Ich musste die Tage wieder einmal SUSE- und RedHat Linux installieren und bin dabei auf zwei verschiedene Sicherheitskonzepte aufmerksam geworden: SELinux auf Seiten RedHats, als alt bekanntes Bollwerk gegen Exploits und auf der anderen Seite AppArmor, eine Eigenkonstruktion welche den Schaden eines Einbruchs ebenfalls eind\u00e4mmen sollte.<\/p>\n
SELinux als im Kernel implementiertes und modulares Sicherheitssystem war mir durchaus bekannt und ich fand mich relativ schnell wieder zurecht und begann meine Arbeit unter den Hut zu bringen.<\/p>\n
AppArmor kannte ich bislang nur vom Namen und vom Wirbel her, welcher durch die Medien rauschte, als es unter die GPL gestellt wurde. Wie dem auch sei, l\u00e4uft AppArmor nur mit einem eigens gepatchten Kernel nachdem man noch eine Hand voll Utilities, einen Parser und diverse Libraries an Bord hat. Doch was ist das? Einige Scripte scheinen noch unter der propriet\u00e4ren Lizenz von Novell zu stehen. Ich \u00fcbersah dies schlichtweg einfach und schn\u00fcffelte weiter in den Quellen auf der Suche nach Antworten auf meine noch ungestellten Fragen.<\/p>\n
AppArmor ist entgegen von SELinux nicht f\u00fcr das ganze System auszurollen. Es sch\u00fctzt nur die Programme, welche durch Policies besch\u00fctzt werden sollen. In wie weit dies Sinn macht, stelle ich jedoch einmal in Frage, da man sich selten aussuchen kann, wo Angriffe auf einem System aufschlagen – oder sprecht ihr euch mit den Angreifern ab, dass sie die Tage nur den Webserver bombardieren d\u00fcrfen? Also stellt sich mir hier die berechtigte Frage, in welchem Szenario AppArmor wirklich Sicherheit bietet anstelle einer scheinbaren Beruhigung des Administrators. Wieso also das Rad neu erfinden, wenn eben schon vor geraumer Zeit diese Dinge in einer komplexen Sicherheitssuite implementiert wurden?<\/p>\n
Ich beschloss diese Einw\u00e4nde vorerst einmal zu ignorieren und mein System weiter zu durchforsten und stellte \u00fcberraschenderweise fest, dass AppArmor POSIX capabilities umgehen kann. Doch bringt das wirklich Sicherheit? Sind diese nicht dazu da, die Berechtigungen f\u00fcr Prozesse in manchen F\u00e4llen zu erh\u00f6hen, anstelle sie einzuschr\u00e4nken? Und vorallem: Wer benutzt die heute noch?<\/p>\n
Wie dem auch sei – mein Fazit ist, dass ich bei SELinux bleibe, da man dort im Gegensatz zu AppArmor selbst den Zugriff auf das Netzwerk einschr\u00e4nken kann – von Syscall ganz zu schweigen. <\/p>","protected":false},"excerpt":{"rendered":"
Ich musste die Tage wieder einmal SUSE- und RedHat Linux installieren und bin dabei auf zwei verschiedene Sicherheitskonzepte aufmerksam geworden: SELinux auf Seiten RedHats, als alt bekanntes Bollwerk gegen Exploits und auf der anderen Seite AppArmor, eine Eigenkonstruktion welche den Schaden eines Einbruchs ebenfalls eind\u00e4mmen sollte.<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[22,170],"class_list":["post-514","post","type-post","status-publish","format-standard","hentry","category-it-related-stuff","tag-linux","tag-security"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=514"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/514\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}