SELinux & AppArmor

Zu diesem Thema

SELinux (Security Enhanced Linux, u.a. von der NSA entwickelt) bietet zusätzlich zum klassischen Rechtesystem (Benutzer A aus Gruppe X darf eine Datei lesen & schreiben, Benutzer B aus Gruppe Y nur lesen etc.) ein zusätzliches System, das nicht auf den UNIX Benutzern oder Gruppen basiert, sondern abstrakte Rollen und Typen verwendet und so nicht über klassische Wege, wie die Erlangung von Superuser-Rechten o.Ä. korrumpierbar ist.

Da SELinux im Gegensatz zu anderen ähnlichen Projekten bereits Bestandteil des Linux-Kernels 2.6 ist, ist es in fast jeder Linux-Distribution verfügbar und wird dort in Zukunft eine wichtige Rolle spielen. Wo bislang die Kenntnis des Rechtesystems ausreichte, werden Anwender künftig SELinux-Richtlinien verwalten können müssen, um die Sicherheit ihres System zu administrieren.

Zu diesem Titel

In seinem vierten Buch stellt Security-Guru Ralf Spenneberg dieses Rechte-System unter Linux vor. Nach einer Einführung in SELinux beschreibt er, wie gezielt oder allgemein vergebene Richtlinien zur Systemüberwachung verwaltet werden. Am Beispiel des Tomcat-Moduls für Apache zeigt Spenneberg, wie bestehende Richtlinien (hier zu Apache) auf neue Dienste (hier Tomcat) hin erweitert werden. Er zeigt auch, wie man mit SELinux neue Richtlinien für neue Dienste erstellt.