Red Hat presentó los planes para la seguridad de su Linux

30 Abr 2004 en Software

Ayer, jueves 29, Red Hat presentó su mapa de ruta en cuanto a seguridad para los próximos dos años. El objetivo es convertir a su versión de Linux en uno de los sistemas operativos de mayor seguridad en el mercado.
Este anuncio fue bien recibido por los analistas de la industria debido a que un reciente informe estadístico de la firma NetCraft indica que la seguridad de Linux va a la zaga de otros sistemas operativos como Unix y hasta el mismo Windows.
Paul Cormier, VP a cargo de ingeniería en Red Hat, señaló que el camino hacia una mayor seguridad será a través de certificaciones y estándares. La empresa recientemente incoroporó SELinux (Security-Enhanced Linux) en la versión de Fedora 2 Core, a la que patrocina. SELinux se mantiene inactivo por defecto y debe ser activado para su uso. La idea es que los usuarios se familiaricen con los diferentes métodos de autenticación antes de activarlo. La versión oficial de Fedora 2 saldrá en mayo 17.
SELinux fue desarrollado por NSA (National Security Agency) y se compone básicamente del kernel Linux con controles de subsistema para que con un mínimo de privilegios de usuario se puedan completar las tareas. El incremento de los controles hace mucho más difícil un ataque por escalada de privilegios al sistema operativo. Red Hat prevé la liberación de una versión de Red Hat Enterprise Linux con la integración completa de SELinux para principios del año 2005.
También se anunció la certificación a través de Common Criteria Evaluation and Validation Scheme (CCEVS), que es un proyecto cooperativo entre los EE.UU., Canadá y Europa que se opera a través del National Institute of Standards and Technology (NIST) con el objeto de establecer el nivel de seguridad de productos de tecnología de información. El pasado mes de febrero, se logró EAL 2 (Evaluation Assurance Level 2) bajo el esquema de seguridad del Reino Unido. La certificación funciona sólo para clientes que utilizan las versiones de Red Hat Enterprise 3 con algunos modelos de máquinas de HP o Dell. En el sitio de NIST consta que la certificación EAL 2 requiere de análisis de vulnerabilidad y de la participación de especialistas independientes.
Red Hat corre aquí detrás de su mayor competidor en Linux, SuSE, recientemente adquirido por Novell. SuSE Linux Enterprise Server, Server Pack 3, obtuvo ya la certificación EAL 3. Algunos sistemas UNIX como Solaris de Sun, HP-UX y AIX de IBM, ya tienen la certificación EAL 4.
Para lo relativo a procesamiento de transacciones, Red Hat ha recurrido al patrocinio de Oracle.