Nei giorni scorsi, sulla mailing list OpenBSD-misc, si è sviluppata una discussione, al limite della guerra di religione (ma niente a cui non siamo più che abituati), in cui si cerca di capire se sia meglio SELinux o OpenBSD.
OpenBSD, lo sappiamo, è il sistema BSD sicuro a prescindere, che vanta due soli bug di sicurezza remota in dieci anni mentre SELinux è il Security Enhanced Linux, una patch per blindare il kernel Linux, che vanta altrettanto validi riconoscimenti.
Contro SELinux si cita soprattutto la complessità delle policy e del loro linguaggio e che, anche se il sistema esce dalla fabbrica con delle buone impostazioni di default molte volte gli utenti si limitano a disattivare SELinux perché quando si modificano le configurazioni della rete o dei programmi è troppo difficile aggiornarne le regole relative. Inoltre viene criticato il fatto che SELinux è solo una patch di Linux, mentre la sicurezza è qualcosa di profondamente intrinseco in OpenBSD, in cui va di pari passo con la scrittura del codice e non è aggiunta a posteriori.
Dall´altro lato si ribatte che SELinux è sì una patch, ma è da tempo inclusa nel Kernel e che è proprio le policy la rendono molto più configurabile: "tanto quanto un pulsante ON/OFF e che andrebbe tenuto sempre su OFF".
Nel frattempo i tool per rendere SELinux più user friendly sono ancora pochi mentre la tecnologia di base continua ad allargarsi con nuove feature. Proprio qualche giorno fa è stata presentata la nuova release di SELinux con l´introduzione del discovery dinamico per i permessi e le classi degli oggetti, una migliorata gestione dell´integrazione con il modulo PAM e varie migliorie e bug fix.
E forse anche per la grossa quantità di carne al fuoco che Ubuntu ha scelto AppArmor.