MAC für MAC

Früher hatte ein Prozess, der die Fähigkeit besaß, die Policy zu laden, auch die Möglichkeit, die gesamte Policy zu ändern. Die modulare Struktur erlaubt nun einen neuen Ansatz. Hierzu entwickelt Tresys Technology einen SE Linux Policy Server [6]. Dieser soll neben dem genannten Ziel auch zwei weitere verfolgen: neue Objekte unterstützen, die durch Userspace-Applikationen verwaltet werden, bis hin zu Datenbanken und ihren Tabellen. Zusätzlich soll der Policy Server eine bessere Infrastruktur für die zentrale Verwaltung der Policies mehrerer Systeme liefern.

In der ersten Preview-Version ist es bereits möglich, per Policy spezifische Änderungen an der Policy zu erlauben. Die Entwickler haben mit »policycon« ein neues Kommando eingeführt, das einzelne Policy-Module mit einem Security Context versieht. Anschließend kann eine eigene Policy die Modifikation der Policy gestatten. Hierfür ist wieder der »semodule«-Befehl zuständig, der dann mit dem Policy Server im Userspace kommuniziert. Für Produktionssysteme raten die Programmierer noch vom Einsatz des Policy Server ab. Leider ist es aktuell ein bisschen ruhig um seine Entwicklung geworden.

Entwicklung

Es gibt inzwischen eine recht große Benutzer- und Entwicklergemeinde rund um SE Linux, die weit über NSA (Abbildung 4), Tresys und Red Hat hinausgeht. Seit zwei Jahren findet jährlich das SE-Linux-Symposium [7] statt, bei dem im Februar 2006 an drei Tagen 29 Vorträge und fünf Tutorials rund um SE Linux stattfanden. Die Vortragsfolien stehen auf der Homepage des Symposium zum Download bereit.

Abbildung 4: Vor ein paar Jahren noch undenkbar - heute arbeitet die National Security Agency (NSA) aktiv an freier Software. Sie kooperiert bei SE Linux mit einer weltweit verteilten Entwickler-Community.

In der Entwicklung befindet sich beispielsweise die Integration des IPsec-Framework. Damit wird es möglich, SE Linux auch auf den Transport von Daten übers Netzwerk anzuwenden. Diese Arbeiten haben teilweise bereits Einzug in Kernel 2.6.16 gehalten [10].