openSUSE ha annunciato un'importante modifica alla sua distribuzione rolling release Tumbleweed: a partire dallo snapshot 20250211, il sistema di controllo degli accessi obbligatori (MAC) predefinito passerà da AppArmor a SELinux nelle nuove installazioni.
Finora openSUSE ha utilizzato AppArmor come modulo di sicurezza nel kernel Linux. Tale e Come spiega Red Hat, questo strumento consente agli amministratori di impostare restrizioni su singoli programmi utilizzando profili specifici. Tuttavia, Il team di sviluppo ha deciso che è giunto il momento di passare a SELinux, un sistema con una più ampia adozione negli ambienti aziendali e un'architettura di sicurezza più rigorosa.
In cosa consiste questa modifica in openSUSE?
Dall'arrivo dello snapshot 20250211, i nuovi utenti che installano openSUSE Tumbleweed tramite l'immagine ISO scopriranno che SELinux sarà abilitato in modalità di applicazione per impostazione predefinita. Tuttavia, coloro che preferiscono continuare ad usare AppArmor possono selezionarlo manualmente durante il processo di installazione.
Le attuali installazioni openSUSE Tumbleweed non saranno interessate. In altre parole, gli utenti che già utilizzano AppArmor potranno continuare a farlo senza dover apportare modifiche forzate alla configurazione del sistema. Inoltre, coloro che sono interessati a migrare verso SELinux Avranno una guida dettagliata nel wiki da openSUSE.
Perché è stata presa questa decisione?
Uno degli argomenti principali a favore di SELinux è che fornisce un livello di sicurezza più elevato. A differenza di AppArmor, che funziona con profili specifici per applicazione, SELinux applica policy di sicurezza a livello globale in tutto il sistema, consentendo una gestione più rigorosa e granulare dell'accesso alle risorse.
Neal Gompa, uno sviluppatore con esperienza in Fedora, CentOS e openSUSE, ha sottolineato che SELinux ha una comunità di sviluppo più attiva, una più ampia adozione nelle infrastrutture di fascia alta e una migliore integrazione con le più recenti tecnologie Linux.
Impatto sugli utenti openSUSE
Per la stragrande maggioranza degli utenti openSUSE Tumbleweed, questa modifica non comporterà alcuna interruzione. Le installazioni esistenti continueranno a funzionare con AppArmor, a meno che l'utente non decida di passare manualmente a SELinux.
Inoltre, l' Immagine minima di openSUSE Tumbleweed per macchine virtuali adotterà inoltre SELinux in modalità enforcing come impostazione predefinita. Ciò rafforza l'intenzione del team di sviluppo di allineare la propria strategia di sicurezza con esigenze attuali del mercato.
Per quanto riguarda la versione stabile di openSUSE, Leap 15.x continuerà a utilizzare AppArmor per impostazione predefinita e non subirà alcuna modifica a questo riguardo.
Implicazioni a lungo termine
Questa mossa segna un allineamento di openSUSE con SUSE Linux Enterprise, che sta anche promuovendo l'adozione di SELinux. Si prevede che questa transizione rafforzare ulteriormente la sicurezza dell'ecosistema openSUSE, offrendo un modulo di controllo degli accessi con maggiore granularità e supporto consolidato negli ambienti aziendali.
Allo stesso tempo, gli sviluppatori hanno riconosciuto che alcuni utenti potrebbero incontrare difficoltà nell'adozione di SELinux, soprattutto coloro che hanno lavorato con Profili personalizzati in AppArmor per anni. Tuttavia, la comunità openSUSE ha assicurato che il supporto per AppArmor continuerà ad essere disponibile e coloro che preferiscono continuare a utilizzarlo potranno installalo senza problemi.
Con questa mossa, openSUSE rafforza il suo impegno verso la sicurezza e la flessibilità, dando agli utenti la possibilità di scegliere la soluzione di controllo accessi più adatta alle tue esigenze.