Re: SELinux: verbreitet oder esoterisch?
On Fri, Mar 28, 2014 at 05:16:59PM +0100, Michael Schuerig wrote:
> On Friday 28 March 2014 11:46:55 Henning Follmann wrote:
> > On Fri, Mar 28, 2014 at 03:41:28PM +0100, Michael Schuerig wrote:
> > > Ich habe in den letzten Wochen versucht, einen Eindruck/Einblick von
> > > SELinux zu bekommen. Trotz einigem Zeitaufwand habe ich das Gefühl,
> > > dass ich dabei gescheitert bin. Ich habe verschiedene Seiten dazu
> > > in Debian- Wikis gelesen, außerdem "SELinux System Administration".
> > > An "The SELinux Notebook" bin ich regelrecht abgeprallt.
> >
> > Nun, das SELinux notebook ist sehr hilfreich und sehr umfangreich.
>
> Das mag sein, wenn man schon eine ziemlich genaue Vorstellung davon hat,
> wie SELinux funktioniert und was es leistet. Ich habe keine Abneigung
> gegen Abstraktion, eher das Gegenteil, und ich verstehe, wie ein
> Betriebssystem aufgebaut ist und arbeitet. Trotzdem hat mir das Notebook
> nicht im geringsten geholfen. Mein Eindruck bei der Lektüre im SELinux-
> Umfeld ist, dass die Autoren Betriebsblind geworden sind; sie kommen gar
> nicht darauf, welche Fragen Anfänger in Sachen SELinux oder Sicherheit
> im Allgemeinen haben. Eine Warnung zu Beginn wäre schon hilfreich: "Komm
> erst wieder, wenn du dich an den folgenden Stellen in X, Y und Z
> eingelesen hast."
>
Schau, es ist alles ganz einfach oder extrem kompliziert.
Wenn Dir die standard POSIX access Mechanismen nicht ausreichen oder nicht
genug Flexibilitaet bieten, dann kannst Du Dich einfach entscheiden,
SELinux einzusetzen.
Danach wird alles kompliziert. Du musst genau verstehen, wie jedes einzelne
Program auf Derinem Rechner funktioniert. Sonst wirst Du es entweder daran
hindern seinen Dienst zu verrichten, oder Deine Regeln sind so grob wie die
standard POSIX Rechte. Es gibt hier keinen sanften Einstieg.
> > > Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben,
> > > das Prüfsummen für Dateien berechnet, diese signiert und im
> > > jeweiligen Verzeichnis als .checksums ablegt. Könnte ich die Rechte
> > > dieses Skripts, auch wenn es von root gestartet wird, so
> > > einschränken, dass es zwar alle Dateien lesen, aber nur .checksums
> > > schreiben darf und nur Zugriff auf bestimmte GPG-Schlüssel hat? --
> > > Ich hatte angenommen, dass es nach überschaubarem Zeitaufwand
> > > (jedenfalls weniger, als es bei mir war) möglich sein müsste, diese
> > > Fragen zu beantworten. Leider war das nicht so.
> >
> > Das kann auf jeden fall gemacht werden. Die Idee ist allerdings, zu
> > vermeiden, dass die Dateien ueberhaupt veraendert werden koennen.
>
> Nun, irgendwie mussten die Dateien ursprünglich erstellt und geändert
> worden sein. Nur dürfen sie das von diesem bestimmten Prozess nicht
> mehr.
>
Nun, Dein Ansatz ist die Ueberpruefung, ob sich etwas geaendert hat.
SELinux versucht sicher zu stellen, dass nur der berechtigte Prozess die
Datei anlegen/veraendern kann und sonst niemand. Es versucht also das zu
vermeiden, was Du ueberpruefst, ob es eingetreten ist.
In Theorie sollte ein mit SELinux abgesichertes System so gut wie
unangreifbar sein. Das ist aber nur Theorie und setzt ein absolutes Kennen
Deines Systems vorraus. Anhand der heutigen Komplexitaet von
Komputersystemen kann man davon ausgehen, dass es sich hier nur um die
theoretische perfekte Sicherheit handeln kann, der wir asymptotisch zu
naehern versuchen.
> > > Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist,
> > > aber für den beiläufigen Einsatz völlig ungeeignet. Falls hier
> > > jemand mehr Erfolg mit SELinux hatte, wie seht ihr das?
> >
> > SELinux ist NICHT "freundlich"-anything. Das wird aber auch nirgendwo
> > behauptet.
>
> Stimmt.
>
> Michael
--
Henning Follmann | hfollmann@itcfollmann.com
Reply to: