openSUSE Tumbleweed, una delle distribuzioni GNU/Linux più apprezzate per il suo modello di aggiornamento continuo (rolling release), sta introducendo un cambiamento significativo nel suo approccio alla sicurezza. A partire dalla versione snapshot 20250211, SELinux (Security-Enhanced Linux) sostituirà AppArmor come sistema predefinito di Controllo degli Accessi Obbligatorio (MAC, Mandatory Access Control) per le nuove installazioni. Questo cambiamento, già implementato, rappresenta un passo importante verso l’adozione più ampia di SELinux sia per SUSE che per openSUSE, con l’obiettivo di migliorare ulteriormente la sicurezza del sistema.
Cosa significa questo cambiamento per gli utenti?
Per chi non ha familiarità con SELinux, si tratta di un modulo di sicurezza integrato direttamente nel kernel Linux. Il suo scopo è controllare in modo rigoroso quali applicazioni e utenti possono accedere a specifiche risorse del sistema. In altre parole, SELinux impone regole molto restrittive su ciò che i programmi e gli utenti possono fare, aggiungendo un ulteriore livello di protezione che aiuta a prevenire accessi non autorizzati o danni in caso di compromissione del sistema.
Con questa modifica, le nuove installazioni di openSUSE Tumbleweed avranno SELinux abilitato e configurato in modalità enforcing (applicazione delle regole) di default. Questo significa che, fin dal primo avvio, il sistema applicherà automaticamente le politiche di sicurezza di SELinux per proteggere i servizi e i dati dell’utente.
E per chi utilizza già AppArmor?
Una delle preoccupazioni principali degli utenti esistenti potrebbe essere la compatibilità con AppArmor, il sistema MAC precedentemente predefinito in openSUSE Tumbleweed. Tuttavia, i maintainer della distribuzione hanno chiarito che le installazioni esistenti non verranno modificate. Chi ha già configurato e ottimizzato i profili di AppArmor potrà continuare a utilizzarli senza problemi. Inoltre, durante una nuova installazione, il programma di installazione offrirà un’opzione semplice per tornare ad AppArmor, garantendo flessibilità agli utenti che preferiscono questo sistema.
Perché SELinux?
La decisione di passare a SELinux non è casuale. SELinux è ampiamente riconosciuto per la sua capacità di confinare i servizi in modo più rigoroso rispetto ad AppArmor, riducendo il rischio di exploit e accessi non autorizzati. Questo cambiamento è in linea con l’obiettivo di openSUSE di offrire una piattaforma sempre più sicura, soprattutto per gli utenti che gestiscono ambienti critici o dati sensibili.
Cosa aspettarsi durante la prima installazione?
Per chi sceglie di installare openSUSE Tumbleweed con SELinux abilitato, è importante notare che il primo avvio potrebbe richiedere un po’ più di tempo del solito. Questo perché il sistema deve completare l’etichettatura (labeling) delle risorse, un processo necessario per applicare correttamente le politiche di sicurezza. Se il sistema sembra un po’ più lento durante questa fase, non c’è da preoccuparsi: è un comportamento normale e temporaneo.
E per openSUSE Leap?
È importante sottolineare che questo cambiamento riguarda esclusivamente openSUSE Tumbleweed. La versione openSuSE Leap 15.x continuerà a utilizzare il suo modello di sicurezza attuale, basato su AppArmor. Questo perché Leap è progettata per essere una distribuzione stabile e a lungo supporto, mentre Tumbleweed è orientata verso aggiornamenti frequenti e l’adozione di nuove tecnologie.
Prossimi passi
Nei prossimi mesi, è previsto un ulteriore affinamento delle politiche di SELinux per garantire un’integrazione senza intoppi. Gli utenti possono aspettarsi aggiornamenti e miglioramenti continui, con l’obiettivo di rendere l’esperienza con SELinux la migliore possibile. Per ulteriori dettagli, è possibile leggere l’annuncio ufficiale di openSUSE o partecipare alle discussioni nella mailing list della comunità.
Fonte: https://news.opensuse.org/2025/02/13/tw-plans-to-adopt-selinux-as-default/
Fonte: https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/YN4TCBCU4A2V5G2MWR5EWYF46267BO7F/
Fonte: https://www.phoronix.com/news/OpenSUSE-Tumble-Goes-SELinux
Fonte: https://linuxiac.com/opensuse-tumbleweed-moves-to-selinux/
Source: Read More
