Re: SELinux: verbreitet oder esoterisch?
On Fri, Mar 28, 2014 at 03:41:28PM +0100, Michael Schuerig wrote:
>
> Ich habe in den letzten Wochen versucht, einen Eindruck/Einblick von
> SELinux zu bekommen. Trotz einigem Zeitaufwand habe ich das Gefühl, dass
> ich dabei gescheitert bin. Ich habe verschiedene Seiten dazu in Debian-
> Wikis gelesen, außerdem "SELinux System Administration". An "The SELinux
> Notebook" bin ich regelrecht abgeprallt.
>
Nun, das SELinux notebook ist sehr hilfreich und sehr umfangreich.
> An keiner dieser Stellen habe ich die geeignete Informationen gefunden,
> die mir bei der Entscheidung helfen, ob ich SELinux überhaupt würde
> einsetzen wollen. Keine Beispiele für Einsatzszenarien im Großen, keine
> Beispiele im Kleinen, wie die Rechte einer Anwendung (oder eines
> "Kontextes") eingeschränkt werden könnten.
Einsatzszenario, die normalen access controls reichen Deinen Anspruechen
nicht aus.
>
> Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben, das
> Prüfsummen für Dateien berechnet, diese signiert und im jeweiligen
> Verzeichnis als .checksums ablegt. Könnte ich die Rechte dieses Skripts,
> auch wenn es von root gestartet wird, so einschränken, dass es zwar alle
> Dateien lesen, aber nur .checksums schreiben darf und nur Zugriff auf
> bestimmte GPG-Schlüssel hat? -- Ich hatte angenommen, dass es nach
> überschaubarem Zeitaufwand (jedenfalls weniger, als es bei mir war)
> möglich sein müsste, diese Fragen zu beantworten. Leider war das nicht
> so.
Das kann auf jeden fall gemacht werden. Die Idee ist allerdings, zu
vermeiden, dass die Dateien ueberhaupt veraendert werden koennen.
>
> Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist, aber
> für den beiläufigen Einsatz völlig ungeeignet. Falls hier jemand mehr
> Erfolg mit SELinux hatte, wie seht ihr das?
>
SELinux ist NICHT "freundlich"-anything. Das wird aber auch nirgendwo
behauptet.
> Michael
>
> --
> Michael Schuerig
> mailto:michael@schuerig.de
> http://www.schuerig.de/michael/
>
>
> --
> Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
> Archive: [🔎] 7240317.Jx0IdM3Ugi@fuchsia">https://lists.debian.org/[🔎] 7240317.Jx0IdM3Ugi@fuchsia
>
--
Henning Follmann | hfollmann@itcfollmann.com
Reply to: