View previous topic :: View next topic |
Author |
Message |
pietinger Moderator
Joined: 17 Oct 2006 Posts: 5144 Location: Bavaria
|
Posted: Thu Nov 12, 2020 12:24 pm Post subject: Empfehlungen für AppArmor, Smack oder Tomoyo ? |
|
|
Ich habe im internationalen Bereich bereits die Frage gestellt: "Which LSM do you use with gentoo ?" (https://forums.gentoo.org/viewtopic-t-1122932-highlight-.html) und leider keine Antworten erhalten. Deshalb will ich hier etwas ausführlicher mein Ziele darlegen und die Frage umformulieren:
Mit welchem LSM könnte man das was ich vorhabe am einfachsten umsetzen ?
Vorab:
1) Ich bin der Meinung, dass Sicherheit zuerst gegen die Bedrohungen mit der größten Eintrittswahrscheinlichkeit zum Einsatz kommen sollte. Habe ich wirklich Sorge, dass mein "ntp-client" auf einen gehackten NTP-Server zugreift und sich so infiziert ? (Ich spreche gerade von Servern der Physikalisch-Technischen Bundesanstalt in Braunschweig). Gut, jedes Programm welches externe Daten verarbeitet ist gefährdet. Jedoch sehe ich da Webbrowser, Bildbetrachtungsprogramme, Videobetrachtungsprogramme und Office-Programme als am meisten gefährdet. Mir würde partieller Schutz genügen und ich denke dass "umfassende" Lösungen zu komplex und auch unnötig sind.
2) Ihr kennt vielleicht meinen "Installation Guide for Paranoid Dummies" und wisst, dass IMA bereits im Einsatz ist, welches effektiv davor schützt, dass ein Trojaner oder Virus die "bash", "ps" oder andere wichtige Programme gegen modifizierte austauscht.
Es bleibt aber noch das Hauptproblem von DAC: Jedes Programm "erbt" die Berechtigungen seines Menschen vor der Tastatur. Und natürlich will ich - der Mensch - das ganze Internet besuchen und auf alle meine Daten in meinem /home zugreifen. Das soll aber nicht für die von mir genutzten Programme gelten. Ein "vlc" soll mir eine Video-Datei decodieren und anzeigen, hat aber nichts im Internet verloren. Ein "falkon" (-Webbrowser) darf zwar ins Internet, hat aber nichts in meinem /home zu suchen (außer natürlich seine eigene Config und die Folder "Upload" und "Download"). Im Normalfall machen die beiden das ja auch nicht ... solange bis sie nicht durch einen Bug, ausgenutzt von einem Virus in einer mp4-Datei, umprogrammiert werden.
Aus diesem Grund gibt es Security Module (LSM) die MAC bieten - momentan vier: SELinux, AppArmor, Smack und Tomoyo.
Das erste möchte ich vorerst nicht betrachten, da ich der Meinung bin, dass SELinux für einen Desktop ein Overkill ist. Ja, für einen Mainframe oder Server.
AppArmor habe ich mir angesehen und ist momentan mein Favorit, auch wenn die Profile (sec-policy/apparmor-profiles 3.0.0) meiner Meinung nach unnötig detailliert (und veraltet) sind.
Über Smack und Tomoyo weiß ich noch zu wenig. Deshalb möchte ich Euch fragen, ob ihr eines dieser LSM im Einsatz habt und wie Eure Erfahrungen damit sind.
Mein Ziel ist es, eines dieser drei so einzusetzen, dass auch "normale" User in der Lage sind, jedes Anwendungsprogramm einem von zwei Profilen zuzuweisen:
A) Darf lokal alles was auch der User darf - nur nicht ins Internet.
B) Darf ins Internet - aber nicht auf Userdaten in /home zugreifen (Ausnahmen: Eigene .config und/oder spezielle Verzeichnisse).
Ich würde mich sehr freuen, wenn ihr mir Eure Lösungen aufzeigt. Möglicherweise ist ja auch ein Smack noch viel einfacher zu konfigurieren als AppArmor ? Schreibt mir doch auch, wenn ihr keines dieser vier LSM im Einsatz habt, aber gerne eines hättet - vielleicht auch was ihr gerne konfiguriert haben wollt. |
|
Back to top |
|
|
Marlo Veteran
Joined: 26 Jul 2003 Posts: 1591
|
|
Back to top |
|
|
pietinger Moderator
Joined: 17 Oct 2006 Posts: 5144 Location: Bavaria
|
Posted: Sun Nov 15, 2020 11:58 pm Post subject: |
|
|
Hallo Ma,
vielen Dank für Deine Antwort. Ja, den anderen Thread habe ich auch gelesen und schon überlegt ob ich da antworten soll (wenn da nicht mein bescheidenes Englisch wäre). Wenn jemand nicht weiß, ob und was und warum er etwas gebrauchen könnte oder nicht, dann kann man so jemanden schon helfen, indem man erstmal klärt, ob es ein Server, ein Desktop oder ein Notebook sein soll. Und man kann ihm auch sagen, für welche Bedrohungen es welche Lösungen gibt.
Da ich mich ein wenig mit Security auskenne, wollte ich von der Gentoo-Gemeinde nur mal so ein Feedback, was im Einsatz ist und vor allem wie die Profile erstellt wurden. Die Installation selbst ist bei allen Vieren kein Thema (paar Häckchen in der Kernel-Konfig + tools emergen). Darum gehts mir gar nicht - sondern um das Profiling. Abgesehen von SELinux sieht es bei den anderen Dreien mit vorgegebenen Profile - für Gentoo - recht mau aus: Veraltet - nicht vorhanden - nicht vorhanden. Ich habe den (ehrgeizigen) Plan, das Thema MAC-basierende LSMs auch Nicht-Security-Experten nahe zu bringen (und zwar so, dass sie nicht selbst dabei klaffende Lücken aufreißen). Vielen ist gar nicht bewusst, wieviel man mit einfachen Mitteln erreichen kann. Beispiel: Anfang des Jahres hatten wir große Probleme wegen einer unbekannten Sicherheitslückke in OpenSMTPD. Es hätte ALLEINIG genügt, wenn irgendein MAC-basierendes LSM die Ausführung der bash verhindert hätte. Wenn ich dann noch cron, ssh, scp, at, wget u.s.w. sperre, bin ich bereits gegen die meisten shell-based remote execution vulnerabilities geschützt.
Was hast Du denn im Einsatz ?
Viele Grüße,
Peter |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|