Linux gepanzert und abgeschirmt

Linux gepanzert und abgeschirmt

27. Oktober 2006 - Mit AppArmor werden Mandatory Access Controls in Linux auch für Normalsterbliche benutzbar und sind mit Yast einfach zu konfigurieren.
Artikel erschienen in IT Magazine 2006/19

Mit SELinux (Security-Enhanced Linux) existiert bereits seit einiger Zeit eine Linux-Erweiterung, die über das klassische Rechtemodell auf Dateisystembasis hinausgeht und Mandatory Access Controls implementiert. Allerdings hat SELinux den Ruf, nicht gerade einfach zu bedienen zu sein. Novell hat nun mit AppArmor eine deutlich leichter verdauliche Alternative geschaffen, die bereits seit Suse Linux 10 Bestandteil der eigenen Distributionen ist, aber auch weniger Möglichkeiten als SELinux bietet.


Regeln statt Identitäten

Mandatory Access Controls (MAC) stellen eine wichtige Erweiterung des klassischen Unix-Rechte-Konzepts dar. Denn sie ermöglichen eine feiner granulierte Zugriffssteuerung, die nicht einmal auf Dateien begrenzt sein muss, sondern auch auf Prozesse oder Ressourcen wie Netzwerkverbindungen erweitert werden kann. Dabei wird nicht anhand der Identität des Anwenders und des jeweiligen Objekts, auf das zugegriffen werden soll, über die Zugriffsberechtigung entschieden, sondern aufgrund von Regeln und Eigenschaften des Anwenders und des Objekts. Das Problem bei MAC besteht jedoch in der komplexen Konfiguration, da im Prinzip für jedes Programm oder jede Datei Regelsätze definiert werden müssen. Dies ist selbst bei Servern mit einem limitierten Funktionsumfang mit einem sehr grossen Aufwand verbunden. Dies verschärft sich im Falle von SELinux noch dadurch, dass es Label-basiert ist und über m4-Macros konfiguriert wird, was nicht sonderlich anwenderfreundlich ist. Die Komplexität ist es also, die dazu führt, dass das von der National Security Agency federführend entwickelte SELinux nicht wirklich verbreitet ist, obwohl es zur Standardausstattung des Linux-Kernels und der Distributionen aus dem Hause Red Hat gehört.




Einen etwas anderen Weg geht nun Novell mit AppArmor. AppArmor hiess ursprünglich Subdomain und war das Hauptprodukt von Immunix, bevor das Unternehmen samt der Produkte von Novell aufgekauft und Subdomain in AppArmor umgetauft wurde. Es hat mit SELinux auf den ersten Blick einiges gemeinsam: So gehört es zur Standardausstattung der Linux-Distributionen von Novell, klinkt sich ebenfalls über das Linux-Security-Modules-Interface (LSM) in den Kernel ein und implementiert MAC. AppArmor verzichtet aber durch eine andere Funktionsweise und deutlich weniger Features auf die Komplexität von SELinux. Zudem sind die Konfigurationsdateien viel einfacher zu verstehen. Vereinfacht gesagt ist SELinux für den Profi und AppArmor auf den ambitionierten Einsteiger zugeschnitten.

 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER