Wenn rwx mit ugo zu ungenau ist - SELinux und AppArmor

Unix-Systeme (also auch Linux) verwalten Zugriffsrechte als Erlaubnis zum Lesen ("r"), Schreiben ("w") und Ausführen ("x") für den Eigentümer ("u"), die Gruppe ("g") und alle anderen ("o"). Dieses System unterscheidet nur nach Benutzern, aber nicht nach Anwendungen: Was das Programm X nach Aufruf durch den Benutzer "meier" tun darf, das dürfen auch die Programme Y und Z.

Hier setzen die Kernel-Erweiterungen "SELinux" ("Security-Enhanced Linux") und "AppArmor" ("Application Armor") an: Sie prüfen alle Zugriffe der überwachten Anwendungen und verhindern diejenigen, die in der eingerichteten Sicherheitspolitik nicht vorgesehen sind. Dieser Gewinn an Sicherheit bewirkt einen Mehraufwand bei der Administration: Wenn zusätzliche Anwendungen überwacht werden sollen oder die Daten einer Anwendung an einem Nicht-Standard-Pfad abgelegt werden sollen, müssen die erlaubten Zugriffe eingerichtet bzw. angepasst werden.

Manchen Administratoren ist das zu viel Aufwand: Sie schalten SELinux bzw. AppArmor auf dem System aus. Das erhöht natürlich die Flexibilität und vermeidet Probleme, die durch unvollständige Regeln entstehen (zu erlaubende Zugriffe, die im Test nicht erfasst wurden), aber es reduziert die Sicherheit.

Im Vortrag werden diese beiden Systeme vorgestellt und die grundlegenden Administrations-Aufgaben beschrieben:

  • den Status der Komponente bestimmen und ändern (an- und ausschalten),
  • die eingestellte Politik anzeigen lassen und kontrollieren,
  • für erfasste Anwendungen die erlaubten Zugriffe ändern, z.B. wegen der Benutzung von Nicht-Standard-Verzeichnissen.

Referent:

Jörg BrüheSeit seinem Studium hat sich Jörg Brühe mit SQL-Datenbanksystemen befasst, bevorzugt auf Unix-Plattformen. Das begann im Entwicklungsteam eines verteilten DBMS, bei dem er sich um die Portierung auf Unix-Systeme kümmerte, Kunden-Probleme bearbeitete und Diagnose-Tools schrieb. Nach der Produkt-Einstellung wechselte er in das Build-Team von MySQL, neben Tests und Paketierung waren auch dort die Skripte rund um Installation und Betrieb ein wichtiges Thema. Danach arbeitete Jörg Brühe als DBA bei einem Web-Portal, wo er schwerpunktmäßig die MySQL-Installationen betreute - alle typischen DBA-Aufgaben, mit Schwerpunkt auf der Automatisierung von Installation, Backup und Restore-Test.

Inzwischen ist er Senior Support Engineer bei FromDual, hilft den Kunden in Support-Fällen, hält Vorträge und arbeitet an Tools und Paketierung. FromDual befasst sich mit MySQL in allen Varianten (Percona, MariaDB), sowohl mit als auch ohne Galera Cluster, als Einzel-Instanz oder in Replikations-Konfigurationen.

Download Größe
SELinux-AppArmor.pdf 265.13 KB