Re: SELinux: verbreitet oder esoterisch?

To: debian-user-german@lists.debian.org
Subject: Re: SELinux: verbreitet oder esoterisch?
From: Michael Schuerig <michael.lists@schuerig.de>
Date: Fri, 28 Mar 2014 19:43:09 +0100
Message-id: <[🔎] 1734827.Dqmg3N1vba@fuchsia>
In-reply-to: <[🔎] 20140328180042.GB20812@newton.itcfollmann.com>
References: <[🔎] 7240317.Jx0IdM3Ugi@fuchsia> <[🔎] 16430869.mIkN6DDdqC@fuchsia> <[🔎] 20140328180042.GB20812@newton.itcfollmann.com>

On Friday 28 March 2014 14:00:42 Henning Follmann wrote:
> On Fri, Mar 28, 2014 at 05:16:59PM +0100, Michael Schuerig wrote:
[...]
> Schau, es ist alles ganz einfach oder extrem kompliziert.
> Wenn Dir die standard POSIX access Mechanismen nicht ausreichen oder
> nicht genug Flexibilitaet bieten, dann kannst Du Dich einfach
> entscheiden, SELinux einzusetzen.
> Danach wird alles kompliziert. Du musst genau verstehen, wie jedes
> einzelne Program auf Derinem Rechner funktioniert. Sonst wirst Du es
> entweder daran hindern seinen Dienst zu verrichten, oder Deine Regeln
> sind so grob wie die standard POSIX Rechte. Es gibt hier keinen
> sanften Einstieg.

Da mag ich nicht folgen. Nur weil der Sachverhalt SELinux komplex ist, 
muss die Lernkurve nicht steil sein.

Man kann einem Anfänger durchaus grob sagen, welche Ergebnisse mit 
welchem Aufwand möglich sind. Etwa: Wenn du nur die Policy(ies) 
verwenden willst, die deine Distribution bereitstellt, dann musst du X 
und Y lernen und im Betrieb regelmäßig Z beachten. Wenn du außerdem 
selbst Policies erstellen willst, dann musst du zusätzlich A bis W 
lernen. Bevor du bei U angekommen bist, solltest du es nicht wagen, 
deine Kenntnisse auf einem Produktivsystem auszutoben.

> > > > Konkretes Beispiel: Ich habe über die Jahre ein Skript
> > > > geschrieben,
> > > > das Prüfsummen für Dateien berechnet, diese signiert und im
> > > > jeweiligen Verzeichnis als .checksums ablegt. Könnte ich die
> > > > Rechte
> > > > dieses Skripts, auch wenn es von root gestartet wird, so
> > > > einschränken, dass es zwar alle Dateien lesen, aber nur
> > > > .checksums
> > > > schreiben darf und nur Zugriff auf bestimmte GPG-Schlüssel hat?
> > > > --
> > > > Ich hatte angenommen, dass es nach überschaubarem Zeitaufwand
> > > > (jedenfalls weniger, als es bei mir war) möglich sein müsste,
> > > > diese
> > > > Fragen zu beantworten. Leider war das nicht so.
> > > 
> > > Das kann auf jeden fall gemacht werden. Die Idee ist allerdings,
> > > zu
> > > vermeiden, dass die Dateien ueberhaupt veraendert werden koennen.
> > 
> > Nun, irgendwie mussten die Dateien ursprünglich erstellt und
> > geändert
> > worden sein. Nur dürfen sie das von diesem bestimmten Prozess nicht
> > mehr.
> 
> Nun, Dein Ansatz ist die Ueberpruefung, ob sich etwas geaendert hat.
> SELinux versucht sicher zu stellen, dass nur der berechtigte Prozess
> die Datei anlegen/veraendern kann und sonst niemand. Es versucht also
> das zu vermeiden, was Du ueberpruefst, ob es eingetreten ist.

Das verstehe ich, geht aber an meinem Anwendungsfall vorbei. Ich brauche 
die Prüfsummen nicht, um lokal die Integrität sicherzustellen. Die 
derart abgesicherten Dateien gehen in mein Online-Backup; dabei werden 
sie zwar verschlüsselt (encfs --reverse), was aber nur für Geheimhaltung 
sorgt, nicht für Integrität.

Michael

-- 
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/

Reply to:

Follow-Ups:
- Re: SELinux: verbreitet oder esoterisch?
  - From: Henning Follmann <hfollmann@itcfollmann.com>

References:
- SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>
- Re: SELinux: verbreitet oder esoterisch?
  - From: Michael Schuerig <michael.lists@schuerig.de>
- Re: SELinux: verbreitet oder esoterisch?
  - From: Henning Follmann <hfollmann@itcfollmann.com>

Prev by Date: Re: SELinux: verbreitet oder esoterisch?
Next by Date: wheezy Standard-Editor aendern?
Previous by thread: Re: SELinux: verbreitet oder esoterisch?
Next by thread: Re: SELinux: verbreitet oder esoterisch?
Index(es):
- Date
- Thread