Red-Hat-Linux deutlich verbessert

29.03.2005
Von 
Ludger Schmitz war freiberuflicher IT-Journalist in Kelheim. Er ist spezialisiert auf Open Source und neue Open-Initiativen.

Differenzierte Privilegien

Die Erste betrifft die Einschränkung der Root-Rechte. Wer Zugriff auf Root hat, und das sind unter Linux alle Administratoren gleichermaßen (nicht aber die User), kontrolliert uneingeschränkt das gesamte System. SELinux ist differenzierter: Die Root-Rechte lassen sich einschränken. Administratoren erhalten nur noch die Zugriffsrechte, die sie zur Erfüllung ihrer spezifischen Aufgaben benötigen.

Testszenario

Die "Network World" hat Red Hat Enterprise Linux 4.0 auf neun Systemen mit 32- und 64-Bit-CPUs von Intel und AMD sowie unterschiedlichen Hardwarekomponenten getestet. Es wurde per Gigabit Ethernet verbunden mit Servern unter verschiedenen Versionen von Windows, Apple OS/X, Linux, Netware und Unix. Außerdem waren Desktops und Notebooks mit Windows- und Linux-Varianten in das Netz eingebunden. Für den Performance-Test wurde der Benchmark "Webavalanche" von Spirent Communications verwendet.

Zweitens werden die Rechte der Prozesse definiert. Jeder Prozess darf nur ganz bestimmte Services des Betriebssystems in Anspruch nehmen. Dabei wird auch vorbestimmt, welche Privilegien einzelne Services haben, welchen Anteil an der Rechenleistung eines Systems sie letztlich für sich beschlagnahmen dürfen. Die Privilegien werden also nicht mehr an den Usern festgemacht, sondern an den Anwendungen. Dieses Verfahren verhindert sehr effektiv, dass Hacker oder User, die sich Root-Rechte erschlichen haben, ein System übernehmen.

Eine allzu starre Festlegung der Privilegien kann allerdings insbesondere ältere Applikationen zum Stillstand bringen. Einige ältere Anwendungen sehen eine Limitierung der ihnen zustehenden Services (beispielsweise Print-Services) nicht vor. SELinux begegnet dem Problem, indem es durch einen Eintrag in seine Konfigurations-Files diesen Anwendungen die notwendigen Freigaben erteilt.