[sage-berlin] Adminstammtisch – 06.07. – Wenn rwx mit ugo zu ungenau ist – SELinux und AppArmor (Jörg Brühe)
Jens Link
jenslink at quux.de
Mi Jun 28 17:37:34 CEST 2017
Hallo zusammen,
auch im Juli gibt es wieder einen Adminstammtisch mit Vortrag.
Diesmal erklärt und Jörg Brühe SELinux und AppArmor (Abstract siehe
unten)
Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 0.001 (Achtung anderer Raum als beim letzten Mal)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)
Zeit: 19:00
Sprache/Language: Deutsch
Anmeldung zum Bier danach / Registration for food and beer after the
talk:
http://doodle.com/poll/we6s4ssz5786axkf
Viele Grüße
Jens
Abstract
Linux verwaltet Zugriffsrechte als Erlaubnis zum Lesen (“r”), Schreiben
(“w”) und Ausführen (“x”) für den Eigentümer (“u”), die Gruppe (“g”) und alle
anderen (“o”).
So haben alle Anwendungen für einen Benutzer die gleichen Rechte, das
ist aber oft nicht sinnvoll:
Mein Mail-Client muss mein Adressbuch lesen und ändern können,
aber warum soll z.B. mein Browser das tun dürfen?
Die Kernel-Erweiterungen “SELinux” (“Security-Enhanced Linux”) und
“AppArmor”(“Application Armor”) ändern das: Sie prüfen alle Zugriffe der
Anwendungen und blockieren, was in der eingerichteten Sicherheits-politik nicht
vorgesehen ist.
Im Vortrag werden diese beiden Systeme vorgestellt und die grundlegenden
Admininistrations-Aufgaben beschrieben:
– den Status der Komponente bestimmen und ändern (an- und ausschalten),
– die eingestellte Politik anzeigen lassen und kontrollieren,
– die Zugriffs-Erlaubnisse ändern,
– die Defaults (der Distribution) an die geänderte Anwendungs-
Konfiguration (Port, Data Directory, …) anpassen
(statt die Zugriffskontrolle einfach abzuschalten).
Ziel ist, dass Administratoren das verfügbare System (je nach
Distribution: AppArmor oder SELinux) nutzen. Das setzt bei Abweichungen
vom Default (z.B. Datenverzeichnisse auf separaten Filesystemen) die
Anpassung voraus, statt die Zugriffskontrolle einfach abzuschalten.
Die vielen Abschalt-Empfehlungen bringen nur eine kurzfristige
Erleichterung, aber sie schwächen (völlig unnötig!) die Sicherheit des
(Datenbank-)Servers.
Mehr Informationen über die Mailingliste SAGE-Berlin