In un annuncio pubblicato qualche giorno fa sulla lista degli sviluppatori del progetto OpenSUSE è stato indicato il nuovo Mandatory Access Control (MAC) che verrà usato di default da Tumbleweed: SELinux, che soppianterà AppArmor.
Ora, rileggendo l’apertura di questo articolo appare chiaro come siano stati fatti degli assunti, che è bene spiegare. Partiamo dal concetto di Mandatory Access Control (MAC): si tratta di sistemi di sicurezza che impongono regole di accesso rigide basate su policy predefinite dalla distribuzione Linux e definite o modificate dall’amministratore.
Esempi di MAC sono SELinux, fino ad oggi appannaggio delle distribuzioni del mondo Red Hat Enterprise Linux – CentOS Stream, Fedora, AlmaLinux, Rocky, etc. – e AppArmor, usato generalmente dalle Debian-based, quindi Debian in primis e quindi Ubuntu e affini.
A mancare da questi elenchi, poiché di fatto distante da entrambi gli ecosistemi, è SUSE – con le varie derivate Leap, Tumbleweed e compagnia bella – che, pur essendo basata sul sistema di pacchetti RPM, e quindi in un certo senso affine al contesto Red Hat, ha da sempre invece utilizzato AppArmor, almeno fino ad oggi.
E qui arriviamo al secondo assunto fatto in apertura: Tumbleweed. Questa distribuzione è una derivata di SUSE Linux Enterprise (quindi non il suo upstream, come invece CentOS Stream è per Red Hat Enterprise Linux) utilizzata proprio come ambiente ideale per le nuove tecnologie.
Pertanto non c’è garanzia che la scelta a proposito del MAC verrà applicata anche in SUSE Linux Enterprise, ma è più che verosimile pensarlo, e la notizia a questo punto diventa particolarmente importante, perché la si può incrociare con le notizie degli ultimi mesi.
Da un lato è emersa con chiarezza la volontà di SUSE di consolidare il proprio marchio SUSE Linux Enterprise, arrivando a chiedere a OpenSUSE di non usare più questo nome, e di delimitare con chiarezza gli ambiti operativi, andando ad inserire il nome SUSE in tutti i propri prodotti. Dall’altro con la partecipazione attiva al progetto OpenELA è altrettanto chiaro come SUSE voglia avvicinarsi sempre più al contesto RHEL, tanto da proporsi come alternativa agli utenti orfani di CentOS con SUSE Liberty.
Per quanto piccolo possa quindi sembrare il passaggio da AppArmor a SELinux, in realtà questo contiene una grande indicazione a proposito di un ulteriore passo nell’uniformarsi alla principale concorrente.
Sia chiaro, si tratta di pura speculazione, ma l’impressione chiara è quella di una serie di scelte assolutamente non casuali per uniformarsi ad un modello di business che domina il mercato da diversi anni.
Tutto questo discorso tralascia l’aspetto puramente tecnico della scelta. SELinux infatti offre un controllo più granulare sugli accessi rispetto ad AppArmor, con l’uso di etichette e contesti anziché basarsi solo sui percorsi dei file. Questo comporta una maggiore sicurezza, limitando anche l’accesso da parte dell’utente root, riducendo il rischio di privilege escalation.
D’altro canto SELinux è certamente più complesso rispetto ad AppArmor, tanto che se il secondo funziona per tutti i sistemi Debian based anche quando gli utenti non se ne accorgono, per SELinux si racconta di leggende su procedure di provisioning di macchine che prevedono come step successivo all’installazione la sua disabilitazione.
Il che per qualche manager d’area potrebbe costituire un motivo a favore o, verosimilmente, contro la scelta di SUSE 🙂
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)