- PDF Kostenfreier Download

Größe: px

Ab Seite anzeigen:

Download "<mail@carstengrohmann.de>"

Käte Kaiser
vor 8 Jahren
Abrufe

1 Security Enhanced Linux Eine Einführung Tom Vogt Carsten Grohmann

2 Überblick Was ist SELinux? Erweiterung des Kernels Was bietet SELinux? Kapslung von Programmen untereinander und vom System Regelung aller Zugriffe über eine Policy Root hat keine Allmacht mehr Gleichbleibende Benutzeridentität

3 Überblick SELinux intern: Erweiterung des Kernels mit TE: Type Enforcement MAC: Mandatory Access Controls RBAC: Role Base Access Control Transparent für die meisten Programme Orthogonal zu Unix Zugriffsrechten

Controls RBAC: Role Base Access Control Transparent

4 Überblick Ohne SELinux Webmaster Postmaster su root root Konfig ändern Kann! Darf? Webserver Mailserver DBA Kann! Darf? Datenbank Benutzer System Programm Zugriff

5 Überblick Mit SELinux Webmaster W ebmaster-rolle W ebserver Postmaster DBA verboten verboten verboten Postmaster-Rolle DBA-Rolle M ailserver Datenbank Benutzer System Domäne Zugriff Rolle

6 Hintergrund Domäne Raum in dem ein Prozeß läuft Zugriffsberechtigungen werden der Domäne zugeordnet Wechsel zwischen Domänen regelt die Policy Domäne z.b. user_t Berechtigung z.b. priv. Schlüssel lesen Domäne z.b. gpg_t Wechsel durch Policy erlaubt Berechtigung z.b. Datei lesen

Domänen regelt die Policy Domäne z.b. user_t Berechtigung z.b. priv.

7 Hintergrund Typ Menge von Objekten (Dateien, Verzeichnissen, Sockets...) und Subjekten (Prozessen) mit gleichen Rechten Domänen sind Typen, die an Prozesse gebunden sind Unterscheidung zwischen Domäne und Typ nur sprachlicher Natur, keine internen Unterschiede Policy definiert Typenwechsel

die an Prozesse gebunden sind Unterscheidung zwischen Domäne und Typ nur

8 Hintergrund Typenwechsel Policy legt zulässige Typenwechsel fest... und definiert automatische Typenwechsel Einschränkungen für Domänen Nur erlaubt bei exec Aufrufen Also keine Domänenwechsel zur Laufzeit eines Programmes...oder wenn externer Code als Modul ausgeführt wird.

Domänen Nur erlaubt bei exec Aufrufen Also keine Domänenwechsel zur

9 Hintergrund Type Enforcement Starke Trennung zwischen Betriebssystem und Programmen Sowie zwischen einzelnen Programmen Webserver Domäne Mailserver Domäne Datenbank Domäne Kernel Domäne sshd Domäne User Domäne bash openoffice

Programmen Webserver Domäne Mailserver Domäne Datenbank

10 Hintergrund Mandatory Access Control Standard Unix: Discretionary Access Control (DAC) DAC: Besitzer von Objekten bestimmen die Zugriffsrechte MAC: Policy und Labels bestimmen die Zugriffsrechte Policy legt fest, wer Labels setzen und verändern kann und welche Voreinstellungen gelten

Zugriffsrechte MAC: Policy und Labels bestimmen die Zugriffsrechte

11 Hintergrund Role Based Access Control Die Rolle dient der Abstraktion bei der Zuordnung von Zugriffsrechten an Benutzer Rollen können gut definiert und eingegrenzt werden Benutzer können zwischen Rollen wechseln Die Policy legt dabei fest, welche Rollen für welche Benutzer zugänglich sind

definiert und eingegrenzt werden Benutzer können zwischen Rollen

12 Grundlagen Benutzer, Rollen, Domänen Benutzer sind für eine oder mehrere Rollen authorisiert Rollen können gewechselt werden (newrole Befehl) Rollen sind für Zugriffe auf Domänen authorisiert User Role Role Domain Domain Domain Domain Domain Domain

werden (newrole Befehl) Rollen sind für Zugriffe auf Domänen

13 Sicherheitsvorteile Rollen und Domänen: Domänen können vollständig voneinander getrennt werden Sicherheitsvorfälle bleiben auf die betroffenen Domänen beschränkt...auch wenn der Angreifer root Zugang erreicht hat Unbekannte und fragwürdige Programme können in Quarantäne gestellt werden

14 Sicherheitsvorteile Beispiel für Rollen Vier Rollen Trennung von Aufgaben Überlappungen, wo notwendig Hinweis: durch Rollenwechsel können der DBA und der WebAdmin die gleiche Person sein WebAdmin Webserver Start/Stop Config Data System SysAdmin Editor Database Start/Stop Config Data DBA

können der DBA und der WebAdmin die gleiche Person sein WebAdmin

15 Sicherheitsvorteile Policy und ihre Durchsetzung: Sehr feine Zugriffskontrollen (syscalls) Selbst kleinste Verletzungen können festgestellt werden Management by policy Minimierung des Schadens, der durch Fehler und Unwissenheit entsteht Zwingt Benutzer, die Policy einzuhalten

festgestellt werden Management by policy Minimierung des Schadens,

16 Arbeiten mit SELinux Security Contexts Abbildung der SELinux Benuterinformation als Zeichenkette root:sysadm_r:example_t SELinux User ID Derzeitige SELinux Rolle Derzeitige Domäne/Typ

17 Die Policy Verwendet eine einfache deklarative Sprache M4 Makros Einfache dateibasierte Struktur GUI Programme sind verfügbar Eine Default Policy wird mitgeliefert

18 Implementierung Die Implementierung Im 2.6 er Kernel standardmäßig enthalten Einige Patches für Programme Zentrale Policy mit Verwaltungsprogrammen Dateisystem mit Security Context Labeln versehen (in ext2/ext3/xfs xattr gespeichert) Prozesse sind ebenfalls mit Security Contexts versehen

Zentrale Policy mit Verwaltungsprogrammen Dateisystem mit Security

19 Aktueller Status Bestandteil des 2.6 er Kernels Pakete für alle großen Distributionen verfügbar Sehr aktive Weiterentwicklung Gentoo Live CD

20 Demonstration

21 Links

22 Security Enhanced Linux Vielen Dank Fragen?

Ähnliche Dokumente

Anwendungen. Tom Vogt. <tom@lemuria.org>

Anwendungen. Tom Vogt. <tom@lemuria.org> Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,