Nieuws
image

SELinux: veiligheid ten koste van bruikbaarheid

dinsdag 12 december 2006, 10:43 door Redactie, 11 reacties

De veiligheid van besturingssystemen draait om het beheren van de toegang. Via het Discretionary Access Control (DAC) mechanisme is het in Linux distributies mogelijk om te bepalen wie toegang tot een resource krijgt en op welke manier. DAC is echter geen ideale oplossing, omdat het applicaties dezelfde privileges geeft als de gebruiker die ze draait.

Een gecompromitteerde applicatie die als root draait, brengt het hele systeem in gevaar. Als antwoord heeft men Mandatory Access Control (MAC) ontwikkeld, dat toegang tot een resource regelt aan de hand van een security policy, ongeacht welke gebruiker de applicatie draait. Het Security Enhanced Linux (SELinux) project is de eerste "mainstream" implementatie van MAC.

SELinux is ontwikkeld door de National Security Agency, maar in 2000 teruggegeven aan de open source gemeenschap. Alle veiligheid gaat echter ten koste van de bruikbaarheid, en gebruikers moeten dan ook wel even wennen. Toch zijn er allerlei tools die het leven van de SELinux gebruiker makkelijker maken, zoals dit artikel beschrijft.

Reacties (11)
12-12-2006, 11:35 door Anoniem
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.
12-12-2006, 12:58 door Anoniem
Door Anoniem
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.

Als je niet weet wat je aan het doen bent worden msi's zelfs
moeilijk....

RTFM...
12-12-2006, 13:11 door Anoniem
Door Anoniem
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.) dan viel het nog wel mee, maar het is zwaar klote om
zelf een gehardende SElinux machine in te richten, daar ben
je een maand mee zoet.

Welnee. Installeren en de juiste policy applyen. Helemaal
geen probleem, duurt nog geen uur.
12-12-2006, 14:13 door [Account Verwijderd]
[Verwijderd]
12-12-2006, 14:28 door Anoniem
Door rookie
Zo hoe voelen die LinuxGoeroes zich nu met een NSA hun zijde
die een dikke vinger in de pap bij linux hebben :+)

redelijk lekker........ aangezien SElinux geschikt word geacht voor een zeer
veilige werkomgeving door een 'gewaardeerd' open-source partner.

De NSA doet meer dan alleen maar speuren en aangezien SElinux open-
source is kan iedereen de broncode bekijken en controleren op mogelijke
onregelmatigheden.
12-12-2006, 14:35 door Anoniem
Voor wie het nut van SElinux inziet maar door de taaiheid van de
instellingen weerhouden wordt: http://seedit.sourceforge.net/.
Ben benieuwd of mensen er al ervaring mee hebben.
Ik moet 'm zelf ook nog proberen.
13-12-2006, 09:24 door Anoniem
voor normaal gebruik werken de standaard selinux policies prima

ikzelf draai al sinds fc3 met selinux en heb nog geen rare
dingen meegemaakt. zolang je maar even de tijd neemt om te
leren hoe het in elkaar steekt valt het allemaal heel erg mee.

sind fc5 zit er nu ook selinux module support in fedora core
en dat werkt erg prettig en makkelijk. Ik heb tot nu toe nog
geen server gehackt zien worden waar selinux op draait (in
tegenstelling tot vergelijkbare systemen zonder selinux). En
ik heb er toch zo'n 600 in m'n beheer.
13-12-2006, 13:45 door Anoniem
RBAC dus. Waarvan akte op
http://www.nsa.gov/selinux/papers/ottawa01/node3.html

Het zou de redactie sieren de websites van de producten ook
echt te bezoeken ipv het nablaten van 'experts' op vage
derderangssites.
13-12-2006, 14:02 door Anoniem
Door Anoniem

sind fc5 zit er nu ook selinux module support in fedora core
en dat werkt erg prettig en makkelijk. Ik heb tot nu toe nog
geen server gehackt zien worden waar selinux op draait (in
tegenstelling tot vergelijkbare systemen zonder selinux). En
ik heb er toch zo'n 600 in m'n beheer.

geen dingen door elkaar halen..
een hacker kan nog best een selinux bak hacken maar het punt
zit em in het voledig compromiteren van het systeem.

maw, een hacker zou best root kunnen verkrijgen door het
hacken van een kwetsbare service maar nooit meer kunnen doen
dan de selinux policy voor die bepaalde service toelaat.

dus het is best mogelijk dat een van jouw bakken een
bepaalde service is gehacked en aktief wordt misbruikt.

geeft meteen al aan dat dat een hack dus ook minder opvalt
omdat het automatisch wordt beperkt tot de gehackte service
en een rootkit detector dus wellicht ook minder goed werkt.

old skool hackers nemen graag een compleet syteem over door
het installeren van een rootkit maar dat zal niet/moeilijker
gaan met selinux.

neemt niet weg dat als een hacker bv je ftp server weet over
te nemen dat hij die wel tot illegale software server zou
kunnen omtoveren maar niet de rest van het systeem kan
overnemen.
13-12-2006, 15:08 door Anoniem
Beetje offtopic:
Door Anoniem
Als tools gebruikers vriendelijker waren (lees grafisch
b.v.)
Grappig dat veel mensen grafisch direct koppelen aan
gebruiksvriendelijk, terwijl er zeer onhandige GUI's zijn en
geweldige commandline programma's (Hiermee doel ik overigens
niet op SELinux maar algemeen).
14-12-2006, 13:03 door Anoniem
Door Anoniem
geen dingen door elkaar halen..
een hacker kan nog best een selinux bak hacken maar het punt
zit em in het voledig compromiteren van het systeem.

Daar heb je helemaal gelijk in. Geen woord aan toe te voegen.

Om een voorbeeld te geven van wat ik bedoel:

ik merk dat bijvoorbeeld lekke websites niet meer misbruikt
kunnen worden.
Software die door een php scripts (e.d.) wordt gedownload
wordt op de server opgeslagen in de context
httpd_sys_content_t. En deze context is per definitie weer
niet executable doordat de apache server in de httpd_t
context draait. De selinux policy staat namelijk niet toe
dat software uit de httpd_t context dingen kan executen met
de httpd_sys_content_t context.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search