Ich musste die Tage wieder einmal SUSE- und RedHat Linux installieren und bin dabei auf zwei verschiedene Sicherheitskonzepte aufmerksam geworden: SELinux auf Seiten RedHats, als alt bekanntes Bollwerk gegen Exploits und auf der anderen Seite AppArmor, eine Eigenkonstruktion welche den Schaden eines Einbruchs ebenfalls eindämmen sollte.

SELinux als im Kernel implementiertes und modulares Sicherheitssystem war mir durchaus bekannt und ich fand mich relativ schnell wieder zurecht und begann meine Arbeit unter den Hut zu bringen.

AppArmor kannte ich bislang nur vom Namen und vom Wirbel her, welcher durch die Medien rauschte, als es unter die GPL gestellt wurde. Wie dem auch sei, läuft AppArmor nur mit einem eigens gepatchten Kernel nachdem man noch eine Hand voll Utilities, einen Parser und diverse Libraries an Bord hat. Doch was ist das? Einige Scripte scheinen noch unter der proprietären Lizenz von Novell zu stehen. Ich übersah dies schlichtweg einfach und schnüffelte weiter in den Quellen auf der Suche nach Antworten auf meine noch ungestellten Fragen.

AppArmor ist entgegen von SELinux nicht für das ganze System auszurollen. Es schützt nur die Programme, welche durch Policies beschützt werden sollen. In wie weit dies Sinn macht, stelle ich jedoch einmal in Frage, da man sich selten aussuchen kann, wo Angriffe auf einem System aufschlagen – oder sprecht ihr euch mit den Angreifern ab, dass sie die Tage nur den Webserver bombardieren dürfen? Also stellt sich mir hier die berechtigte Frage, in welchem Szenario AppArmor wirklich Sicherheit bietet anstelle einer scheinbaren Beruhigung des Administrators. Wieso also das Rad neu erfinden, wenn eben schon vor geraumer Zeit diese Dinge in einer komplexen Sicherheitssuite implementiert wurden?

Ich beschloss diese Einwände vorerst einmal zu ignorieren und mein System weiter zu durchforsten und stellte überraschenderweise fest, dass AppArmor POSIX capabilities umgehen kann. Doch bringt das wirklich Sicherheit? Sind diese nicht dazu da, die Berechtigungen für Prozesse in manchen Fällen zu erhöhen, anstelle sie einzuschränken? Und vorallem: Wer benutzt die heute noch?

Wie dem auch sei – mein Fazit ist, dass ich bei SELinux bleibe, da man dort im Gegensatz zu AppArmor selbst den Zugriff auf das Netzwerk einschränken kann – von Syscall ganz zu schweigen.