Deberías desactivar SELinux en tu distribución de Linux basada en Red Hat

En vista de los problemas recientes con CentOS y la creación de nuevas distribuciones derivadas, es probable que haya un gran porcentaje de administradores migrando a una distribución Linux basada en Red Hat Enterprise Linux de alguna forma u otra. Puede ser Rocky Linux o AlmaLinux. Puede que te mantengas con CentOS Stream o incluso compres una licencia de Red Hat Enterprise Linux. Si eres una organización sin fines de lucro u otra entidad elegible, es posible que califiques para usar RHEL for Open Source Infrastructure.

No importa qué camino elijas, estarás utilizando una sólida distribución Linux con sistemas de seguridad serios implementados.

Sin embargo... Es una palabra tan poderosa, "sin embargo". Detiene todo flujo natural de la narrativa y te hace preguntarte qué viene a continuación.

Esperas, y esperas, y esperas.

Hasta lo inevitable: SELinux.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Tu modo de elección
  2. ¿Pero... permisivo?
  3. ¿Pero por qué?
  4. Es complicado

Tu modo de elección

Si has utilizado una distribución Linux basada en Red Hat y has descubierto que SELinux está impidiendo el correcto funcionamiento de lo que estás intentando hacer, ¿qué haces?

  • ¿Dedicas el tiempo necesario para que tu proyecto funcione con SELinux?

  • ¿Configuras SELinux en modo Permisivo para ayudar a solucionar el problema?

  • ¿Desactivas SELinux?

Entiendo tu frustración. No puedo contarte cuántas veces he estado trabajando en CentOS y me he encontrado con que SELinux impide que la herramienta que estoy utilizando funcione correctamente. Probablemente te has encontrado en la misma situación. Después de investigar un poco, descubres la verdadera complejidad de SELinux. En un acto de desesperación, desactivas SELinux y finalmente todo funciona como debería.

En resumen, aunque configurar SELinux no es fácil, desactivarlo sí lo es.

Cómo proteger tu computadora de los virus: métodos y consejos

Sin embargo...

Si esa distribución Linux forma parte de tu centro de datos, necesitarás la máxima seguridad que puedas obtener. Deshabilitar una de las herramientas de seguridad más poderosas de un sistema operativo va en contra de esa necesidad.

El tiempo de tener SELinux desactivado o en modo Permisivo ha terminado. Vivimos en una época en la que los sistemas (importantes sistemas) son hackeados a diario, y eso solo empeorará. Por tanto, tus sistemas necesitan toda la protección disponible.

El argumento debería terminar ahí, pero no lo hace.

¿Pero... permisivo?

Entiendo tu confusión. Está claro que "desactivado" no debería ser una opción para máquinas en producción. Pero, ¿qué tiene de malo el modo permisivo de vez en cuando? Permíteme explicarlo.

Cuando configuras SELinux en modo Permisivo, desactivas una de las características clave del sistema y expandes la superficie de ataque del sistema operativo. El modo Permisivo significa que SELinux está ejecutándose pero no se aplica. Es posible que pienses que el modo permisivo es un punto intermedio para tu sistema, pero no lo es. La única diferencia entre Desactivado y Permisivo es que Permisivo mantiene SELinux ejecutándose y registra todas las acciones de Access Vector Cache. En otras palabras, el modo Permisivo permite, pero registra todo.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Como habrás imaginado, el modo Permisivo es excelente para la solución de problemas. Si bien no previene que tu aplicación o servicio se ejecute, te proporcionará mucha información sobre por qué hubiera sido impedido si SELinux estuviera en modo de aplicación. Es perfectamente aceptable configurar SELinux en modo Permisivo durante las pruebas, pero una vez que hayas identificado el problema, es hora de establecer el sistema de seguridad en modo de aplicación.

¿Pero por qué?

La respuesta es simple: seguridad. Recuerda, SELinux es un módulo de seguridad del kernel de Linux que proporciona el mecanismo necesario para implementar políticas de control de acceso, que incluyen Controles de Acceso Obligatorio. Con SELinux en su lugar, tienes un mayor control sobre quién o qué tiene acceso a tu sistema a través de políticas de seguridad. Es un enfoque muy detallado para la seguridad del sistema, pero como muchos han descubierto, no es exactamente el sistema más fácil de configurar. Aún así, vale la pena dedicar tiempo y esfuerzo para comprenderlo.

Configurar SELinux en Desactivado o Permisivo es fácil, pero estamos hablando de la seguridad de tu servidor o red local. No es el lugar para tomar el camino fácil. Con SELinux en su lugar, si despliegas un servidor web que permite a un atacante obtener acceso, SELinux impedirá que ese atacante acceda a cualquier archivo que el servidor web no deba ver.

Es complicado

Entiendo, realmente lo entiendo. Durante mucho tiempo, configuraba SELinux en modo Permisivo o incluso lo desactivaba por completo. Necesitaba que las cosas funcionaran y SELinux hacía un buen trabajo impidiendo que eso sucediera. Además, cuando tienes tantas tareas que hacer durante el día, no puedes pasar constantemente tiempo resolviendo problemas con un sistema de seguridad que siempre parece estar en tu camino. Por eso, a veces el camino más fácil es el único viable. Después de todo, tienes una cantidad considerable de tareas que atender.

En un futuro cercano, haré una serie sobre SELinux para intentar que el sistema sea un poco más fácil de entender. Hasta entonces, no te rindas ante la complicación. Mantén SELinux configurado en modo de aplicación en tus máquinas en producción. Si estás trabajando en un entorno de prueba, Permisivo o Desactivado está bien, siempre y cuando el objetivo sea finalmente tener tu software o servicios en modo de aplicación.

SELinux puede ser todo un desafío, pero la seguridad adicional que obtienes a cambio del esfuerzo bien vale la pena. Dedica tiempo, investiga y tus sistemas disfrutarán de un nivel superior de seguridad en última instancia.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Suscríbete al canal de YouTube de Newsmatic "How To Make Tech Work" para obtener los consejos tecnológicos más recientes para profesionales de negocios de Jack Wallen.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Deberías desactivar SELinux en tu distribución de Linux basada en Red Hat , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.