Re: SELinux: verbreitet oder esoterisch?

To: debian-user-german@lists.debian.org
Subject: Re: SELinux: verbreitet oder esoterisch?
From: Henning Follmann <hfollmann@itcfollmann.com>
Date: Fri, 28 Mar 2014 11:46:55 -0400
Message-id: <[🔎] 20140328154655.GA20812@newton.itcfollmann.com>
In-reply-to: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia>
References: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia>

On Fri, Mar 28, 2014 at 03:41:28PM +0100, Michael Schuerig wrote:
> 
> Ich habe in den letzten Wochen versucht, einen Eindruck/Einblick von 
> SELinux zu bekommen. Trotz einigem Zeitaufwand habe ich das Gefühl, dass 
> ich dabei gescheitert bin. Ich habe verschiedene Seiten dazu in Debian-
> Wikis gelesen, außerdem "SELinux System Administration". An "The SELinux 
> Notebook" bin ich regelrecht abgeprallt.
> 
Nun, das SELinux notebook ist sehr hilfreich und sehr umfangreich.


> An keiner dieser Stellen habe ich die geeignete Informationen gefunden, 
> die mir bei der Entscheidung helfen, ob ich SELinux überhaupt würde 
> einsetzen wollen. Keine Beispiele für Einsatzszenarien im Großen, keine 
> Beispiele im Kleinen, wie die Rechte einer Anwendung (oder eines 
> "Kontextes") eingeschränkt werden könnten.

Einsatzszenario, die normalen access controls reichen Deinen Anspruechen
nicht aus.

> 
> Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben, das 
> Prüfsummen für Dateien berechnet, diese signiert und im jeweiligen 
> Verzeichnis als .checksums ablegt. Könnte ich die Rechte dieses Skripts, 
> auch wenn es von root gestartet wird, so einschränken, dass es zwar alle 
> Dateien lesen, aber nur .checksums schreiben darf und nur Zugriff auf 
> bestimmte GPG-Schlüssel hat? -- Ich hatte angenommen, dass es nach 
> überschaubarem Zeitaufwand (jedenfalls weniger, als es bei mir war) 
> möglich sein müsste, diese Fragen zu beantworten. Leider war das nicht 
> so.

Das kann auf jeden fall gemacht werden. Die Idee ist allerdings, zu
vermeiden, dass die Dateien ueberhaupt veraendert werden koennen.


> 
> Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist, aber 
> für den beiläufigen Einsatz völlig ungeeignet. Falls hier jemand mehr 
> Erfolg mit SELinux hatte, wie seht ihr das?
> 

SELinux ist NICHT "freundlich"-anything. Das wird aber auch nirgendwo
behauptet.

> Michael
> 
> -- 
> Michael Schuerig
> mailto:michael@schuerig.de
> http://www.schuerig.de/michael/
> 
> 
> --
> Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
> Archive: [🔎] 7240317.Jx0IdM3Ugi@fuchsia">https://lists.debian.org/[🔎] 7240317.Jx0IdM3Ugi@fuchsia
> 

-- 
Henning Follmann           | hfollmann@itcfollmann.com

Reply to:

Follow-Ups:
- Re: SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>

References:
- SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>

Prev by Date: Re: SELinux: verbreitet oder esoterisch?
Next by Date: Re: SELinux: verbreitet oder esoterisch?
Previous by thread: Re: SELinux: verbreitet oder esoterisch?
Next by thread: Re: SELinux: verbreitet oder esoterisch?
Index(es):
- Date
- Thread