jilse schrieb am 11. Januar 2006 9:29
> Rick Janda schrieb am 11. Januar 2006 9:07
> > LIDS, SELinux, grsecurity, RBAC und jetzt noch AppArmor.
>
> LIDS ist ein "Intrusion Detection System" und damit etwas voellig
> anderes (es soll dafuer sorgen, dass ein Versagen der Security-
> Policy nicht unbemerkt bleibt, wenn es denn mal dazu kommen sollte).
> AppArmor ist die einzige solche Erweiterung, die nicht gleich eine
> komplette Umstellung des Systems erfordert, sondern bei der man
> einzelne Anwendungen nacheinander umstellen (fuer diese einzelnen
> Anwendungen Policys entwerfen und aktivieren) kann (jedenfalls
> wenn ich die Ankuendigung richtig verstanden habe). Damit hat es
> sicher seine Berechtigung.
LIDS ist kein klassisches Intrusion Detection System, auch wenn der
Name es vermuten läßt. Es bieten hautsächlich eine feingranulare
Rechteverwaltung, welche den Zugriff auf das Dateisystem und die
Nutzung von Capabilities (Die root Sonderrechte) mit Hilfe von ACL
aus dem Kernel heraus restriktriert und auch von root bzw. Programmen
mit root-Rechten nicht übergangen werden kann. Dieses System kann
ebenfalls schrittweise eingeführt werden und hat einen Lernmodus.
>
> > Alle bieten mehr oder weniger die selben Möglichkeiten
>
> Nein, die oben erwaehnte Moeglichkeit, das System nach und nach
> umzustellen ist AFAICS ein Alleinstellungsmerkmal von AppArmor.
siehe oben.
>
> > aber keins davon bietet alles
>
> Was genau fehlt dir z.B. bei SELinux?
SELinux wird nicht aktiv weiterentwickelt.
SELinux ist auf die Unterstützung vom Dateisystem angewiesen.
Es läuft z.B. nicht mit ReiseFS.
SELinux bietet nur unzureichende Möglichkeiten, root Capabilities
einzuschränken. Die Entwickler (Die NSA) empfehlen es nicht für den
produktiven Einsatz und setzen es selbst nicht ein. SELinux
implementiert nur Mandatory Access Control und keine weiteren
Sicherheitsfunktionen.
Die Konfiguration und Administration ist umständlich.
>
> > und jedes System ist anders zu konfigurieren.
>
> Das bringt es nun mal mit sich, wenn unterschiedliche Projekte
> (auch fuer unterschiedliche Ansprueche) gestartet werden ...
Die Ansprüche sind nicht so unterschiedlich, alle Projekte ordnen
Programmen und nicht Usern feingranulare Rechte zu, die vom Kernel
erzwungen werden und auch von Root nicht übergangen werden können.
Sie unterscheiden sich primär in der Konfiguration und welche
Bereiche sie mit ihren Zugriffsrestriktionen abdecken.
Also warum nicht ein gut designtes, alle Bereiche abdeckendes
Sicherheitssystem standardmäßig im Kernel, verbunden mit einer
einfachen Konfigurierbarkeit. Solaris hat das z.B. auch schon seit
Version 9 natlos im ganzen System integriert. Es scheint also möglich
zu sein.
> Rick Janda schrieb am 11. Januar 2006 9:07
> > LIDS, SELinux, grsecurity, RBAC und jetzt noch AppArmor.
>
> LIDS ist ein "Intrusion Detection System" und damit etwas voellig
> anderes (es soll dafuer sorgen, dass ein Versagen der Security-
> Policy nicht unbemerkt bleibt, wenn es denn mal dazu kommen sollte).
> AppArmor ist die einzige solche Erweiterung, die nicht gleich eine
> komplette Umstellung des Systems erfordert, sondern bei der man
> einzelne Anwendungen nacheinander umstellen (fuer diese einzelnen
> Anwendungen Policys entwerfen und aktivieren) kann (jedenfalls
> wenn ich die Ankuendigung richtig verstanden habe). Damit hat es
> sicher seine Berechtigung.
LIDS ist kein klassisches Intrusion Detection System, auch wenn der
Name es vermuten läßt. Es bieten hautsächlich eine feingranulare
Rechteverwaltung, welche den Zugriff auf das Dateisystem und die
Nutzung von Capabilities (Die root Sonderrechte) mit Hilfe von ACL
aus dem Kernel heraus restriktriert und auch von root bzw. Programmen
mit root-Rechten nicht übergangen werden kann. Dieses System kann
ebenfalls schrittweise eingeführt werden und hat einen Lernmodus.
>
> > Alle bieten mehr oder weniger die selben Möglichkeiten
>
> Nein, die oben erwaehnte Moeglichkeit, das System nach und nach
> umzustellen ist AFAICS ein Alleinstellungsmerkmal von AppArmor.
siehe oben.
>
> > aber keins davon bietet alles
>
> Was genau fehlt dir z.B. bei SELinux?
SELinux wird nicht aktiv weiterentwickelt.
SELinux ist auf die Unterstützung vom Dateisystem angewiesen.
Es läuft z.B. nicht mit ReiseFS.
SELinux bietet nur unzureichende Möglichkeiten, root Capabilities
einzuschränken. Die Entwickler (Die NSA) empfehlen es nicht für den
produktiven Einsatz und setzen es selbst nicht ein. SELinux
implementiert nur Mandatory Access Control und keine weiteren
Sicherheitsfunktionen.
Die Konfiguration und Administration ist umständlich.
>
> > und jedes System ist anders zu konfigurieren.
>
> Das bringt es nun mal mit sich, wenn unterschiedliche Projekte
> (auch fuer unterschiedliche Ansprueche) gestartet werden ...
Die Ansprüche sind nicht so unterschiedlich, alle Projekte ordnen
Programmen und nicht Usern feingranulare Rechte zu, die vom Kernel
erzwungen werden und auch von Root nicht übergangen werden können.
Sie unterscheiden sich primär in der Konfiguration und welche
Bereiche sie mit ihren Zugriffsrestriktionen abdecken.
Also warum nicht ein gut designtes, alle Bereiche abdeckendes
Sicherheitssystem standardmäßig im Kernel, verbunden mit einer
einfachen Konfigurierbarkeit. Solaris hat das z.B. auch schon seit
Version 9 natlos im ganzen System integriert. Es scheint also möglich
zu sein.