En savoir plus
Zwei Mandatory Access Control-Systeme haben in die grossen Linux-Distributionen Eingang gefunden: SELinux bei Red Hat, Fedora Core und Debian, AppArmor bei SUSE Linux. Damit gehört ihre wirksame Konfiguration und Anwendung zu den Pflichtaufgaben jedes Linux-Administrators.
Ralf Spenneberg beschreibt beide MAC-Systeme detailliert, mit deutlichem Schwerpunkt auf SELinux. Er erläutert zunächst AppArmor, von der Installation über die Analyse der Überwachungsprotokolle und -berichte bis hin zu konkreten Szenarien wie der Überwachung von PHP-Anwendungen oder Shellscripts. Dann widmet er sich ausführlich SELinux und führt durch die Grundlagen, die Anwendung und erste Anpassungen, bevor er einzelne Policys und konkrete Anwendungsbeispiele wie z.B. die Absicherung eines Webservers mit SELinux vorstellt. Er zeigt außerdem, wie bestehende SELinux-Policys erweitert und eigene Policys entwickelt werden und stellt in einer Referenz die wichtigsten SELinux-Kommandos vor.
Kapitel zur Installation von SELinux und AppArmor, ein Vergleich ihrer Performance sowie Kapitel über Tools zur SELinux-Policy-Erstellung und -Analyse runden das Buch zu einer Pflichtlektüre für sicherheitsbewusste Administratoren ab. Zu diesem Thema
SELinux (Security Enhanced Linux, u.a. von der NSA entwickelt) bietet zusätzlich zum klassischen Rechtesystem (Benutzer A aus Gruppe X darf eine Datei lesen & schreiben, Benutzer B aus Gruppe Y nur lesen etc.) ein zusätzliches System, das nicht auf den UNIX Benutzern oder Gruppen basiert, sondern abstrakte Rollen und Typen verwendet und so nicht über klassische Wege, wie die Erlangung von Superuser-Rechten o.Ä. korrumpierbar ist.
Da SELinux im Gegensatz zu anderen ähnlichen Projekten bereits Bestandteil des Linux-Kernels 2.6 ist, ist es in fast jeder Linux-Distribution verfügbar und wird dort in Zukunft eine wichtige Rolle spielen. Wo bislang die Kenntnis des Rechtesystems ausreichte, werden Anwender künftig SELinux-Richtlinien verwalten können müssen, um die Sicherheit ihres System zu administrieren. Zu diesem Titel
In seinem vierten Buch stellt Security-Guru Ralf Spenneberg dieses Rechte-System unter Linux vor. Nach einer Einführung in SELinux beschreibt er, wie gezielt oder allgemein vergebene Richtlinien zur Systemüberwachung verwaltet werden. Am Beispiel des Tomcat-Moduls für Apache zeigt Spenneberg, wie bestehende Richtlinien (hier zu Apache) auf neue Dienste (hier Tomcat) hin erweitert werden. Er zeigt auch, wie man mit SELinux neue Richtlinien für neue Dienste erstellt.
A propos de l'auteur
Ralf Spenneberg zählt zu Deutschlands führenden IT-Security-Experten. Mit seiner Firma Open Source Training Ralf Spenneberg bietet er Seminare und Consulting rund um das Thema "Sicherheit mit Open Source-Software" an.
