Mit SELinux ist GNU/Linux das erste "Standardbetriebssystem"
mit größerer Verbreitung, welches Sicherheitskonzepte verwenden,
welche man sonst nur aus sicherheitskritischen Umgebungen kennt
(MAC, RBAC und MLS,MCS). [S: Linuxsicherheit]
Nach [Tu Ilmenau BS WS12/13] ist die Sicherheitspolitik seit 40 Jahren die erste neue Abstraktion. (Pipes, Sockets, RPC,NFS und dann Sicherheitspolitiken!)
Architektur
Flask
- mandatory Security: Sicherheit wird durch geladene Politiken eingestellt, diese kann nicht durch einen leichtsinnigen Nutzer oder eine sich fehlverhaltene Applikation veränder werden [Selinuxwiki]
- Feinere Zugriffskontrolle: z.B. Kann ein Nutzer seinem E-Mailclient weniger Rechte geben, so dass dieser nicht auf die ssh-Keys zugreifen kann.
Umgang
- Begriffe
- Kommandoübersicht
- Konfiguration
- Administrationsaufgaben
- Entwicklung eigener Politiken
- Einzelheiten bei verschiedenen Distributionen
- Redhat über polyinstanziierte Verzeichnisse
- in /etc/security/namespace.conf wird das für PAM konfiguriert
Politikarten
targeted
Targeted beschränkt die Netzdienste, die das Einfallstor von Angriffen sind, die Nutzer-initiierten Programme laufen unbeschränkt [Fedora]
- Redhat Anleitung zum Umstieg auf MLS
- Modifikation der erlaubten MLS-Levels der Nutzer
Links
- S.S.: "Implementing SELinux as a Linux Security Module"
- Wikipedia
- [Selinuxwiki] SELinux Projekt (Wiki)
- Userspace-Tools
- [TSAM] TS: "Mandatory-Access-Control mit SE Linux"
-
beschreibt die grundlegende Nutzung
- DW: "A step-by-step guide to building a new SELinux policy module"
-
- NB RefPolicy
-
dies ist die Referenzpolicy vom NSA, modularisiert und weiterentwickelt von Redhat und Tresys
- [SE-Linux Notebook]SE-Linux Notebook
-
Weiteres
Meist sind die Objektmanager im Kern. Es gibt aber auch welche im Userspace. Diese arbeiten mit libselinux[SE-Linux Notebook]
- sepgsql
-
ist PostgreSQL mit SELinux-Anbindung
- XSELinux
-
Schutz des X Window Systems
Experimente
Informatik- und Netzwerkverein Ravensburg e.V
Rudolf Weber