Uso di SELinux per isolare uno scanner AV binario solo facendo il suo lavoro, scansionando e rilevando

1

Questa domanda è "sarebbe possibile" piuttosto che un "come".

SELinux può isolare uno scanner AV binario, Kaspersky Endpoint Security per Linux per un esempio, per fare solo ciò che si deve fare che è scansionare (leggere) e rilevare?

Immagina di installare Kaspersky su un computer estremamente sensibile. La perdita di informazioni sulla macchina potrebbe causare gravi danni. Kaspersky, pur essendo uno scanner antivirus estremamente affidabile e un'azienda fidata, è ancora un'azienda al di fuori della mia nazione. L'influenza governativa, in questo caso la Russia, potrebbe forzare senza alcuna scelta Kaspersky a caricare codice malevolo tramite normali processi di aggiornamento sulle nostre workstation sensibili, o esportare i file da leggere a casa base esponendo le nostre informazioni. Questi rischi devono essere evitati.

Non sono un esperto di SELinux, ma penserei che sarebbe possibile. Per come la vedo io, bisognerà applicare una coppia di regole, altrimenti verrà applicata da SELinux o meno.

  • Lo scanner AV dovrebbe essere in grado di scrivere su file all'interno della propria directory installata, assicurando che tutto ciò che il programma sta creando possa essere strettamente monitorato e rimosso a piacimento.
  • Lo scanner AV dovrebbe essere in grado di leggere solo i file al di fuori della sua directory installata, non dovrebbe essere consentito creare o eseguire file all'esterno della sua directory installata.
  • Lo scanner AV deve essere monitorato per assicurarsi che non stia esportando i file che sta leggendo su un server remoto.

SELinux è abbastanza flessibile da coprire questi rischi? O è l'unica risposta qui avendo accesso al codice sorgente?

    
posta TrevorKS 02.08.2018 - 14:47
fonte

2 risposte

2

Sì, puoi farlo con SELinux - ma perché mai vorresti ?

I requisiti sembrano saltare la rotta più probabile per la perdita di informazioni e ciò che ha lanciato Kaspersky nei titoli di recente e ha portato a importanti cambiamenti nel modo in cui il software è originato e integrato. Non si fa cenno di limitare l'accesso alla rete. Ancora una volta SELinux è perfettamente in grado di farlo.

The way i see it, a couple rules

Ah, ora arriviamo al punto difficile.

Non un paio di regole. Un sacco di regole.

È relativamente semplice da fare con l'apparmor. O senza MAC, è possibile eseguirlo in chroot con un loop di sola lettura sul file system reale (NFS, Fuse, Overlay) nel proprio spazio dei nomi di rete con le proprie route di rete / iptables.

    
risposta data 02.08.2018 - 17:25
fonte
1

Sì, puoi scrivere una politica SELinux in questo modo, almeno in teoria. Ho scoperto che, in pratica, grandi app binarie come quella vogliono toccare MOLTE cose diverse attorno al sistema operativo e si bloccano quando si tenta di negare l'accesso. Scrivere le politiche di SELinux non è COSÌ difficile come le persone credono - se hai mai scritto regole di iptables o file di configurazione di sendmail, allora è un livello comparabile di complessità. Ci vuole un po 'per afferrare i concetti fondamentali, ma una volta che hai tutto sotto controllo, sapere come scrivere le politiche di SELinux è un'abilità inestimabile che potrai riutilizzare altrove.

    
risposta data 02.08.2018 - 16:59
fonte

Leggi altre domande sui tag