Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par Julien.D le 25 février 2023 à 18:54. Licence CC By‑SA.

Étiquettes :

fév.

2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

Plutôt AppArmor, SELinux, ou GrSecurity ?
Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?

SElinux :
167
(15.5 %)
AppArmor :
156
(14.5 %)
grsecurity :
6
(0.6 %)
capabilities :
18
(1.7 %)
le cloud ! :
24
(2.2 %)
autre (en commentaire) :
14
(1.3 %)
eh ben en fait alors je... rien peut-être ? :
691
(64.2 %)

Total : 1076 votes

La liste des options proposées est volontairement limitée : tout l’intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées ou de l’impossibilité de choisir plusieurs réponses. 76,78 % des personnes sondées estiment que ces sondages sont ineptes.

# 'cune idée!

Posté par Maclag le 26 février 2023 à 00:06. Évalué à 10.

Faut demander aux dévs de ma distro…
- [^] # Re: 'cune idée!
  
  Posté par Dring le 27 février 2023 à 15:29. Évalué à 3. Dernière modification le 27 février 2023 à 15:29.
  Pareil ; j'utilise Fedora, et il a fallu que j'aille voir sur Internet (et un commentaire plus bas) pour savoir que ça activait SELinux par défaut.
  
  Malgré tout, j'étais pas sûr qu'il soit activé (j'utilise Fedora depuis très longtemps par upgrade successifs, donc jamais 100% certain que tout ce qui arrive dans une nouvelle version soit automatiquement activé), donc j'ai tapé la commande magique :
```
sestatus
```
  Et je confirme : j'ai bien SELinux installé et actif.
# SElinux/AppArmor : dans quel environnement ?

Posté par bonseb le 26 février 2023 à 17:00. Évalué à 1.

Question à ceux qui ont répondu SElinux ou AppArmor : perso ou pro ?
Je suis très curieux parce que les ~~quelques~~ rares fois où j'ai été confronté à l'application de l'un ou l'autre dans un contexte professionnel pour des centaines de serveurs, la question a très vite été balayée. Trop compliqué et trop contraignant.
- [^] # Re: SElinux/AppArmor : dans quel environnement ?
  
  Posté par Psychofox (Mastodon) le 26 février 2023 à 19:28. Évalué à 6. Dernière modification le 26 février 2023 à 19:30.
  
  Qu'est-ce qui t'empêches d'utiliser selinux dans un contexte professionnel? Dans 99.9% s'il y a un blocage, c'est lié à un contexte(!) mal choisi dans le système de fichier et ça se résoud en 2 minutes.
  
  Les seuls gens que ça bloque sont les mêmes qui te font des chmod 777 partout. Ces personnes là n'ont rien à faire dans l'IT.
  - [^] # Re: SElinux/AppArmor : dans quel environnement ?
    
    Posté par ff9097 le 01 mars 2023 à 10:17. Évalué à 4.
    
    Ce sont des choses complexes arrivés d'un coup dans les distributions sans trop expliquer l'intérêt. Pas étonnant qu'au moindre problème c'est désactivé. Perso je laisse en me disant que c'est mieux mais j'avoue ne pas encore avoir eu le courage d'essayer d'en comprendre l’intérêt
  - [^] # Re: SElinux/AppArmor : dans quel environnement ?
    
    Posté par vaxvms le 03 mars 2023 à 13:44. Évalué à 2.
    
    Beaucoup des docs d'install de logiciels "pro" commencent par "Disable SELinux"
- [^] # Re: SElinux/AppArmor : dans quel environnement ?
  
  Posté par Psychofox (Mastodon) le 26 février 2023 à 19:35. Évalué à 6.
  
  ou un booléen à changer.
  
  J'ajoute que la quantité de serveurs à gérer n'a rien à voir la dedans, tous les outils de gestion de conf que je connais ont des modules pour selinux (et j'imagine apparmor, je connais moins). Exemple:
  
  https://forge.puppet.com/modules/puppetlabs/selinux_core/readme
- [^] # Re: SElinux/AppArmor : dans quel environnement ?
  
  Posté par aiolos le 26 février 2023 à 20:42. Évalué à 3.
  
  J'utilise Fedora en perso et pro, sur des stations de travail, qui est livré avec SELinux. Je n'ai pas souvent à intervenir sur la conf par défaut, mais quand j'ai à le faire (pas plus tard que tout à l'heure, quand j'ai voulu changer le port d'un serveur SSH) j'ai facilement trouvé des ressources avec un rappel des commandes.
- [^] # Re: SElinux/AppArmor : dans quel environnement ?
  
  Posté par Seb le 28 février 2023 à 06:47. Évalué à 4.
  
  J'ai pas énormément bossé avec et je ne suis plus admin sys mais dans l'année j'ai dû debugger un blocage de MySQL par app Armor après un upgrade de distribution et les logs étaient très explicites sur ce qui était bloqué. Du coup résolution rapide même sans grande expertise.
- [^] # Re: SElinux/AppArmor : dans quel environnement ?
  
  Posté par Misc (site web personnel) le 01 mars 2023 à 13:30. Évalué à 6.
  
  Les 2 dans mon cas.
  
  J'ai l'impression que les soucis arrivent surtout quand tu t'éloignes des paquets de la distro et que tu ne sais pas comment ça marche (ou pas le temps). Par exemple, j'ai une forge (gitea et woodpecker) installé directement via les binaires, et par flemme, j'ai mis selinux en permissif, en attendant d'écrire une politique (idéalement à envoyer upstream).
  
  Mais tout les autres serveurs, SElinux est en enforcing, et quand j'ai des soucis, je rapporte les bugs (voir un patch).
  
  Ensuite, c'est sur que si les admins n'ont pas le temps d'apprendre, ni ne voit pas l’intérêt (ou simplement, ne parle pas anglais), ça va être dur. Pour moi "Selinux est trop compliqué, c'est comme "faire un paquet propre, c'est trop compliqué, je vais faire un tarball" ou "j'ouvre tout sur le firewall, c'est trop chiant".
  
  Oui, c'est plus compliqué, mais il y a des bonnes raisons en général.
# Le seul et unique : PyCoinCoin !

Posté par poil oq le 28 février 2023 à 22:18. Évalué à -5.

Coin !
# dac+systemd

Posté par Alex le 02 mars 2023 à 10:50. Évalué à 3.

DAC de base + quelques limitation par systemd, cest pas exhaustif, beaucoup moin complet que les autres solutions, mais moins prise de tête a gérer
- [^] # Re: dac+systemd
  
  Posté par Selso (site web personnel) le 03 mars 2023 à 16:38. Évalué à 2.
  
  J'ai coché le dernier, mais effectivement et par défaut pour tout le monde le DAC.
  Cela évoque du monde de s'ajouter au groupe wheel ou dialout, u un groupe Docker ?
  Avec udev et et systemd on a aussi des bases proposées.
  C'est toujours dispo sur la distribution.
  J'ai lu que app armor était aussi activé sous Ubuntu en mode complain, mais pas constaté sous WSL.
  J'ai l'impression que certains de ces outils sont plus plébiscités par certaines distributions que d'autres ?
  Pas considéré comme une véritable sécurité mais la virtualisation et la containérisation sont aussi des moyens d'isolation.
  
  Est-ce que quelqu'un connaît aussi "Trusted execution environment (TEE)" ?
  
  On utilise tout cela sans vraiment le comprendre c'est dommage (d'un point de vue dev).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.