Forums Neueste Beiträge
 

Brauch ich PAM oder SeLinux für einen LAMP+Mail+FTP-Server?

16/12/2008 - 11:49 von leon.dignon | Report spam
Hallo,

ich habe ein Projekt und möchte einen LAMP+Mail+FTP-Server auf
Debian-4-Basis aufziehen.

Ich habe ein Buch bei der Hand, dass zum Thema Sicherheit ein paar
Dinge abdeckt. Was jedoch PAM oder SeLinux ist nicht. Ich habe davon
schon gehört und weiß, dass PAM zur einheitlichen Authentifizierung
dient und SeLinux wohl bestimmt, welche Dienste oder Benutzer wann
Zugriff auf das System, bzw. Dienste haben. SO ganz habe ich das nicht
verstanden. Ich finde leider die Literatur im Internet zu beiden
Themen sehr schlecht und kann das nicht verstehen. Schon alleine die
Wikipedia-Artikel bieten m. E. keine Informationen, die einem
Einsteiger begreiflichen machen können, was sie bringen.

Darum Frage ich nun ganz konkret:

Was bringt mir, oder warum sollte ich PAM oder SeLinux installieren
und mich intensiver mit den Themen auseinandersetzen? ... auf einem
Server, auf einem typischen Webserver mit Apache, MySQL, PHP,
Mailserver, FTP und Bind?

Bitte versteht das nicht als Faulheit, aber ohne eine Vorstellung, was
diese Software mir an Vorteilen bringt, kann ich nicht mich nicht
gezielt informieren, wie es funktioniert. Und die Literatur bisher hat
mir nicht weitergeholfen.

Veiele Grüße

Léon Dignòn
 

Lesen sie die antworten

#1 Joerg Hoh
16/12/2008 - 19:07 | Warnen spam
schrieb

Was bringt mir, oder warum sollte ich PAM oder SeLinux installieren
und mich intensiver mit den Themen auseinandersetzen? ... auf einem
Server, auf einem typischen Webserver mit Apache, MySQL, PHP,
Mailserver, FTP und Bind?



PAM und selinux sind erstmal zwei völlig unterschiedliche Konzepte: PAM
ist -- wie bereits von dir gesagt -- geeignet, eine zentrale
Authentifizierung durchzuführen (mit ein paar extra Modulen noch etwas
mehr, aber das sei jetzt ausgeklammert). Seien es jetzt Shell-Zugànge,
FTP, HTTP-Auth oder haste nicht gesehen.

SELinux bietet dir einen RBAC (role-based access control) Mechanismus
für Linux an (andere Unix-Systeme haben sowas schon etwas lànger). Damit
hast du die Möglichkeit, die Rechte, die ein User hat, über die
klassischen Filesystemgrenzen hinaus zu begrenzen. So kann man
beispielsweise dem wwwwrun-User, den einige Distributionen als
Instanzuser des Apache vorsehen, verbieten, einen TCP-Verbindung nach
aussen aufzumachen. Oder auf andere Dateien als die Logfiles schreibend
zuzugreifen. Man kann sehr viel damit machen, ist allerdings ein
gigantischer Aufwand, das Regelwerk vollstàndig von Hand zu machen. Die
meisten Distributionen bieten da Vorschlàge bzw fertige Regelsàtze für
bestimmte Anwendungen.


Gruß
Jörg
What did you do to the cat? It looks half-dead. -Schroedinger's wife

Ähnliche fragen