Erfahrungen mit SELinux

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

26.08.2007 - 14:13

also ich brauche für meine diplomarbeit SELinux, für die nicht wissen was das ist:
http://www.nsa.gov/selinux/
http://de.wikipedia.org/wiki/SELinux

ich setze das ganze mit debian 4.0 ein
erstens weil ich debian als voraussetzung hab, 2. weil seit 4.0 die verwendung von 4.0 schon ermöglicht wird ohne den kernel selbst neu zu kompilieren

da ich ein möglichst minimales system verwenden will habe ich das Debian 4.0 Net-Install Image verwendet und davon mein system aufgsetzt und nur per apt-get mir sachen die ich brauch nachinstalliert

hat wer erfahrungen mit SELinux und kann mir sagen was i beachten muss bevor ich des ganze einsetze oder gibts irgendwo gute erklärungen im netz über den einsatz?

tia neo

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

26.12.2013 - 08:10

von den linux-admins unter euch hätte ich gern gewusst was ihr von SELinux haltet. Ist der einsatz im server-betrieb heute "pflicht", oder kann man zb einen debian-based-server auch ohne diese erweiterung ohne bedenken betreiben?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12106

27.12.2013 - 10:25

Inwiefern "brauchst" du fuer deine DA SELinux? Und warum, um Himmels Willen, unter Debian 4.0? Aktuell ist 7.2, und aus der Netinstall heraus ist das auch nicht bedeutend weniger schlank als dieses Museumsstueck, von dem ich mittlerweile sogar den Release-Codenamen vergessen habe...

Zu "beachten" gibt es nichts, so lange du nichts Fragwuerdiges auffuehrst. Ich habe SELinux unter Debian noch nie eingesetzt (was Nicos Frage beantworten duerfte), aber unter EL ist die SELinux-Policy "ab Werk" gut gewartet und sollte dir keine Steine in den Weg werfen, wo sie nicht per Definition solte.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12691

27.12.2013 - 10:30

der startpost ist >6 jahre alt... (deswegen auch debian 4

)

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

27.12.2013 - 10:34

leider nicht beantwortet. Obs aus sicherheitsgründen für public server schon "pflicht" ist oder nicht - zb proxy.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12106

27.12.2013 - 10:37

Zitat von Master99
der startpost ist >6 jahre alt... (deswegen auch debian 4 )

Ah! Kopf->Tisch!

Nico sollte sich vielleicht in "Necro" umbenennen lassen :P

SELinux ist wie ein Paketfilter, das Aktivierthaben alleine und dann ahnungslos ein paar Regeln einspielen bringt nichts. Wenn du ein legitimes Interesse hast, MAC/Least Privilege zu forcieren, dann ist SELinux eine Moeglichkeit, das zu erreichen. Nur, weil du einen Proxy-Server betreibst, heiszt das aber nicht automatisch, dass das ein Use-Case fuer SELinux waere. Andererseits kann es durchaus auch auf dem Desktop sinnvoll sein, SELinux (oder eine Alternative, wie bspw. Apparmor) einzusetzen, da man damit innerhalb einer UID Privilegien viel feiner auftrennen kann - du kannst z. B. /usr/bin/ssh erlauben, ~/.ssh/id_rsa zu lesen, waherend /usr/bin/firefox das nicht darf, obwohl beide Programme unter deiner UID laufen und du Leserechte auf die Datei hast. Sinnvoll ist das vor allem dann, wenn man sich vor Code Execution-Exploits in eingesetzten Programmen fuerchtet.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

27.12.2013 - 10:41

Ich kann erklären warum damals "muss".
Betreuer wollte eben ein mit SELinux gehärtetes System und damals war SELinux noch nirgends inkludiert.

Aber wie gesagt war das 2007 und ich bin schon lang damit fertig

Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	26.08.2007 - 14:13 also ich brauche für meine diplomarbeit SELinux, für die nicht wissen was das ist: http://www.nsa.gov/selinux/ http://de.wikipedia.org/wiki/SELinux ich setze das ganze mit debian 4.0 ein erstens weil ich debian als voraussetzung hab, 2. weil seit 4.0 die verwendung von 4.0 schon ermöglicht wird ohne den kernel selbst neu zu kompilieren da ich ein möglichst minimales system verwenden will habe ich das Debian 4.0 Net-Install Image verwendet und davon mein system aufgsetzt und nur per apt-get mir sachen die ich brauch nachinstalliert hat wer erfahrungen mit SELinux und kann mir sagen was i beachten muss bevor ich des ganze einsetze oder gibts irgendwo gute erklärungen im netz über den einsatz? tia neo
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	26.12.2013 - 08:10 von den linux-admins unter euch hätte ich gern gewusst was ihr von SELinux haltet. Ist der einsatz im server-betrieb heute "pflicht", oder kann man zb einen debian-based-server auch ohne diese erweiterung ohne bedenken betreiben?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12106	27.12.2013 - 10:25 Inwiefern "brauchst" du fuer deine DA SELinux? Und warum, um Himmels Willen, unter Debian 4.0? Aktuell ist 7.2, und aus der Netinstall heraus ist das auch nicht bedeutend weniger schlank als dieses Museumsstueck, von dem ich mittlerweile sogar den Release-Codenamen vergessen habe... Zu "beachten" gibt es nichts, so lange du nichts Fragwuerdiges auffuehrst. Ich habe SELinux unter Debian noch nie eingesetzt (was Nicos Frage beantworten duerfte), aber unter EL ist die SELinux-Policy "ab Werk" gut gewartet und sollte dir keine Steine in den Weg werfen, wo sie nicht per Definition solte.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12691	27.12.2013 - 10:30 der startpost ist >6 jahre alt... (deswegen auch debian 4 )
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	27.12.2013 - 10:34 leider nicht beantwortet. Obs aus sicherheitsgründen für public server schon "pflicht" ist oder nicht - zb proxy.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12106	27.12.2013 - 10:37 Zitat von Master99 der startpost ist >6 jahre alt... (deswegen auch debian 4 ) Ah! Kopf->Tisch! Nico sollte sich vielleicht in "Necro" umbenennen lassen :P SELinux ist wie ein Paketfilter, das Aktivierthaben alleine und dann ahnungslos ein paar Regeln einspielen bringt nichts. Wenn du ein legitimes Interesse hast, MAC/Least Privilege zu forcieren, dann ist SELinux eine Moeglichkeit, das zu erreichen. Nur, weil du einen Proxy-Server betreibst, heiszt das aber nicht automatisch, dass das ein Use-Case fuer SELinux waere. Andererseits kann es durchaus auch auf dem Desktop sinnvoll sein, SELinux (oder eine Alternative, wie bspw. Apparmor) einzusetzen, da man damit innerhalb einer UID Privilegien viel feiner auftrennen kann - du kannst z. B. /usr/bin/ssh erlauben, ~/.ssh/id_rsa zu lesen, waherend /usr/bin/firefox das nicht darf, obwohl beide Programme unter deiner UID laufen und du Leserechte auf die Datei hast. Sinnvoll ist das vor allem dann, wenn man sich vor Code Execution-Exploits in eingesetzten Programmen fuerchtet.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	27.12.2013 - 10:41 Ich kann erklären warum damals "muss". Betreuer wollte eben ein mit SELinux gehärtetes System und damals war SELinux noch nirgends inkludiert. Aber wie gesagt war das 2007 und ich bin schon lang damit fertig

Erfahrungen mit SELinux

Forum Index > Software > Linux and other OS

Neo-=IuE=-

Nico

COLOSSUS

Master99

Nico

COLOSSUS

Neo-=IuE=-