LinuxWorld Logo
Untitled Document


Quando il Pinguino è corazzato


Il progetto SE Linux evolve: la sicurezza va bene, ora ci vuole semplicità

Non molti lo sanno al di fuori della cerchia degli addetti ai lavori, ma il sistema operativo Linux è stato adottato come base tecnologica dalla National Security Agency statunitense per realizzare un sistema operativo particolarmente robusto e poco vulnerabile agli attacchi. Ora gli sviluppatori del mondo Linux e open source stanno lavorando su questa piattaforma, denominata Security Enhanced Linux (SE Linux), per diffondere la sua adozione anche tra il pubblico più generico dei system manager aziendali.
SE Linux non è una distribuzione Linux in senso convenzionale, è piuttosto un insieme di modifiche al kernel di Linux che limitano l'accesso che le applicazioni possono eseguire alla memoria, ai processori, ai file di configurazione e ad altre componenti critiche di un server o di un pc. Questo livello di controllo, in pratica, concede alle applicazioni solo il minimo indispensabile delle risorse di cui hanno bisogno per essere eseguite. Lo scopo è quello di impedire agli hacker ostili di 'conquistare' o comunque violare un server sfruttando le vulnerabilità del software, bene o mal progettato che sia.
Quando è nato, nel 2000, SE Linux copriva solo una piccola parte delle funzioni offerte dal Pinguino tradizionale. Poi si è man mano esteso e, da circa un anno, prevede anche che gli sviluppatori indipendenti possano 'allineare' le proprie applicazioni con le policy di sicurezza e controllo previste da SE Linux. Un passo importante in questa evoluzione è stata la nascita della SE Linux Reference Policy, un progetto open source legato alla creazione di tool che semplifichino la definizione e la gestione delle policy SE Linux nel software di terze parti. La National Security Agency sta anche lavorando all'adattamento di SE Linux per i pc desktop e alla virtualizzazione di più istanze SE Linux su un singolo server.


Cercare di semplificare

Non è solo la NSA statunitense a pensare a SE Linux. Anche il Governo britannico lo ha adottato in alcuni progetti per aumentare il livello di sicurezza delle infrastrutture basate su application server e Web services. L'adozione di SE Linux è servita a limitare il raggio d'azione degli application server, in special modo a garantire che dialoghino solo con i nodi per cui sono autorizzati, e di conseguenza delle applicazioni J2EE (Java 2 Enterprise Edition) che questi application server gestiscono.
SE Linux è inoltre presente in alcune distribuzioni 'normali' di Linux, ma in modo invisibile perché è disattivato. Le sue policy di protezione del kernel potrebbero, in caso contrario, sconvolgere il funzionamento normale dei processi e delle applicazioni standard, se non bloccarlo del tutto. Al momento la scelta fatta da chi realizza le distribuzioni con SE Linux è in stile 'o tutto o niente': o SE Linux è attivato, o è disattivato completamente.
Non è, per opinione comune, la scelta ideale. Sarebbe meglio poter attivare separatamente diverse 'parti' di SE Linux, controllando quali modifiche queste parti hanno sul comportamento normale delle applicazioni. D'altro canto si vuole evitare che un system manager magari non troppo esperto, vedendo che il suo sistema non si comporta più come prima, cerchi di 'risistemarlo' alla meglio non solo eliminando il livello di sicurezza introdotto da SE Linux, ma anche compromettendo il sistema nel suo complesso.
E' proprio su questa facilità di gestione che il mondo 'open' interessato a SE Linux sta lavorando, con la convinzione che il Pinguino 'blindato' possa essere la soluzione ai problemi di sicurezza nelle infrastrutture basate su software open source. Software che non sempre è scritto tenendo in mente tutti i precetti della sicurezza.

Continua la lettura
©Copyright 2004-2005 IDG Communications Italia - tutti i diritti riservati
E' vietato riprodurre i contenuti di questo sito senza l'autorizzazione scritta dell'editore
I prodotti e i marchi citati sono di proprietà dei rispettivi titolari

Altri siti e attivita' di IDG nel mondo: IDG (USA) - IDG.net - IDC (USA) - IDG Global Solutions - IDG Ventures