Security Enhanced Linux oder App Armor: Welche Rüstung besser auf den eigenen Bedarf passt und wie gut sie feindliche Attacken abwehrt, darüber lässt sich trefflich streiten. Genau dazu hat das Linux-Magazin zwei prominente Verfechter aufgefordert.
Novell und Red Hat liefern sich derzeit eine wortreiche Auseinandersetzung um das beste Schutzsystem für Linux. Während Red Hat seit Jahren auf SE Linux setzt, schickt Novell nach dem Kauf von Immunix eine eigene Lösung ins Rennen: App Armor. Beide unterstehen der GPL, wollen Linux sicherer machen, die Folgen von Attacken abmildern und dem Admin mehr Kontrolle über die Rechte seiner Applikationen geben (siehe die jeweiligen Artikel im Heft).
Das Linux-Magazin gab Vertretern beider Lager die Gelegenheit, sich zu ihrer Motivation zu äußern. Zunächst präsentiert Crispin Cowan die Vorteile von App Armor. Im Anschluss erklärt Daniel Riek, warum Red Hat bei SE Linux bleibt.
App Armor [1] verfolgt wie auch SE Linux das Ziel, die Systemsicherheit zu erhöhen. Im Detail unterscheiden sich ihre Ziele aber: App Armor sichert einzelne Applikationen vor latenten Macken. Es schützt das ganze System vor bestimmten Bedrohungen, etwa Angriffen über das Netzwerk, indem es alle netzwerkfähigen Programme einzeln unter seine Fittiche nimmt.
SE Linux will dagegen das komplette System kontrollieren und berücksichtigt Eigenschaften wie den Informationsfluss. Als Kehrseite ist die hohe Komplexität der Software zu sehen. Die ursprünglich ausgelieferte Strict Policy stellte sich als zu strikt und damit unbenutzbar heraus. In der Folge näherte sich SE Linux dem App-Armor-Modell an: Die neue Target Policy simuliert das Zugriffskontrollmodell von App Armor, beide orientieren sich an den Applikationen.
Bei App Armor beschränkt der Admin seine Applikationen anhand vertrauter Kriterien. Er nennt das zu schützende Programm und die Files, auf die es zugreifen darf, mit ihrem absoluten Pfadnamen. Die Zugriffsmodi tragen die geläufigen Kürzel »r« für Lesen und »w« für Schreiben. Für Dateisammlungen sind traditionelle Shell-Metazeichen zuständig, beispielsweise gestattet der Eintrag »/home/*/public_html/**.html r« den Lesezugriff auf ».html«-Dateien in den »public_html«-Ordnern aller Anwender.
Umfang: 3 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
