Re: SELinux: verbreitet oder esoterisch?

To: debian-user-german@lists.debian.org
Subject: Re: SELinux: verbreitet oder esoterisch?
From: Michael Stummvoll <michael@stummi.org>
Date: Fri, 28 Mar 2014 16:29:27 +0100
Message-id: <[🔎] 20140328162927.1edd5666@eddie>
In-reply-to: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia>
References: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia>

On Fri, 28 Mar 2014 15:41:28 +0100
Michael Schuerig <michael.lists@schuerig.de> wrote:

> An keiner dieser Stellen habe ich die geeignete Informationen
> gefunden, die mir bei der Entscheidung helfen, ob ich SELinux
> überhaupt würde einsetzen wollen. Keine Beispiele für
> Einsatzszenarien im Großen, keine Beispiele im Kleinen, wie die
> Rechte einer Anwendung (oder eines "Kontextes") eingeschränkt werden
> könnten.

Die Frage, ob du SELinux einsetzen willst ist relativ fix mit der Frage
beantwortet, ob du die Standard-Zugriffsrechtesytem unter Unix bzw
Linux für ausreichend empfindest. Dieses ist relativ simpel gestrickt,
was es leicht verständlich macht, hat genau deswegen aber auch seine
Schwächen. Zum Beispiel hat dein Browser sehr wahrscheinlich Zugriff
auf deinen privaten SSH-Schlüssel, oder die konfigurierten Konten
deines Mail-Clients. Manche Leute empfinden das als unnötiges
Sicherheitsrisiko, und genau hier setzt SELinux an.

Ob dir eine etwas erhöhte Sicherheit einen (nicht unerheblichen)
Konfigurations-Mehraufwand Wert ist, musst du für dich selbst
entscheiden.

> Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben,
> das Prüfsummen für Dateien berechnet, diese signiert und im
> jeweiligen Verzeichnis als .checksums ablegt. Könnte ich die Rechte
> dieses Skripts, auch wenn es von root gestartet wird, so
> einschränken, dass es zwar alle Dateien lesen, aber nur .checksums
> schreiben darf und nur Zugriff auf bestimmte GPG-Schlüssel hat? --
> Ich hatte angenommen, dass es nach überschaubarem Zeitaufwand
> (jedenfalls weniger, als es bei mir war) möglich sein müsste, diese
> Fragen zu beantworten. Leider war das nicht so.

Auch das sollte mit SELinux machbar sein. Aber wieso läuft das Script
überhaupt als root?

> Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist,
> aber für den beiläufigen Einsatz völlig ungeeignet. Falls hier jemand
> mehr Erfolg mit SELinux hatte, wie seht ihr das?

Auf den Chemnitzer Linuxtagen gab es einen guten Vortrag über SELinux.
Leider sind davon bisher nur die Folien verfügbar:
http://chemnitzer.linux-tage.de/2014/de/vortraege/detail/321

Reply to:

Follow-Ups:
- Re: SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>

References:
- SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>

Prev by Date: SELinux: verbreitet oder esoterisch?
Next by Date: Re: SELinux: verbreitet oder esoterisch?
Previous by thread: SELinux: verbreitet oder esoterisch?
Next by thread: Re: SELinux: verbreitet oder esoterisch?
Index(es):
- Date
- Thread