В openSUSE Tumbleweed грядут большие изменения. Сопровождающие объявили, что SELinux станет системой обязательного контроля доступа (MAC) по умолчанию для новых установок Tumbleweed, начиная с снапшота 20250211 (уже установлен).
Переход на установку SELinux по умолчанию находится на ранней стадии реализации и согласуется с решением о расширении внедрения SELinux как для SUSE, так и для openSUSE. Ожидается, что это повысит безопасность за счет ограничения большего количества служб по умолчанию.
Небольшое примечание – об этом изменении было объявлено в списке рассылки openSUSE примерно в середине прошлого года.
Для тех, кто не знаком с SELinux (Security-Enhanced Linux), это функция безопасности, встроенная непосредственно в ядро Linux, которая контролирует, какие приложения и пользователи могут получить доступ к системе.
Она устанавливает строгие правила в отношении того, что могут делать программы и пользователи, что помогает предотвратить несанкционированный доступ или ущерб в случае взлома системы. По сути, это дополнительный уровень защиты, который контролирует, кто и к чему может иметь доступ в системе Linux.
Теперь о самом главном – разработчики подтвердили, что существующие установки Tumbleweed останутся нетронутыми; пользователи, которые уже используют AppArmor, не будут вынуждены переходить на новую систему и смогут продолжать использовать профили, которые они настраивали в течение долгого времени.
Текущая установка openSUSE Tumbleweed, использующая AppArmor. Другими словами, переход на SELinux из коробки затрагивает только новые установки, включая те, которые используют вариант minimalVM. Кроме того, если кто-то из пользователей предпочитает AppArmor во время новой установки, программа установки предоставит простую возможность переключиться обратно.
Ожидается, что для многих пользователей переход на SELinux обеспечит дополнительное спокойствие. Тем не менее, руководители проекта признают, что любое серьезное изменение может повлечь за собой несколько проблем.
Стоит также отметить, что этот переход не распространяется на Leap 15.x, который останется на существующей модели безопасности. Для Tumbleweed первая загрузка после установки SELinux может занять немного больше времени для завершения маркировки системы, поэтому не пугайтесь, если сразу после установки все будет работать немного медленнее.
Наконец, в ближайшие недели ожидаются дополнительные обновления и доработки политик SELinux, чтобы сгладить все неровности. За дополнительной информацией обращайтесь к анонсу openSUSE.
Комментарии (0)