openSUSE Tumbleweed passa a SELinux di default

openSUSE Tumbleweed sta introducendo alcuni interessanti aggiornamenti. I responsabili hanno annunciato che SELinux diventerà il sistema Mandatory Access Control (MAC) predefinito per le nuove installazioni di Tumbleweed a partire dallo snapshot 20250211 (già in atto). Come riportato dagli sviluppatori: “Il passaggio all’installazione di SELinux di default è in fase di implementazione iniziale e si allinea con una decisione di aumentare l’adozione di SELinux sia per SUSE che per openSUSE. Si prevede che aumenterà la sicurezza limitando più servizi di default”. A questo proposito, la prossima versione ISO di Tumbleweed avrà SELinux abilitato e in esecuzione in modalità di applicazione predefinita. Questa modifica è stata annunciata sulla mailing list di openSUSE verso la metà dell’anno scorso.

Per chi non ha familiarità con SELinux (Security-Enhanced Linux), si tratta di una funzionalità di sicurezza integrata direttamente nel kernel Linux. Questa controlla a quali applicazioni e utenti è possibile accedere su un sistema. Stabilisce inoltre regole severe su cosa possono fare i programmi e gli utenti. Ciò aiuta a prevenire accessi non autorizzati o danni se un sistema viene compromesso. In sostanza, è un ulteriore livello di protezione che impone chi può accedere a cosa su un sistema Linux.

OpenSUSE Tumbleweed: passaggio a SELinux di default solo per nuove installazioni

I manutentori hanno confermato che le installazioni di openSUSETumbleweed esistenti rimarranno intatte. Gli utenti che già si affidano ad AppArmor non saranno costretti a migrare e potranno continuare a utilizzare i profili che hanno perfezionato nel tempo. In altre parole, il passaggio a SELinux out of the box riguarda principalmente solo le installazioni completamente nuove, comprese quelle che utilizzano la variante minimalVM. Inoltre, se un utente preferisce AppArmor durante una nuova installazione, l’installer fornirà una semplice opzione per tornare indietro. Per molti utenti, il passaggio a SELinux dovrebbe offrire maggiore tranquillità. Tuttavia, i responsabili del progetto riconoscono che qualsiasi cambiamento importante può portare con sé qualche ostacolo lungo il cammino.

Vale la pena notare anche che questo cambiamento non si applica a Leap 15.x, che rimarrà sul suo attuale modello di sicurezza. Per Tumbleweed, il primo avvio dopo l’installazione di SELinux può richiedere un po’ di tempo in più per completare l’etichettatura del sistema. Infine, sono previsti ulteriori aggiornamenti e modifiche alle policy di SELinux nelle prossime settimane risolvere eventuali problemi.