Re: SELinux: verbreitet oder esoterisch?

To: debian-user-german@lists.debian.org
Subject: Re: SELinux: verbreitet oder esoterisch?
From: Michael Schuerig <michael.lists@schuerig.de>
Date: Fri, 28 Mar 2014 17:16:59 +0100
Message-id: <[🔎] 16430869.mIkN6DDdqC@fuchsia>
In-reply-to: <[🔎] 20140328154655.GA20812@newton.itcfollmann.com>
References: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia> <[🔎] 20140328154655.GA20812@newton.itcfollmann.com>

On Friday 28 March 2014 11:46:55 Henning Follmann wrote:
> On Fri, Mar 28, 2014 at 03:41:28PM +0100, Michael Schuerig wrote:
> > Ich habe in den letzten Wochen versucht, einen Eindruck/Einblick von
> > SELinux zu bekommen. Trotz einigem Zeitaufwand habe ich das Gefühl,
> > dass ich dabei gescheitert bin. Ich habe verschiedene Seiten dazu
> > in Debian- Wikis gelesen, außerdem "SELinux System Administration".
> > An "The SELinux Notebook" bin ich regelrecht abgeprallt.
> 
> Nun, das SELinux notebook ist sehr hilfreich und sehr umfangreich.

Das mag sein, wenn man schon eine ziemlich genaue Vorstellung davon hat, 
wie SELinux funktioniert und was es leistet. Ich habe keine Abneigung 
gegen Abstraktion, eher das Gegenteil, und ich verstehe, wie ein 
Betriebssystem aufgebaut ist und arbeitet. Trotzdem hat mir das Notebook 
nicht im geringsten geholfen. Mein Eindruck bei der Lektüre im SELinux-
Umfeld ist, dass die Autoren Betriebsblind geworden sind; sie kommen gar 
nicht darauf, welche Fragen Anfänger in Sachen SELinux oder Sicherheit 
im Allgemeinen haben. Eine Warnung zu Beginn wäre schon hilfreich: "Komm 
erst wieder, wenn du dich an den folgenden Stellen in X, Y und Z 
eingelesen hast."

> > Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben,
> > das Prüfsummen für Dateien berechnet, diese signiert und im
> > jeweiligen Verzeichnis als .checksums ablegt. Könnte ich die Rechte
> > dieses Skripts, auch wenn es von root gestartet wird, so
> > einschränken, dass es zwar alle Dateien lesen, aber nur .checksums
> > schreiben darf und nur Zugriff auf bestimmte GPG-Schlüssel hat? --
> > Ich hatte angenommen, dass es nach überschaubarem Zeitaufwand
> > (jedenfalls weniger, als es bei mir war) möglich sein müsste, diese
> > Fragen zu beantworten. Leider war das nicht so.
> 
> Das kann auf jeden fall gemacht werden. Die Idee ist allerdings, zu
> vermeiden, dass die Dateien ueberhaupt veraendert werden koennen.

Nun, irgendwie mussten die Dateien ursprünglich erstellt und geändert 
worden sein. Nur dürfen sie das von diesem bestimmten Prozess nicht 
mehr.

> > Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist,
> > aber für den beiläufigen Einsatz völlig ungeeignet. Falls hier
> > jemand mehr Erfolg mit SELinux hatte, wie seht ihr das?
> 
> SELinux ist NICHT "freundlich"-anything. Das wird aber auch nirgendwo
> behauptet.

Stimmt.

Michael

-- 
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/

Reply to:

Follow-Ups:
- Re: SELinux: verbreitet oder esoterisch?
  - From: Henning Follmann <hfollmann@itcfollmann.com>

References:
- SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>
- Re: SELinux: verbreitet oder esoterisch?
  - From: Henning Follmann <hfollmann@itcfollmann.com>

Prev by Date: Re: SELinux: verbreitet oder esoterisch?
Next by Date: Re: SELinux: verbreitet oder esoterisch?
Previous by thread: Re: SELinux: verbreitet oder esoterisch?
Next by thread: Re: SELinux: verbreitet oder esoterisch?
Index(es):
- Date
- Thread