gmail.com Tchelinux ­   
Agenda ● Introdução e Motivação ● Definição ● Modelos de Controles de Acesso – DAC e MAC ● SELinux – Histórico – Arquitetura – Políticas de Segurança Strict, Targeted, MLS e MCS Tchelinux ­   
Agenda ● SELinux – Criação e Manutenção de Políticas – Administração ● Demonstração Prática ● Conclusões ● Referências Tchelinux ­   
Introdução e Motivação ● Incidentes de Segurança: – Complexidade das aplicações; – Elevação de privilégios; – Código móvel; – Zero-days; – Políticas de atualizações; – Inevitabilidade de falha: “The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments” http://www.nsa.gov/selinux/papers/inevitability Tchelinux ­   
DAC – Controle de Acesso Discricionário ● Modelo mais popular. ● Administradores e não-administradores; ● Delegações; ● Usuários = Programas (processos) Tchelinux ­   
Problemas no DAC ● Usuários: admin ou não-admin; ● Princípio do menor privilégio difícil de aplicar; ● Serviços que só rodam como super usuário; ● Herança de poderes de acesso; ● Definições de acessos por usuário e não por programa; ● Assume que todos os programas são confiáveis e sem falhas. Tchelinux ­   
MAC – Controle de Acesso Mandatório Tchelinux ­   
MAC – Controle de Acesso Mandatório ● Sistema define a política de acesso; ● Sujeitos (usuários) não pode conceder direitos; ● Sujeitos (programas) não podem conceder direitos (vírus, trojans, por exemplo); ● P(S,O,A) -> {accept,deny} Tchelinux ­   
DAC vs MAC DAC MAC ● Dono do objeto possui poder ● Dono do objeto PODE ter total sobre ele; algum poder sobre ele; ● Confiança completa nos ● Somente confia no usuários; administrador da política; ● Decisões de acesso são ● Objetos e processos podem baseadas somente no user- possuir IDs; id e permissões do objeto; ● Possibilita controle do fluxo ● Impossível de controlar o de dados; fluxo de dados; Tchelinux ­   
DAC vs MAC Tchelinux ­   
Security-Enhanced Linux ● Desenvolvido pela National Security Agency (NSA) e Secure Computing Corporation para uso das tecnologias MAC (Flask); ● Classes B1 e superiores da TC-SEC Tchelinux ­   
SELinux - Objetivos ● Isolamento das aplicações; ● Controle do fluxo de informações; ● Confidencialidade; ● Integridade; ● Auto-proteção; ● Menor privilégio; ● Separação de papéis; Tchelinux ­   
SELinux - Desenvolvimento Tchelinux ­   
SELinux e LSM ● LSM (Linux Security Modules) – 2001 Linux Kernel Summit Tchelinux ­   
SELinux - Arquitetura Tchelinux ­   
SELinux - Elementos ● Objetos ● Sujeitos ● Ações / Permissões ● Política Tchelinux ­   
SELinux – Contextos de Segurança ● Identidade ● Papel ● Tipo / Domínio ● Nível de Segurança Tchelinux ­   
SeLinux – Decisões de Acesso ● Tudo é negado por padrão ● Regras de Allow, Auditallow e Dontaudit Tchelinux ­   
SELinux – Decisões de Transição Tchelinux ­   
SELinux - Política Tchelinux ­   
SELinux - Política Tchelinux ­   
SELinux – Política Strict ● Para cada tipo de acesso de cada processo para cada arquivo deverá existir ao menos uma regra na política, senão o acesso será negado; ● Complexidade alta; ● Programas não suportados; ● Problemas no início do uso do SELinux Tchelinux ­   
SELinux – Política Targeted ● Domínio unconfined_t; ● Política padrão atual; ● Várias aplicações suportadas Tchelinux ­   
SELinux – Política MLS ● Política Strict + Níveis (modelo BLP); ● Mais dois campos no contexto de segurança: – sensibilidade: confidencial, secreto, etc (hierarquia) – categoria: classificação não hierarquica ● Órgãos do governo e militares Tchelinux ­   
SELinux – Política MCS ● Subconjunto do MLS ● Nível de sensibilidade não utilizado Tchelinux ­   
SELinux – Customização da Política ● Política de referência; ● Variáveis booleanas; ● Políticas Modulares; ● Utilitários para geração de políticas Tchelinux ­   
SELinux - Administração ● enforcing, permissive, disabled Tchelinux ­   
SELinux – Customização da Política Tchelinux ­   
SELinux - Demonstração Tchelinux ­   
Conclusões ● Viável para uso em servidores com aplicações comuns; ● Possibilidades de uso futuras; ● Não precisa de intervenção para uso comum; ● Segurança Pró-ativa; ● Software Livre ! Tchelinux ­   
SELinux - Referências ● http://jczucco.googlepages.com/selinux.html ● http://selinuxnews.org/planet/ ● http://www.redhat.com/docs/manuals/enterprise/ RHEL-5-manual/Deployment_Guide-en- US/selg-overview.html ● http://mdious.fedorapeople.org/drafts/html/ ● http://delicious.com/jczucco/selinux Tchelinux ­   

Recommandé

Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Seguranca De Redes
Seguranca De RedesSeguranca De Redes
Seguranca De RedesCampus Party Brasil
 
Aula 02 Segurança e Autorização
Aula 02 Segurança e AutorizaçãoAula 02 Segurança e Autorização
Aula 02 Segurança e AutorizaçãoFranklin Matos Correia
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Dreamweaver - Site - Signos do Zodíaco
Dreamweaver - Site - Signos do ZodíacoDreamweaver - Site - Signos do Zodíaco
Dreamweaver - Site - Signos do Zodíacoprapina
 
INK JOURNAL 2016 FINAL SPREADS
INK JOURNAL 2016 FINAL SPREADSINK JOURNAL 2016 FINAL SPREADS
INK JOURNAL 2016 FINAL SPREADSAimee Dewar
 

Recommandé

Entendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced LinuxEntendendo o SELinux - Security Enhanced Linux
Entendendo o SELinux - Security Enhanced Linuxguest8881fe2a
 
Seguranca De Redes
Seguranca De RedesSeguranca De Redes
Seguranca De RedesCampus Party Brasil
 
Aula 02 Segurança e Autorização
Aula 02 Segurança e AutorizaçãoAula 02 Segurança e Autorização
Aula 02 Segurança e AutorizaçãoFranklin Matos Correia
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Dreamweaver - Site - Signos do Zodíaco
Dreamweaver - Site - Signos do ZodíacoDreamweaver - Site - Signos do Zodíaco
Dreamweaver - Site - Signos do Zodíacoprapina
 
INK JOURNAL 2016 FINAL SPREADS
INK JOURNAL 2016 FINAL SPREADSINK JOURNAL 2016 FINAL SPREADS
INK JOURNAL 2016 FINAL SPREADSAimee Dewar
 
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...guest80b54b
 
Tecnologias no brasil
Tecnologias no brasilTecnologias no brasil
Tecnologias no brasilfirbidacleiton
 
A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)PetistaArrependido
 
Trabalho de corpo 2010
Trabalho de corpo 2010Trabalho de corpo 2010
Trabalho de corpo 2010carinamagalhaes5
 
06 enfermedades transmision_sexual
06 enfermedades transmision_sexual06 enfermedades transmision_sexual
06 enfermedades transmision_sexualMocte Salaiza
 
João Destro slide
João Destro slideJoão Destro slide
João Destro slideWebgenium
 
14parasitosis 1216203656750917-9
14parasitosis 1216203656750917-914parasitosis 1216203656750917-9
14parasitosis 1216203656750917-9Mocte Salaiza
 
Seminario glauce
Seminario glauceSeminario glauce
Seminario glauceAnne Mari
 
02 insuficiencia cardiaca
02 insuficiencia cardiaca02 insuficiencia cardiaca
02 insuficiencia cardiacaMocte Salaiza
 
Tecnologias no brasil
Tecnologias no brasilTecnologias no brasil
Tecnologias no brasilfirbidacleiton
 
Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010guestcf3b22
 
AIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGROAIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGROdancp30
 
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoDesenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoTchelinux
 
Tecnologias no Brasil
Tecnologias no BrasilTecnologias no Brasil
Tecnologias no BrasilMicheleEliasSilva
 
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé LeiteComo ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé LeiteTchelinux
 
Aeonflux
AeonfluxAeonflux
Aeonfluxtianany2
 
C:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis PublicarC:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis PublicarEscola EB123 de Peniche
 
Invitacion
InvitacionInvitacion
InvitacionJulio Parkes Nuñez
 
Diabetes mellitus 1a clase
Diabetes mellitus 1a claseDiabetes mellitus 1a clase
Diabetes mellitus 1a claseMocte Salaiza
 
OpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina HaesbaertOpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina HaesbaertTchelinux
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Seguranca Software Livre
Seguranca Software LivreSeguranca Software Livre
Seguranca Software LivreHelio Marques
 

Contenu connexe

En vedette

Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...guest80b54b
 
A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)PetistaArrependido
 
06 enfermedades transmision_sexual
06 enfermedades transmision_sexual06 enfermedades transmision_sexual
06 enfermedades transmision_sexualMocte Salaiza
 
João Destro slide
João Destro slideJoão Destro slide
João Destro slideWebgenium
 
14parasitosis 1216203656750917-9
14parasitosis 1216203656750917-914parasitosis 1216203656750917-9
14parasitosis 1216203656750917-9Mocte Salaiza
 
Seminario glauce
Seminario glauceSeminario glauce
Seminario glauceAnne Mari
 
02 insuficiencia cardiaca
02 insuficiencia cardiaca02 insuficiencia cardiaca
02 insuficiencia cardiacaMocte Salaiza
 
Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010guestcf3b22
 
AIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGROAIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGROdancp30
 
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoDesenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoTchelinux
 
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé LeiteComo ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé LeiteTchelinux
 
C:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis PublicarC:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis PublicarEscola EB123 de Peniche
 
Diabetes mellitus 1a clase
Diabetes mellitus 1a claseDiabetes mellitus 1a clase
Diabetes mellitus 1a claseMocte Salaiza
 
OpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina HaesbaertOpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina HaesbaertTchelinux
 

En vedette (20)

Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
Web 2.0 - Palestra na Universidade Federal de Sergipe - por @Gabrieleite | #p...
 
Tecnologias no brasil
Tecnologias no brasilTecnologias no brasil
Tecnologias no brasil
 
A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)A farra na casa da Dinda (Marisa)
A farra na casa da Dinda (Marisa)
 
Trabalho de corpo 2010
Trabalho de corpo 2010Trabalho de corpo 2010
Trabalho de corpo 2010
 
06 enfermedades transmision_sexual
06 enfermedades transmision_sexual06 enfermedades transmision_sexual
06 enfermedades transmision_sexual
 
João Destro slide
João Destro slideJoão Destro slide
João Destro slide
 
14parasitosis 1216203656750917-9
14parasitosis 1216203656750917-914parasitosis 1216203656750917-9
14parasitosis 1216203656750917-9
 
Seminario glauce
Seminario glauceSeminario glauce
Seminario glauce
 
02 insuficiencia cardiaca
02 insuficiencia cardiaca02 insuficiencia cardiaca
02 insuficiencia cardiaca
 
Tecnologias no brasil
Tecnologias no brasilTecnologias no brasil
Tecnologias no brasil
 
Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010Second life, Web, Primeira Vida Sjeec 2010
Second life, Web, Primeira Vida Sjeec 2010
 
AIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGROAIP - CRT PRESENTE EN EL II DIA DEL LOGRO
AIP - CRT PRESENTE EN EL II DIA DEL LOGRO
 
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoDesenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
 
Tecnologias no Brasil
Tecnologias no BrasilTecnologias no Brasil
Tecnologias no Brasil
 
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé LeiteComo ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
Como ajudar no desenvolvimento do kernel Linux? - Fábio Olivé Leite
 
Aeonflux
AeonfluxAeonflux
Aeonflux
 
C:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis PublicarC:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
C:\Fakepath\Trabalho De Ap Andre E Joao Luis Publicar
 
Invitacion
InvitacionInvitacion
Invitacion
 
Diabetes mellitus 1a clase
Diabetes mellitus 1a claseDiabetes mellitus 1a clase
Diabetes mellitus 1a clase
 
OpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina HaesbaertOpenMdns: Design e Implementação - Christiano Farina Haesbaert
OpenMdns: Design e Implementação - Christiano Farina Haesbaert
 

Similaire à Entendendo o SELinux: Security Enhanced Linux - Jeronimo Zucco

Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Seguranca Software Livre
Seguranca Software LivreSeguranca Software Livre
Seguranca Software LivreHelio Marques
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLfgsl
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro BennatonLeandro Bennaton
 
SE Linux For Everyday SysAdmins
SE Linux For Everyday SysAdminsSE Linux For Everyday SysAdmins
SE Linux For Everyday SysAdminsUlisses Castro
 
SELinux for Everyday SysAdmins - FISL 10
SELinux for Everyday SysAdmins - FISL 10SELinux for Everyday SysAdmins - FISL 10
SELinux for Everyday SysAdmins - FISL 10guest552ebe
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
WEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TIWEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TISymantec Brasil
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Palestra - Fitem 2009 - Ferramentas de segurança OpenSource
Palestra - Fitem 2009 - Ferramentas de segurança OpenSourcePalestra - Fitem 2009 - Ferramentas de segurança OpenSource
Palestra - Fitem 2009 - Ferramentas de segurança OpenSourceLuiz Arthur
 
Aula 2 introdução a sistemas distribuídos
Aula 2 introdução a sistemas distribuídosAula 2 introdução a sistemas distribuídos
Aula 2 introdução a sistemas distribuídosEduardo de Lucena Falcão
 

Similaire à Entendendo o SELinux: Security Enhanced Linux - Jeronimo Zucco (20)

Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Seguranca Software Livre
Seguranca Software LivreSeguranca Software Livre
Seguranca Software Livre
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton
 
SE Linux For Everyday SysAdmins
SE Linux For Everyday SysAdminsSE Linux For Everyday SysAdmins
SE Linux For Everyday SysAdmins
 
SELinux for Everyday SysAdmins - FISL 10
SELinux for Everyday SysAdmins - FISL 10SELinux for Everyday SysAdmins - FISL 10
SELinux for Everyday SysAdmins - FISL 10
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de Segurança
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Sd capitulo01
Sd capitulo01Sd capitulo01
Sd capitulo01
 
WEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TIWEBINAR BE AWARE - Gerenciando os ativos de TI
WEBINAR BE AWARE - Gerenciando os ativos de TI
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Palestra - Fitem 2009 - Ferramentas de segurança OpenSource
Palestra - Fitem 2009 - Ferramentas de segurança OpenSourcePalestra - Fitem 2009 - Ferramentas de segurança OpenSource
Palestra - Fitem 2009 - Ferramentas de segurança OpenSource
 
Aula 2 introdução a sistemas distribuídos
Aula 2 introdução a sistemas distribuídosAula 2 introdução a sistemas distribuídos
Aula 2 introdução a sistemas distribuídos
 

Plus de Tchelinux

Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...
Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...
Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...Tchelinux
 
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeInsegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeTchelinux
 
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...Tchelinux
 
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...Tchelinux
 
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio Grande
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio GrandeMe formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio Grande
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio GrandeTchelinux
 
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...Tchelinux
 
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...Tchelinux
 
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...Tchelinux
 
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...Tchelinux
 
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio Grande
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio GrandeConstruindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio Grande
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio GrandeTchelinux
 
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio Grande
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio GrandeBikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio Grande
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio GrandeTchelinux
 
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...Tchelinux
 
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...Tchelinux
 
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...Tchelinux
 
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019Tchelinux
 
Com que ônibus eu vou? Uma gentil introdução ao Python.
Com que ônibus eu vou? Uma gentil introdução ao Python.Com que ônibus eu vou? Uma gentil introdução ao Python.
Com que ônibus eu vou? Uma gentil introdução ao Python.Tchelinux
 
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.O TCC... um dia ele chega! (The beautiful and easy LaTeX way.
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.Tchelinux
 
Não deixe para testar depois o que você pode testar antes.
Não deixe para testar depois o que você pode testar antes. Não deixe para testar depois o que você pode testar antes.
Não deixe para testar depois o que você pode testar antes. Tchelinux
 
Desenvolvendo jogos com pygame
Desenvolvendo jogos com pygameDesenvolvendo jogos com pygame
Desenvolvendo jogos com pygameTchelinux
 
Essa câmera faz fotos muito boas, né?
Essa câmera faz fotos muito boas, né?Essa câmera faz fotos muito boas, né?
Essa câmera faz fotos muito boas, né?Tchelinux
 

Plus de Tchelinux (20)

Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...
Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...
Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...
 
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeInsegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
 
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...
 
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...
 
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio Grande
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio GrandeMe formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio Grande
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio Grande
 
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...
 
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...
 
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...
 
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...
 
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio Grande
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio GrandeConstruindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio Grande
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio Grande
 
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio Grande
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio GrandeBikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio Grande
Bikeshedding - Márcio Josué Ramos Torres - Tchelinux 2019 Rio Grande
 
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...
 
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...
 
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...
 
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019
 
Com que ônibus eu vou? Uma gentil introdução ao Python.
Com que ônibus eu vou? Uma gentil introdução ao Python.Com que ônibus eu vou? Uma gentil introdução ao Python.
Com que ônibus eu vou? Uma gentil introdução ao Python.
 
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.O TCC... um dia ele chega! (The beautiful and easy LaTeX way.
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.
 
Não deixe para testar depois o que você pode testar antes.
Não deixe para testar depois o que você pode testar antes. Não deixe para testar depois o que você pode testar antes.
Não deixe para testar depois o que você pode testar antes.
 
Desenvolvendo jogos com pygame
Desenvolvendo jogos com pygameDesenvolvendo jogos com pygame
Desenvolvendo jogos com pygame
 
Essa câmera faz fotos muito boas, né?
Essa câmera faz fotos muito boas, né?Essa câmera faz fotos muito boas, né?
Essa câmera faz fotos muito boas, né?
 

Entendendo o SELinux: Security Enhanced Linux - Jeronimo Zucco

  • 1. Entendendo o SELinux Security Enhanced Linux Jeronimo Zucco jczucco@gmail.com Tchelinux ­   
  • 2. Agenda ● Introdução e Motivação ● Definição ● Modelos de Controles de Acesso – DAC e MAC ● SELinux – Histórico – Arquitetura – Políticas de Segurança Strict, Targeted, MLS e MCS Tchelinux ­   
  • 3. Agenda ● SELinux – Criação e Manutenção de Políticas – Administração ● Demonstração Prática ● Conclusões ● Referências Tchelinux ­   
  • 4. Introdução e Motivação ● Incidentes de Segurança: – Complexidade das aplicações; – Elevação de privilégios; – Código móvel; – Zero-days; – Políticas de atualizações; – Inevitabilidade de falha: “The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments” http://www.nsa.gov/selinux/papers/inevitability Tchelinux ­   
  • 5. DAC – Controle de Acesso Discricionário ● Modelo mais popular. ● Administradores e não-administradores; ● Delegações; ● Usuários = Programas (processos) Tchelinux ­   
  • 6. Problemas no DAC ● Usuários: admin ou não-admin; ● Princípio do menor privilégio difícil de aplicar; ● Serviços que só rodam como super usuário; ● Herança de poderes de acesso; ● Definições de acessos por usuário e não por programa; ● Assume que todos os programas são confiáveis e sem falhas. Tchelinux ­   
  • 7. MAC – Controle de Acesso Mandatório Tchelinux ­   
  • 8. MAC – Controle de Acesso Mandatório ● Sistema define a política de acesso; ● Sujeitos (usuários) não pode conceder direitos; ● Sujeitos (programas) não podem conceder direitos (vírus, trojans, por exemplo); ● P(S,O,A) -> {accept,deny} Tchelinux ­   
  • 9. DAC vs MAC DAC MAC ● Dono do objeto possui poder ● Dono do objeto PODE ter total sobre ele; algum poder sobre ele; ● Confiança completa nos ● Somente confia no usuários; administrador da política; ● Decisões de acesso são ● Objetos e processos podem baseadas somente no user- possuir IDs; id e permissões do objeto; ● Possibilita controle do fluxo ● Impossível de controlar o de dados; fluxo de dados; Tchelinux ­   
  • 11. Security-Enhanced Linux ● Desenvolvido pela National Security Agency (NSA) e Secure Computing Corporation para uso das tecnologias MAC (Flask); ● Classes B1 e superiores da TC-SEC Tchelinux ­   
  • 12. SELinux - Objetivos ● Isolamento das aplicações; ● Controle do fluxo de informações; ● Confidencialidade; ● Integridade; ● Auto-proteção; ● Menor privilégio; ● Separação de papéis; Tchelinux ­   
  • 14. SELinux e LSM ● LSM (Linux Security Modules) – 2001 Linux Kernel Summit Tchelinux ­   
  • 16. SELinux - Elementos ● Objetos ● Sujeitos ● Ações / Permissões ● Política Tchelinux ­   
  • 17. SELinux – Contextos de Segurança ● Identidade ● Papel ● Tipo / Domínio ● Nível de Segurança Tchelinux ­   
  • 18. SeLinux – Decisões de Acesso ● Tudo é negado por padrão ● Regras de Allow, Auditallow e Dontaudit Tchelinux ­   
  • 19. SELinux – Decisões de Transição Tchelinux ­   
  • 22. SELinux – Política Strict ● Para cada tipo de acesso de cada processo para cada arquivo deverá existir ao menos uma regra na política, senão o acesso será negado; ● Complexidade alta; ● Programas não suportados; ● Problemas no início do uso do SELinux Tchelinux ­   
  • 23. SELinux – Política Targeted ● Domínio unconfined_t; ● Política padrão atual; ● Várias aplicações suportadas Tchelinux ­   
  • 24. SELinux – Política MLS ● Política Strict + Níveis (modelo BLP); ● Mais dois campos no contexto de segurança: – sensibilidade: confidencial, secreto, etc (hierarquia) – categoria: classificação não hierarquica ● Órgãos do governo e militares Tchelinux ­   
  • 25. SELinux – Política MCS ● Subconjunto do MLS ● Nível de sensibilidade não utilizado Tchelinux ­   
  • 26. SELinux – Customização da Política ● Política de referência; ● Variáveis booleanas; ● Políticas Modulares; ● Utilitários para geração de políticas Tchelinux ­   
  • 27. SELinux - Administração ● enforcing, permissive, disabled Tchelinux ­   
  • 28. SELinux – Customização da Política Tchelinux ­   
  • 30. Conclusões ● Viável para uso em servidores com aplicações comuns; ● Possibilidades de uso futuras; ● Não precisa de intervenção para uso comum; ● Segurança Pró-ativa; ● Software Livre ! Tchelinux ­   
  • 31. SELinux - Referências ● http://jczucco.googlepages.com/selinux.html ● http://selinuxnews.org/planet/ ● http://www.redhat.com/docs/manuals/enterprise/ RHEL-5-manual/Deployment_Guide-en- US/selg-overview.html ● http://mdious.fedorapeople.org/drafts/html/ ● http://delicious.com/jczucco/selinux Tchelinux ­