conference logo

Playlist "FrOSCon 2017"

SELinux und AppArmor

Jörg Brühe

Linux verwaltet Zugriffsrechte als Erlaubnis zum Lesen ("r"), Schreiben ("w") und Ausführen ("x") für den Eigentümer ("u"), die Gruppe ("g") und alle anderen ("o").

So haben alle Anwendungen für einen Benutzer die gleichen Rechte, das ist aber oft nicht sinnvoll:
Mein Mail-Client muss mein Adressbuch lesen und ändern können,
aber warum soll z.B. mein Browser das tun dürfen?

Die Kernel-Erweiterungen "SELinux" ("Security-Enhanced Linux") und "AppArmor" ("Application Armor") ändern das: Sie prüfen alle Zugriffe der Anwendungen und blockieren, was in der eingerichteten Sicherheitspolitik nicht vorgesehen ist.

Im Vortrag werden diese beiden Systeme vorgestellt und die grundlegenden Admininistrations-Aufgaben beschrieben:
- den Status der Komponente bestimmen und ändern (an- und ausschalten),
- die eingestellte Politik anzeigen lassen und kontrollieren,
- die Zugriffs-Erlaubnisse ändern,
- die Defaults (der Distribution) an die geänderte Anwendungs-Konfiguration (Port, Data Directory, ...) anpassen (statt die Zugriffskontrolle einfach abzuschalten).