SE Linux bringt Mandatory Access Control in den Kernel

Keine Unsicherheit

Beim Einsatz von SE Linux befürchten viele Administratoren sich zusätzliche Sicherheitslücken ins System zu holen. Die große und als Ganzes kaum verständliche Policy trägt viel zu dieser Verunsicherung bei. Dennoch lohnt es, sich Gedanken über den Einsatz eines MAC-Systems wie SE Linux zu machen (eine Liste unterstützter Distributionen finde sich auf [2]). Es verbessert auf jeden Fall die Sicherheit des Systems - SE Linux kann einem Prozess keine zusätzlichen Privilegien verpassen, die er ohne MAC nicht hätte. SE Linux entscheidet nicht alleine, ob ein Zugriff erlaubt ist, auch das normale Linux-DAC muss den Zugriff nach allen herkömmlichen Kriterien erlauben.

Bleibt zu hoffen, dass die SE-Linux-Entwickler weiter an der Benutzbarkeit arbeiten. Mit der Modularisierung und dem Policy Server sind die Grundlagen dafür bereits gelegt. (fjl)

Infos
[1] NSA-Website zu SE Linux: [http://www.nsa.gov/selinux/] [2] SE Linux for Distributions: [http://selinux.sourceforge.net] [3] SE Linux Reference Policy: [http://serefpolicy.sourceforge.net] [4] Tresys: [http://www.tresys.com] [5] Slide: [http://selinux-ide.sourceforge.net] [6] SE Linux Policy Server: [http://sepolicy-server.sourceforge.net] [7] SE-Linux-Symposium: [http://www.selinux-symposium.org] [8] Slide-Installation: [http://www.tresys.com/files/eclipse-update/] [9] MCS-Einführung: [http://james-morris.livejournal.com/8228.html] [10] SE Linux für IPsec: [http://marc.theaimsgroup.com/?l=linux-netdev&m=113234097011133&w=2] [11] Konstantin Agouros, Carsten Grohmann und Achim Leitner, "Regel-recht - Security Enhanced Linux im Einsatz": Linux-Magazin 01/03, S. 38 [12] Carsten Grohmann, "Regel-Praxis - Zugriffs-Policy für SE Linux": Linux-Magazin 02/03, S. 62

Infos

[1] NSA-Website zu SE Linux: [http://www.nsa.gov/selinux/]

[2] SE Linux for Distributions: [http://selinux.sourceforge.net]

[3] SE Linux Reference Policy: [http://serefpolicy.sourceforge.net]

[4] Tresys: [http://www.tresys.com]

[5] Slide: [http://selinux-ide.sourceforge.net]

[6] SE Linux Policy Server: [http://sepolicy-server.sourceforge.net]

[7] SE-Linux-Symposium: [http://www.selinux-symposium.org]

[8] Slide-Installation: [http://www.tresys.com/files/eclipse-update/]

[9] MCS-Einführung: [http://james-morris.livejournal.com/8228.html]

[10] SE Linux für IPsec: [http://marc.theaimsgroup.com/?l=linux-netdev&m=113234097011133&w=2]

[11] Konstantin Agouros, Carsten Grohmann und Achim Leitner, "Regel-recht - Security Enhanced Linux im Einsatz": Linux-Magazin 01/03, S. 38

[12] Carsten Grohmann, "Regel-Praxis - Zugriffs-Policy für SE Linux": Linux-Magazin 02/03, S. 62

Der Autor
Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer, Berater und Autor. Er veröffentlichte mehrere Bücher zu Intrusion Detection und virtuellen private Netzwerken. Vor wenigen Wochen ist sein neues Buch "Linux Firewalls mit Iptables & Co" erschienen.

Der Autor

Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer, Berater und Autor. Er veröffentlichte mehrere Bücher zu Intrusion Detection und virtuellen private Netzwerken. Vor wenigen Wochen ist sein neues Buch "Linux Firewalls mit Iptables & Co" erschienen.