AppArmor vs. SELinux • PORTADA
Los expertos en seguridad de Novell y Red Hat cara a cara con AppArmor y SELinux
APPARMOR VS SELINUX ¿Security Enhanced Linux o AppArmor? Linux Magazine ha invitado a dos personajes bien conocidos de Red Hat y Novell para debatir los méritos de sus sistemas de seguridad. POR ACHIM LEITNER
N
ovell y RedHat están actualmente en plena guerra para establecer sus respectivos productos como sistemas de protección Linux. Mientras RedHat adoptó hace unos años SELinux, Novell ha presentado su sistema de protección AppArmor tras adquirir Immunix. Ambos se presentan con licencia GPL y comparten un objetivo común: hacer que Linux sea más seguro y proporcionar a los administradores un mayor control sobre los privilegios de las aplicaciones. Le hemos pedido a los representantes de Novell y Red Hat que nos expliquen por qué sus sistemas de seguridad son los mejores. Crispin Cowan, que llegó a Novell desde Immunix, nos expondrá primero las ventajas de AppArmor. Luego, Daniel Riek explicará por qué Red Hat apuesta por SELinux.
Crispin Cowan, Novell AppArmor [1] y SELinux comparten los mismos objetivos de mejorar la seguridad de Linux, pero la forma de llevarlo a cabo es dife-
rente. AppArmor proporciona seguridad a nivel de aplicaciones, protegiéndolas contra defectos latentes y protegiendo al sistema completo contra amenazas particulares como los ataques de red, protegiendo a todas las aplicaciones que hacen de interfaz de red. SELinux, por el contrario, se encarga de todo el sistema, incluyendo propiedades como los flujos de información. Paga el precio de la complejidad del software resultante. La restrictiva política que SELinux proporcionó al principio era demasiado estricta para ser útil y por ello se ha ido moviendo hacia un modelo parecido al de AppArmor, con políticas orientadas al objetivo que simulan el modelo de control de acceso por aplicaciones de AppArmor. Ésta última permite a los administradores confinar las aplicaciones en términos
WWW.LINUX- MAGAZINE.ES
familiares: se especifica la aplicación que se desea confinar y los ficheros que van a ser accedidos con sus rutas absolutas, seguidos por los modos familiares de acceso de lectura y escritura. Se pueden realizar autorizaciones de acceso a grupos de ficheros utilizando los comodines típicos de la shell, por ejemplo /home/*/public_html/*.*.html r permite el acceso a todos los ficheros .html en los directorios public_html de todo el mundo. Figura 1: Crispin Cowan: “La simplicidad es el alma de la seguridad…SELinux ha sido diseñado para satisfacer los deseos de la NSA para las políticas complejas arbitrarias a expensas del uso… AppArmor fue diseñado para el uso, conociendo las necesidades de la mayoría de los usuarios Linux”.
Número 22
25