Suse künftig mit SELinux
Die kommenden Versionen OpenSuse 11.1 und Suse Linux Enterprise Server (SLES) 11 sollen neben AppArmor die Sicherheitserweiterung SELinux enthalten.
Mit den kommenden Versionen OpenSuse 11.1 und Suse Linux Enterprise Server (SLES) 11 soll die Sicherheitserweiterung SELinux Einzug in die Suse-Distribution halten. Standardmäßig wird allerdings weiterhin AppArmor als Schutzmaßnahme aktiviert. Zunächst wollen die Entwickler lediglich die nötigen Kernel-Patches und Anpassungen von Anwendungen für den SELinux-Betrieb integrieren. Anwender, die SELinux unter Suse Linux verwenden wollen, sind dabei auf sich gestellt: Novell bietet weder Support noch vorgefertigte SELinux-Policies an.
AppArmor und SELinux sind zwei Sicherheitserweiterungen für Linux, die Anwendungen nur definierte Aktionen erlauben. Angreifer, die über eine Sicherheitslücke etwa in einem Server Zugang zum System erhalten, können daher nur begrenzt Schaden anrichten. Die beiden Sicherheitserweiterungen verfolgen allerdings unterschiedliche Ansätze. AppArmor definiert in Profilen die erlaubten Aktionen einzelner Programme und lässt sich daher stückweise zunächst nur für besonders gefährdete Anwendungen einführen.
SELinux dagegen betrifft das ganze System, indem alle Prozesse und Objekte Klassen zugeordnet werden. Regeln legen fest, welche Domäne (Prozessklasse) welche Aktionen mit welchem Typ (Objektklasse) durchführen darf (Type Enforcement) und schränkt über eine rollenbasierte Zugriffskontrolle (RBAC) die Allmacht von root ein. Ein funktonierendes SELinux-System erfordert typischerweise die Definition von mehreren tausend Domänen und Typen und zehntausenden von Regeln, die die erlaubten Zugriffe beschreiben.
Siehe dazu auch:
- Sicherheitserweiterungen für Linux, Artikel auf heise open
(odi)
