Uutiskommentti: Fedora 8:n PolicyKit jää yllättävän vähälle huomiolle

Sorry pieni hiljaisuus, mutta en ole yksinkertaisesti ehtinyt blogata viime aikoina.

Kuten myös Tietokone taannoin uutisoi, Fedora 8 julkaistiin. Liekö sen PolicyKit aiheena liian nörde vai mitä, mutta yllättävän harva taho on sanonut siitä yhtä lausetta enempää. Enemmänkin voisi puhua.

Perinteisestihän Unix-maailmassa ollaan menty pitkälle periaatteella “Joko ollaan normaalikäyttäjiä ilman voimaa muuttaa järjestelmää, tai sitten ollaan root-käyttäjiä ja voidaan tehdä mitä tahansa”. Aikojen saatossa tähän on tullut lisäyksiä ja lisämahdollisuuksia; esimerkiksi Linuxissa prosessit voivat käynnistyä roottina voidakseen tehdä jonkun lisävoimaa tarvitsevan toimenpiteen (kuten kytkeytyä porttiin 80 olemaan webbipalvelinsoftana), ja heti tämän tehtyään luopua ylimääräisistä oikeuksista. Näiden niin sanottujen capabilityjen lisäksi tarjolla on lukuisia tietoturvaa kohentavia ratkaisuja, kuten grsecurity, SELinux ja AppArmor.

Näistä SELinux on ollut muun muassa Fedorassa ja Red Hatissa käytössä jo vuosikaudet. SELinux on toimintamalliltaan perin yksinkertainen: kaikki mikä ei ole erikseen sallittu, on kielletty. Asioita tehdään sallituksi sääntölistojen avulla. Monet jakelut ovat jo valmiiksi konfiguroineet SELinuxin kaikkien perusohjelmien osalta käyttökuntoon. Niitä tilanteita varten, kun SELinux estää jotain, on esimerkiksi Red Hatissa ja Fedorassa tarjolla apuvelho, joka kertoo miksi jotain estettiin ja voipa auditointilokin torjunnat muuttaa sallituiksi toimenpiteiksikin. SELinux on erittäin hyvän tietoturvapohjan luova ratkaisu; sen huonona puolena on alkukonfiguroinnin kivisyys.

Mutta se SELinuxista. Minunhan piti kirjoittaa PolicyKitistä.

PolicyKit tulee mukaan

Nyt siis tähän tietoturvasoppaan tulee mukaan PolicyKit. Siinä missä SELinux ottaa kantaa asioihin lähinnä tiedosto-, laite- ja verkkoyhteyspohjaisesti, on PolicyKitillä mahdollista sukeltaa entistä syvemmälle oikeuksien sallimisessa. PolicyKitillä voidaan sovellustason suojauksiin asti – eli vaikkapa osoitekirjan sisällöstä tai ohjelman toiminnoista (vaikkapa kellossa kellonajan asettaminen) vain osa on käyttäjälle sallittu.

Fedora on ilmeisesti ensimmäinen PolicyKitiä edes jotenkin käyttävä jakelu. Saa nähdä, yleistyykö se ajan kanssa muuallakin. Luultavasti kyllä, kun kyse on freedesktop.orgin hyvinkin perinpohjaisesti suunnitellusta ohjelmasta. PolicyKit vaikuttaa hyvältä idealta, mutta vaikka se miten mainostaa olevansa kivuton, toinen puoli minusta pelkää PolicyKitin tuovan lisää ylläpitovaivaa joillekin. Ylläpitäjille nyt ainakin siinä vaiheessa, jos nämä haluavat rajoittaa käyttäjien pääsyä eri paikkoihin. Ohjelmoijat varmasti pääsevät hyödyntämään PolicyKitiä, mutta toivottavasti PolicyKit ei tule siirtämään “ylläpitovastuuta” loppukäyttäjälle Windows Vistan UACin tapaan. Rajoitetusti käytettynä “Sallitaanko tämä?”-tyyppiset dialogit ovat ihan hyvä asia, kunhan eivät leviä liikaa.

Ainakin pieniä kasvukipuja on odotettavissa, jos tämä menee kuin SELinuxin kanssa aikoinaan. Vähänkin vanhemman Fedoran tai Red Hatin kohdalla moni otti SELinuxin pois päältä, kun se oli turhankin hanakasti kieltämässä asioita. Nykyään työläppärissäni pyörii CentOS 5 (eli Red Hat Enterprise Linuxin vapaa versio) SELinux päälle kytkettynä, eikä se ole vielä vastaan hangannut.

Tämä artikkeli on julkaistu maanantaina 12. marraskuuta 2007 kello 12.26 ja sen aiheena on Linuxin jäljillä. Voit seurata tämän artikkelin vastauksia RSS 2.0 -virran avulla. Sekä vastauksien kirjoittaminen että seurantailmoitusten lähettäminen on juuri nyt estetty.

1 035 vastausta artikkeliin “Uutiskommentti: Fedora 8:n PolicyKit jää yllättävän vähälle huomiolle”

muep kirjoittaa:
12. marraskuuta 2007 kello 14.05
Hyvä homma, että otit asian esille. Kyllä tuon PolicyKitin huomaa, kun julkaisutiedotetta lukee, mutta ominaisuuden vaikutukset käytännössä ovat ainakin minulle olleet hieman hämäriä. Eli uskoisin, että monella jää tuo PolicyKit mainitsematta, kun ei oikein osaa edes sanoa, että mikäs härveli se on.
Raips kirjoittaa:
12. marraskuuta 2007 kello 16.37
Fedorassa näyttää tulevan oletuksena päällä. Mutta saahan sen onneksi muihinkin jakelupaketteihin, urpmi policykit asentaa sen Mandrivaan ja pääsee profiileja tekemään. Tietenkään tässä ei ole nyt mitään oletusprofiilia minkä Fedora tuo mukanaan mutta jostain varmaan voi sen ladata ja ottaa käyttöön. Tai tehdä järkevästi eli itse tarkkaan.
Lea Viljanen kirjoittaa:
13. marraskuuta 2007 kello 10.49
PolicyKit on nimenomaisesti ylläpitoa mahdollistava työkalu, peruskäyttäjän toiminta voi jopa vaikeutua. En usko, että Windowsista Linuxiin siirtyvä Pera Peruskäyttäjä edes välttämättä ymmärtää mistä on kyse ja kokee sen hankalana (“mikäs tää salasanakysely on, windowsissa tämän USB-tikun saa vain tökättyä sisään ja se toimii”).

PolicyKit on periaatteellisena ajatuksena oikein mainio, mutta kun ilmeisesti ylläpitotyökalut alkavat tukea sitä vaiheittain, niin oletuspolicyn tekemisessä tulee olla aika varovainen etteivät peruskäyttäjät koe sitä liian hankalaksi. Yritin kevyesti googlata tietoa siitä, minkälainen on Fedora 8:n mukana tuleva oletuspolicy, mutta sitä ei heti tullut silmien eteen. Jos se tosiaan vaatii romppujen ja USB-tikkujenkin mountille root-salasanan (kuten fedoraproject.org wikin ReleaseSummary antaa esimerkkinä), mennään käytettävyydessä aika tavalla metsään.

Itse tuon releasen parhaimpana tietoturvapiirteenä pidän kyllä palomuurin GUI:ta. Muista näkökulmista kaikki parannukset mahdollisimman paljon automatisoituun laitetunnistukseen ja konfiguraatioon (bluetooth, printterit, laptop-mode) ovat aina tervetulleita.
Raips kirjoittaa:
13. marraskuuta 2007 kello 11.15
Kuulostaa aika pahalta jos rootin salasana pitää antaa että saa USB tikun tai romput koneelle. Ei sen vuoksi että käytettävyys on huonompi, vaan pitää tietää root salasana.
Uskoisin että se on esimerkki nimenomaan yrityksille jolloin voidaan ehkäistä datan liikenne muuten kuin verkon kautta, jota voidaan kontrolloida tarkemmin suurissa yrityksissä.
Palomuurin toteutus näyttää mukavalta, itse olen jo tottunut Mandrivan omaan interaktiiviseen palomuuriin joka on helppo asettaa.
Jule kirjoittaa:
14. marraskuuta 2007 kello 21.00
Toivottavasti tuossa on sen verran järkeä että jos tulee jotain tehtäviä joissa sitä salasanaa vaaditaan ei mennä suoraan kyselemään roottia vaan että välissä olisi jotain rajatumpia salasanoja peruskäyttäjän yläpuolelta.

Itseasiassa se että rootin salasana vaaditaan jossain naurettavassa cdaseman mountissa on pikemminkin se “perinteinen” tapa. Ainakin kun itse aloittelin kivikkoisen polkuni linuxin parissa ärsytti juuri tuollaiset älyttömyydet että romppua ei voinut lukea ilman että roottina sen mounttasi käyttöön.
lahtis kirjoittaa:
4. joulukuuta 2007 kello 23.50
Itsekin aikoinaan joudun mounttaamaan cd:n että sitä pystyi lukemaan.
Fedora 8:ssa on kylläkin monia parannuksia, kuten palomuurin luotetut peruspalvelut vain klikkaamalla hiirellä. SeLinux on kylläkin oletuksena liian tarkka kun huomauttelee liian monista tekemisistä, Käynnistyminenkin on nopeutunut huomattavasti (vertaa fc5 versiota).


« Compiziin 3d-lasien tuki Firefox 3 tuo käyttöliittymään natiivilookin » Uutiskommentti: Fedora 8:n PolicyKit jää yllättävän vähälle huomiolle Sorry pieni hiljaisuus, mutta en ole yksinkertaisesti ehtinyt blogata viime aikoina. Kuten myös Tietokone taannoin uutisoi, Fedora 8 julkaistiin. Liekö sen PolicyKit aiheena liian nörde vai mitä, mutta yllättävän harva taho on sanonut siitä yhtä lausetta enempää. Enemmänkin voisi puhua. Perinteisestihän Unix-maailmassa ollaan menty pitkälle periaatteella “Joko ollaan normaalikäyttäjiä ilman voimaa muuttaa järjestelmää, tai sitten ollaan root-käyttäjiä ja voidaan tehdä mitä tahansa”. Aikojen saatossa tähän on tullut lisäyksiä ja lisämahdollisuuksia; esimerkiksi Linuxissa prosessit voivat käynnistyä roottina voidakseen tehdä jonkun lisävoimaa tarvitsevan toimenpiteen (kuten kytkeytyä porttiin 80 olemaan webbipalvelinsoftana), ja heti tämän tehtyään luopua ylimääräisistä oikeuksista. Näiden niin sanottujen capabilityjen lisäksi tarjolla on lukuisia tietoturvaa kohentavia ratkaisuja, kuten grsecurity, SELinux ja AppArmor. Näistä SELinux on ollut muun muassa Fedorassa ja Red Hatissa käytössä jo vuosikaudet. SELinux on toimintamalliltaan perin yksinkertainen: kaikki mikä ei ole erikseen sallittu, on kielletty. Asioita tehdään sallituksi sääntölistojen avulla. Monet jakelut ovat jo valmiiksi konfiguroineet SELinuxin kaikkien perusohjelmien osalta käyttökuntoon. Niitä tilanteita varten, kun SELinux estää jotain, on esimerkiksi Red Hatissa ja Fedorassa tarjolla apuvelho, joka kertoo miksi jotain estettiin ja voipa auditointilokin torjunnat muuttaa sallituiksi toimenpiteiksikin. SELinux on erittäin hyvän tietoturvapohjan luova ratkaisu; sen huonona puolena on alkukonfiguroinnin kivisyys. Mutta se SELinuxista. Minunhan piti kirjoittaa PolicyKitistä. PolicyKit tulee mukaan Nyt siis tähän tietoturvasoppaan tulee mukaan PolicyKit. Siinä missä SELinux ottaa kantaa asioihin lähinnä tiedosto-, laite- ja verkkoyhteyspohjaisesti, on PolicyKitillä mahdollista sukeltaa entistä syvemmälle oikeuksien sallimisessa. PolicyKitillä voidaan sovellustason suojauksiin asti – eli vaikkapa osoitekirjan sisällöstä tai ohjelman toiminnoista (vaikkapa kellossa kellonajan asettaminen) vain osa on käyttäjälle sallittu. Fedora on ilmeisesti ensimmäinen PolicyKitiä edes jotenkin käyttävä jakelu. Saa nähdä, yleistyykö se ajan kanssa muuallakin. Luultavasti kyllä, kun kyse on freedesktop.orgin hyvinkin perinpohjaisesti suunnitellusta ohjelmasta. PolicyKit vaikuttaa hyvältä idealta, mutta vaikka se miten mainostaa olevansa kivuton, toinen puoli minusta pelkää PolicyKitin tuovan lisää ylläpitovaivaa joillekin. Ylläpitäjille nyt ainakin siinä vaiheessa, jos nämä haluavat rajoittaa käyttäjien pääsyä eri paikkoihin. Ohjelmoijat varmasti pääsevät hyödyntämään PolicyKitiä, mutta toivottavasti PolicyKit ei tule siirtämään “ylläpitovastuuta” loppukäyttäjälle Windows Vistan UACin tapaan. Rajoitetusti käytettynä “Sallitaanko tämä?”-tyyppiset dialogit ovat ihan hyvä asia, kunhan eivät leviä liikaa. Ainakin pieniä kasvukipuja on odotettavissa, jos tämä menee kuin SELinuxin kanssa aikoinaan. Vähänkin vanhemman Fedoran tai Red Hatin kohdalla moni otti SELinuxin pois päältä, kun se oli turhankin hanakasti kieltämässä asioita. Nykyään työläppärissäni pyörii CentOS 5 (eli Red Hat Enterprise Linuxin vapaa versio) SELinux päälle kytkettynä, eikä se ole vielä vastaan hangannut. Tämä artikkeli on julkaistu maanantaina 12. marraskuuta 2007 kello 12.26 ja sen aiheena on Linuxin jäljillä. Voit seurata tämän artikkelin vastauksia RSS 2.0 -virran avulla. Sekä vastauksien kirjoittaminen että seurantailmoitusten lähettäminen on juuri nyt estetty. 1 035 vastausta artikkeliin “Uutiskommentti: Fedora 8:n PolicyKit jää yllättävän vähälle huomiolle” muep kirjoittaa: 12. marraskuuta 2007 kello 14.05 Hyvä homma, että otit asian esille. Kyllä tuon PolicyKitin huomaa, kun julkaisutiedotetta lukee, mutta ominaisuuden vaikutukset käytännössä ovat ainakin minulle olleet hieman hämäriä. Eli uskoisin, että monella jää tuo PolicyKit mainitsematta, kun ei oikein osaa edes sanoa, että mikäs härveli se on. Raips kirjoittaa: 12. marraskuuta 2007 kello 16.37 Fedorassa näyttää tulevan oletuksena päällä. Mutta saahan sen onneksi muihinkin jakelupaketteihin, urpmi policykit asentaa sen Mandrivaan ja pääsee profiileja tekemään. Tietenkään tässä ei ole nyt mitään oletusprofiilia minkä Fedora tuo mukanaan mutta jostain varmaan voi sen ladata ja ottaa käyttöön. Tai tehdä järkevästi eli itse tarkkaan. Lea Viljanen kirjoittaa: 13. marraskuuta 2007 kello 10.49 PolicyKit on nimenomaisesti ylläpitoa mahdollistava työkalu, peruskäyttäjän toiminta voi jopa vaikeutua. En usko, että Windowsista Linuxiin siirtyvä Pera Peruskäyttäjä edes välttämättä ymmärtää mistä on kyse ja kokee sen hankalana (“mikäs tää salasanakysely on, windowsissa tämän USB-tikun saa vain tökättyä sisään ja se toimii”). PolicyKit on periaatteellisena ajatuksena oikein mainio, mutta kun ilmeisesti ylläpitotyökalut alkavat tukea sitä vaiheittain, niin oletuspolicyn tekemisessä tulee olla aika varovainen etteivät peruskäyttäjät koe sitä liian hankalaksi. Yritin kevyesti googlata tietoa siitä, minkälainen on Fedora 8:n mukana tuleva oletuspolicy, mutta sitä ei heti tullut silmien eteen. Jos se tosiaan vaatii romppujen ja USB-tikkujenkin mountille root-salasanan (kuten fedoraproject.org wikin ReleaseSummary antaa esimerkkinä), mennään käytettävyydessä aika tavalla metsään. Itse tuon releasen parhaimpana tietoturvapiirteenä pidän kyllä palomuurin GUI:ta. Muista näkökulmista kaikki parannukset mahdollisimman paljon automatisoituun laitetunnistukseen ja konfiguraatioon (bluetooth, printterit, laptop-mode) ovat aina tervetulleita. Raips kirjoittaa: 13. marraskuuta 2007 kello 11.15 Kuulostaa aika pahalta jos rootin salasana pitää antaa että saa USB tikun tai romput koneelle. Ei sen vuoksi että käytettävyys on huonompi, vaan pitää tietää root salasana. Uskoisin että se on esimerkki nimenomaan yrityksille jolloin voidaan ehkäistä datan liikenne muuten kuin verkon kautta, jota voidaan kontrolloida tarkemmin suurissa yrityksissä. Palomuurin toteutus näyttää mukavalta, itse olen jo tottunut Mandrivan omaan interaktiiviseen palomuuriin joka on helppo asettaa. Jule kirjoittaa: 14. marraskuuta 2007 kello 21.00 Toivottavasti tuossa on sen verran järkeä että jos tulee jotain tehtäviä joissa sitä salasanaa vaaditaan ei mennä suoraan kyselemään roottia vaan että välissä olisi jotain rajatumpia salasanoja peruskäyttäjän yläpuolelta. Itseasiassa se että rootin salasana vaaditaan jossain naurettavassa cdaseman mountissa on pikemminkin se “perinteinen” tapa. Ainakin kun itse aloittelin kivikkoisen polkuni linuxin parissa ärsytti juuri tuollaiset älyttömyydet että romppua ei voinut lukea ilman että roottina sen mounttasi käyttöön. lahtis kirjoittaa: 4. joulukuuta 2007 kello 23.50 Itsekin aikoinaan joudun mounttaamaan cd:n että sitä pystyi lukemaan. Fedora 8:ssa on kylläkin monia parannuksia, kuten palomuurin luotetut peruspalvelut vain klikkaamalla hiirellä. SeLinux on kylläkin oletuksena liian tarkka kun huomauttelee liian monista tekemisistä, Käynnistyminenkin on nopeutunut huomattavasti (vertaa fc5 versiota). Linuxin jäljillä on toteutettu WordPressillä. Artikkelit (RSS) — Kommentit (RSS)