computerwoche.de

Software-Infrastruktur

SE Linux schließt Sicherheitslücken

07.07.2005
Von Eva-Katharina Kunst

SE Linux kommt darüber hinaus mit einigen neuen Kommandos daher: "newrole" ermöglicht es, eine neue Rolle anzunehmen, und "chcon" teilt den Dateien einen Security-Kontext zu. Das ebenfalls neue Kommando "sestatus" zeigt unter anderem den aktuellen Betriebsmodus des Systems an.

SE-Linux-Systeme nämlich können in zwei Modi betrieben werden. Im Permissive-Modus werden die Sicherheitsregeln nur überprüft, aber nicht angewendet. Unerlaubte Aktionen werden im Syslog verzeichnet. So lassen sich die Policies anpassen, ohne dass es bei Fehlern zu Abstürzen kommt. Erst im Enforcing-Modus sind die Regeln aktiv und verhindern unerlaubte Zugriffe. Zum Einschalten des Enforcing-Modus schreibt der Administrator per "echo"-Kommando eine "1" in die Datei "/SE Linux/enforce", zum Einschalten des Permissive-Modus eine "0".Bordwerkzeuge sind Pflicht

Auf einem SE-Linux-System ist es wichtig, für administrative Tätigkeiten die dafür vorgesehenen Werkzeuge zu benutzen. Wer als alter Unix-Hase einen neuen User Account durch Editieren der Datei "/etc/passwd" und Erzeugen des Home-Verzeichnisses anlegt, hat ein Problem: Das Home-Verzeichnis des Users wird nicht richtig gelabelt. Das modifizierte Kommando "useradd" demgegenüber sorgt für die korrekte Typ-Bezeichnung aller angelegten Ordner und Dateien. Soll der User zusätzlich mit dem Recht ausgestattet werden, administrative Tätigkeiten zu übernehmen, ist je nach eingestellten Policies deren Modifikation notwendig.

Auf einem Fedora- oder RHEL-4-System müssen dazu vorher die Quelldateien der Policies eingespielt werden. Die erforderlichen Pakete ("SE Linux-policy-targeted-.noarch.rpm" und "SE Linux-policy-strict-.noarch.rpm") finden sich beispielsweise unter http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/SRPMS/. Insbesondere muss die Datei "/etc/SE Linux/targeted/src/policy/users" ange-passt werden. Der Aufruf "make -C/etc/SE Linux/targeted/src/ policy policy" generiert die geänderte Policy, und "make -C /etc/SE Linux/targeted/src/policy load" aktiviert sie. Zum Generieren wird vom Makefile übrigens das neue SE-Linux-Programm "checkpolicy" und zum Aktivieren "load_policy" aufgerufen.

Die Aufgaben, die auf administrativer Seite zu leisten sind, dürften das Vermögen eines einfachen Home-Users übersteigen. Es brauche einige Erfahrung und Know-how, um eine strikte Policy flexibel und effektiv einzusetzen, konstatiert denn auch Red-Hat-Manager Riek. Noch befindet sich die Markteinführung in einem frühen Stadium, die Weiterentwicklungen sind im vollen Gang.

Pro und Kontra