Forums Neueste Beiträge
 

SELinux: verbreitet oder esoterisch?

28/03/2014 - 15:50 von Michael Schuerig | Report spam
Ich habe in den letzten Wochen versucht, einen Eindruck/Einblick von
SELinux zu bekommen. Trotz einigem Zeitaufwand habe ich das Gefühl, dass
ich dabei gescheitert bin. Ich habe verschiedene Seiten dazu in Debian-
Wikis gelesen, außerdem "SELinux System Administration". An "The SELinux
Notebook" bin ich regelrecht abgeprallt.

An keiner dieser Stellen habe ich die geeignete Informationen gefunden,
die mir bei der Entscheidung helfen, ob ich SELinux überhaupt würde
einsetzen wollen. Keine Beispiele für Einsatzszenarien im Großen, keine
Beispiele im Kleinen, wie die Rechte einer Anwendung (oder eines
"Kontextes") eingeschrànkt werden könnten.

Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben, das
Prüfsummen für Dateien berechnet, diese signiert und im jeweiligen
Verzeichnis als .checksums ablegt. Könnte ich die Rechte dieses Skripts,
auch wenn es von root gestartet wird, so einschrànken, dass es zwar alle
Dateien lesen, aber nur .checksums schreiben darf und nur Zugriff auf
bestimmte GPG-Schlüssel hat? -- Ich hatte angenommen, dass es nach
überschaubarem Zeitaufwand (jedenfalls weniger, als es bei mir war)
möglich sein müsste, diese Fragen zu beantworten. Leider war das nicht
so.

Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist, aber
für den beilàufigen Einsatz völlig ungeeignet. Falls hier jemand mehr
Erfolg mit SELinux hatte, wie seht ihr das?

Michael

Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/7240317.Jx0IdM3Ugi@fuchsia
 

Lesen sie die antworten

#1 Michael Stummvoll
28/03/2014 - 16:40 | Warnen spam
On Fri, 28 Mar 2014 15:41:28 +0100
Michael Schuerig wrote:

An keiner dieser Stellen habe ich die geeignete Informationen
gefunden, die mir bei der Entscheidung helfen, ob ich SELinux
überhaupt würde einsetzen wollen. Keine Beispiele für
Einsatzszenarien im Großen, keine Beispiele im Kleinen, wie die
Rechte einer Anwendung (oder eines "Kontextes") eingeschrànkt werden
könnten.



Die Frage, ob du SELinux einsetzen willst ist relativ fix mit der Frage
beantwortet, ob du die Standard-Zugriffsrechtesytem unter Unix bzw
Linux für ausreichend empfindest. Dieses ist relativ simpel gestrickt,
was es leicht verstàndlich macht, hat genau deswegen aber auch seine
Schwàchen. Zum Beispiel hat dein Browser sehr wahrscheinlich Zugriff
auf deinen privaten SSH-Schlüssel, oder die konfigurierten Konten
deines Mail-Clients. Manche Leute empfinden das als unnötiges
Sicherheitsrisiko, und genau hier setzt SELinux an.

Ob dir eine etwas erhöhte Sicherheit einen (nicht unerheblichen)
Konfigurations-Mehraufwand Wert ist, musst du für dich selbst
entscheiden.

Konkretes Beispiel: Ich habe über die Jahre ein Skript geschrieben,
das Prüfsummen für Dateien berechnet, diese signiert und im
jeweiligen Verzeichnis als .checksums ablegt. Könnte ich die Rechte
dieses Skripts, auch wenn es von root gestartet wird, so
einschrànken, dass es zwar alle Dateien lesen, aber nur .checksums
schreiben darf und nur Zugriff auf bestimmte GPG-Schlüssel hat? --
Ich hatte angenommen, dass es nach überschaubarem Zeitaufwand
(jedenfalls weniger, als es bei mir war) möglich sein müsste, diese
Fragen zu beantworten. Leider war das nicht so.



Auch das sollte mit SELinux machbar sein. Aber wieso làuft das Script
überhaupt als root?

Meine "Zwischenfolgerung" ist, dass SELinux expertenfreundlich ist,
aber für den beilàufigen Einsatz völlig ungeeignet. Falls hier jemand
mehr Erfolg mit SELinux hatte, wie seht ihr das?



Auf den Chemnitzer Linuxtagen gab es einen guten Vortrag über SELinux.
Leider sind davon bisher nur die Folien verfügbar:
http://chemnitzer.linux-tage.de/201...detail/321


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen