SELinux & AppArmor: Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux]
Saved in:
| Main Author: | |
|---|---|
| Format: | Book |
| Language: | German |
| Published: |
München [u.a.]
Addison-Wesley
2008
|
| Series: | Open source library
|
| Subjects: | |
| Online Access: | Inhaltsverzeichnis |
| Physical Description: | 384 S. Ill. 25 cm 1 CD-ROM (12 cm) |
| ISBN: | 9783827323637 9783827327642 3827323630 |
Staff View
MARC
| LEADER | 00000nam a2200000 c 4500 | ||
|---|---|---|---|
| 001 | BV023067286 | ||
| 003 | DE-604 | ||
| 005 | 20081013 | ||
| 007 | t | ||
| 008 | 080107s2008 gw a||| |||| 00||| ger d | ||
| 015 | |a 06,N49,0093 |2 dnb | ||
| 015 | |a 08,A01,0082 |2 dnb | ||
| 016 | 7 | |a 981897754 |2 DE-101 | |
| 020 | |a 9783827323637 |c Pp. : EUR 44.95 (DE), EUR 46.30 (AT), sfr 76.50 |9 978-3-8273-2363-7 | ||
| 020 | |a 9783827327642 |c Pp. : EUR 29.95 (DE), EUR 30.80 (AT) |9 978-3-8273-2764-2 | ||
| 020 | |a 3827323630 |c Pp. : EUR 44.95 (DE), EUR 46.30 (AT), sfr 76.50 |9 3-8273-2363-0 | ||
| 024 | 3 | |a 9783827323637 | |
| 035 | |a (OCoLC)219407348 | ||
| 035 | |a (DE-599)DNB981897754 | ||
| 040 | |a DE-604 |b ger |e rakddb | ||
| 041 | 0 | |a ger | |
| 044 | |a gw |c XA-DE-BY | ||
| 049 | |a DE-91G |a DE-12 |a DE-154 |a DE-20 |a DE-11 |a DE-523 | ||
| 082 | 0 | |a 005.432 |2 22/ger | |
| 082 | 1 | |a 005.432 |2 22//ger | |
| 084 | |a ST 261 |0 (DE-625)143633: |2 rvk | ||
| 084 | |a DAT 460f |2 stub | ||
| 084 | |a DAT 438f |2 stub | ||
| 084 | |a 004 |2 sdnb | ||
| 100 | 1 | |a Spenneberg, Ralf |d 1968- |e Verfasser |0 (DE-588)124259332 |4 aut | |
| 245 | 1 | 0 | |a SELinux & AppArmor |b Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |c Ralf Spenneberg |
| 264 | 1 | |a München [u.a.] |b Addison-Wesley |c 2008 | |
| 300 | |a 384 S. |b Ill. |c 25 cm |e 1 CD-ROM (12 cm) | ||
| 336 | |b txt |2 rdacontent | ||
| 337 | |b n |2 rdamedia | ||
| 338 | |b nc |2 rdacarrier | ||
| 490 | 0 | |a Open source library | |
| 650 | 0 | 7 | |a AppArmor |0 (DE-588)7593236-2 |2 gnd |9 rswk-swf |
| 689 | 0 | 0 | |a AppArmor |0 (DE-588)7593236-2 |D s |
| 689 | 0 | |5 DE-604 | |
| 856 | 4 | 2 | |m HBZ Datenaustausch |q application/pdf |u http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016270470&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA |3 Inhaltsverzeichnis |
| 999 | |a oai:aleph.bib-bvb.de:BVB01-016270470 | ||
Record in the Search Index
| _version_ | 1804137308595683328 |
|---|---|
| adam_text | Titel: SELinux AppArmor
Autor: Spenneberg, Ralf
Jahr: 2008
Inhaltsverzeichnis
Vorwort......................................... 23
Einführung ....................................... 25
I Was ist ein MAC und warum brauchen wir das? 27
1 Computersicherheit................................. 29
1.1 Übersicht................................ 29
1.2 Anfänge der Computersicherheit.................... 30
2 Access Control Systeme............................... 33
2.1 DAC-, MAC- und RBAC-Systeme..................... 33
2.1.1 Discretionary Access Control (DAC).............. 33
2.1.2 Mandatory Access Control (MAC)............... 33
2.1.3 Multi Level Security...................... 34
2.1.4 Multilateral Security...................... 35
2.1.5 Role Based Access Control (RBAC)............... 37
2.2 Type Enforcement............................ 37
2.3 Linux-Capabilitys............................ 38
2.3.1 Was Ist eine Capability?.................... 38
2.3.2 Welche Capabilitys existieren?................ 39
2.3.3 Wie setzt man die Capabilitys ein?.............. 42
2.3.4 Rlesystem-Capabilitys..................... 43
2.4 Alternative MAC-Systeme........................ 45
2.5 Linux Intrusion Detection System (LIDS)................ 45
2.5.1 GetRewted Security (grsecurity)................ 46
2.5.2 RuleSet Based Access Control (RSBAC) ............ 48
3 Benchmarks 51
3.1 Novell AppArmor............................ 51
3.2 SELinux................................. 52
II AppArmor 55
4 AppArmor-Geschichte................................ 57
5 AppArmor-Anwendung............................... 59
5.1 Installation unter SUSE Linux...................... 59
5.2 Starten von AppArmor......................... 60
5.2.1 Welche Prozesse werden überwacht?............. 61
5.3 Analyse der Protokolle......................... 62
5.4 AppArmor-Benachrichtigungen und-Berichte............. 64
5.4.1 Executive Summary Report.................. 66
5.4.2 Applications Audit....................... 66
5.4.3 Security Incident Report.................... 66
5.5 Erzeugen eines Profils mit Yast..................... 66
5.6 Erzeugen eines Subprofils (Hat) mit Yast................ 72
6 AppArmor-Funktion................................. 79
6.1 Was sollte immunisiert werden?.................... 79
6.1.1 Netzwerkdienste........................ 80
6.1.2 Netzwerkclients........................ 80
6.1.3 Cron-Jobs............................ 81
6.2 Wie schützt AppArmor?......................... 81
6.3 AppArmor-Befehle ........................... 82
3.1 apparmor_status........................ 82
3.2 audit.............................. 83
3.3 autodep............................ 84
3.4 complain............................ 84
3.5 enforce............................. 85
3.6 genprof............................. 85
3.7 logprof............................. 87
3.8 apparmor_parser....................... 90
6.3.9 unconfined........................... 92
6.4 AppArmor-Konfigurationsdateien.................... 93
6.4.1 logprof.conf.......................... 93
6.4.2 subdomain.conf........................ 95
6.4.3 reports.conf.......................... 96
6.4.4 severity.db........................... 96
6.4.5 reports.crontab ........................ 96
6.5 AppArmor-Syntax............................ 96
6.5.1 Kommentare.......................... 96
6.5.2 Include-Direktiven....................... 97
6.5.3 Profil.............................. 97
6.5.4 Regel.............................. 97
6.5.5 Variablen............................ 99
6.5.6 Capabilitys........................... 99
6.6 Abstractions............................... 99
7 AppArmor-lnstallation............................... 101
7.1 Ubuntu und Debian........................... 101
7.2 Installation aus den Sourcen...................... 102
8 AppArmor für Fortgeschrittene........................... 105
8.1 Erzeugen der Log-Markierung für logprof................ 105
8.2 ChangeHat ............................... 106
8.2.1 Apache 2.0 und mod_apparmor................ 106
8.2.2 PAM und pam_apparmor................... 108
8.3 Einzelne Benutzer mit unterschiedlichen Profilen........... 113
9 Typische AppArmor-Administrationsvorgänge................... 119
9.1 Weiteres Cacheverzeichnis für den Squid-Proxy............ 119
9.2 Eine neue PHP-Anwendung für den Apache .............. 120
9.3 VirtualHosts mit Apache........................ 121
9.4 Überwachung von Snort mit AppArmor................ . 125
9.5 Überwachung von Shellscripts..................... 127
9.6 Modifikation eines Profils ohne Neustart
der überwachten Applikation...................... 129
10 Kritische Betrachtung von AppArmor........................131
10.1 Geschwindigkeit............................ 131
10.2 Sicherheit................................ 131
III SELinux für Einsteiger 135
11 Hintergrund..................................... 137
11.1 Geschichte ............................... 137
11.2 Architektur ............................... 138
11.2.1 Access-Vector-Cache...................... 139
12 SELinux-Grundlagen................................ 141
12.1 Was ist SELinux? ............................ 141
12.2 Der Security-Context: SELinux-Benutzer, -Rollen und -Typen...... 141
12.3 Type Enforcement am Beispiel: Squid................. 143
12.4 Welche Ressource erhält welchen Context? .............. 145
12.5 Das klassische Beispiel: passwd.................... 146
12.5.1 Domänentransition ...................... 148
12.6 Rollen und Benutzer........................... 149
12.7 Multi Level Security........................... 151
12.8 Multi Category Security......................... 153
13 SELinux-Anwendung................................ 155
13.1 Distributionen.............................. 155
13.1.1 FedoraCore .......................... 155
13.1.2 Debian und Ubuntu...................... 156
13.1.3 Gentoo............................. 156
13.1.4 Slackware........................... 156
13-2 Welche SELinux-Policy?......................... 156
13.3 Erste Schritte und SELinux-Befehle................... 157
14 SELinux-Protokollmeldungen............................163
15 SELinuxund boolesche Variablen .........................171
15.1 Administration der booleschen Variablen............... 175
16 SELinux-Anpassungen ...............................179
16.1 Verwaltung der SELinux-Benutzer ................... 179
16.2 Verwaltung der Ports..........................180
16.3 Verwaltung der Security-Contexts der Dateien.............180
16.4 Customizable Types........................... 181
16.5 Erweiterung der Policy.........................182
17 Policys........................................ 189
17.1 Die Targeted-Policy........................... 189
17.1.1 Deaktivierung von SELinux für einzelne Applikationen .... 190
17.1.2 Die booleschen Variablen der Targeted-Policy........ 190
17.1.3 Schutz zusätzlicher Applikationen mit SELinux........ 190
17.2 Die Strict-Policy............................. 191
17.2.1 Was unterscheidet die Strict-Policy? ............. 191
17.2.2 Die booleschen Variablen der Strict-Policy.......... 193
17.2.3 Schutz zusätzlicher Applikationen mit SELinux........ 193
17.2.4 Neue Rollen zur Delegation der Root-Fähigkeiten ....... 193
17.3 DieMLS-Policy............................. 193
17.3.1 Labeling der Objekte. ..................... 194
17.3-2 MLS in der Praxis....................... 195
18 SELinux-Kommandos................................197
18.1 apol................................... 197
18.2 avcstat..................................198
18.3 audit2allow...............................198
i8.4 auditawhy................................ 200
18.5 chcat................................... 200
18.6 chcon.................................. 201
18.7 checkmodule.............................. 201
18.8 checkpolicy............................... 202
18.9 fixfiles.................................. 202
18.10 genhomedircon............................. 203
18.11 getenforce................................ 203
18.12 getsebool................................ 203
18.13 load_policy............................... 204
18.14 matchpathcon.............................. 204
18.15 newrole................................. 204
18.16 restorecon................................ 205
18.17 runjnit................................. 206
18.18 sealert.................................. 206
18.19 seaudit................................. 207
18.20 seaudit-report.............................. 208
18.21 sediff.................................. 208
18.22 sediffx.................................. 208
18.23 seinfo.................................. 209
18.24 selinuxenabled............................. 209
18.25 semanage..............................., 209
18.25.1 SELinux-User-Verwaltung................... 212
18.25.2 Hinzufügen neuer Dateien................... 213
18.25.3 Verwaltung der Netzwerk-Ports................ 213
18.26 semodule................................ 214
18.27 semodule_expand........................... 216
18.28 semodulejink............................. 216
18.29 semoduie_package........................... 216
18.30 sesearch................................. 217
18.31 sestatus................................. 218
18.32 setenforce................................ 219
18.33 setfiles ................................. 220
18.34 setsebool................................ 220
18.35 setroubleshootd ............................ 221
18.36 system-config-securitylevel....................... 222
18.37 togglesebool.............................. 222
19 Typische SELinux-Administrationsaufgaben.................... 223
19.1 Abschalten von SELinux......................... 223
19.2 Abschalten von SELinux für einen Dienst ............... 224
19.3 Erneutes Labein des Betriebssystems................. 225
19.4 Programme in unconfined_t funktionieren nicht............ 225
19.5 KDE-Programme............................. 226
19.6 Start eines Dienstes mit ungewöhnlichem Port ............ 227
19.7 Verwendung einer SWAP-Datei..................... 228
19.8 Apache Webserver........................... 228
19.8.1 Neues DocumentRoot-Verzeichnis............... 228
19.8.2 Gleichzeitiger Zugriff per FTP, Samba etc........... . 229
19.8.3 Zugriff auf eine MySQL-Datenbank.............. 230
19.9 Sicherung (Backup)........................... 230
20 Analyse mit apol..................................231
20.1 Policy-Components........................... 232
20.2 Policy-Ruies............................... 232
20.3 FileContexts............................... 233
20.4 Analysis................................. 233
21 SELinux-Update.................................. . 235
22 SELinux-Installation................................. 239
22.1 FedoraCore............................... 239
22.2 DebianEtch............................... 240
23 Sicherer Betrieb eines Webservers mit FastCGI
und SELinux.....................................245
23.1 FastCGI mit mod_fcgid......................... 247
23.1.1 Konfiguration des Apache und modjcgid........... 248
23.2 SuExec und modjcgid......................... 252
23.3 SELinux und modjcgid......................... 254
23.4 Geschwindigkeit von modjcgid und SELinux............. 257
IV SELinux-Policy-Entwicklung 259
24 Die erste eigene Policy...............................261
24.1 Start................................... 262
24.2 Domänen und Typen .......................... 263
24.3 File-Contexts.............................. 265
24.4 Übersetzung............................... 265
24.5 Laden der Policy und Labein der Dateien................ 266
24.6 Test und Analyse der Fehlermeldungen................. 267
24.7 Policy mit Require-Block........................ 270
24.8 Policy unter Zugriff auf die Schnittstellen............... 272
24.9 Setzen der Uhrzeit erlauben...................... 278
24.10 Ist die Policy nun fertig? ........................ 279
24.11 Interface................................. 280
24.12 Fazit................................... 281
25 Boolesche Variablen................................283
25.1 Überblick................................283
25.2 Operatoren...............................284
25.3 Booleans und Interfaces........................284
25.4 Praktische Anwendung bei unserer date-Policy............ 284
26 Policy für einen Netzwerkdienst..........................287
26.1 Installation von HAVP..........................287
26.2 Erzeugung der Policy......................... . 288
26.3 Verzicht auf runjnit........................... 295
27 Labein von Objekten................................ 297
27.1 Labelingvon Dateien.......................... 297
27.1.1 Labelingmitxattrs....................... 299
27.1.2 Task-basiertes Labeling.................... 301
27.1.3 Transitionsbasiertes Labeling................. 302
27.1.4 Generelles Labeling...................... 302
27.2 Labelingvon Netzwerkobjekten .................... 303
27.2.1 Netzwerkkarten........................ 303
27.2.2 IP-Adressen.......................... 304
27.2.3 Ports.............................. 304
27.2.4 IP-Pakete............................ 305
27.2.5 Security-Associations..................... 305
27.3 Labeling weiterer Objekte........................ 306
27.3.1 Socket............................. 306
27.3.2 System V1PC.......................... 306
27.3.3 Capability........................... 306
27.3.4 Prozess............................. 306
27.3.5 System und Security...................... 307
28 Entwicklung unter der Strict-Policy.........................309
28.1 Der Befehl date............................. 309
28.2 Ein Modul für die Targeted- und Strict-Policy.............. 312
28.3 Weitere Rollen zur Delegation...................... 313
29 Die komplett eigene Policy.............................317
30 SELinux-Policy-Editoren und -IDEs......................... 321
30.1 Vim als SELinux-Editor......................... 321
30.2 SELinux Policy IDE (SLIDE)....................... 321
30.2.1 SLIDE-Installation....................... 322
30.2.2 SLIDE-Funktionen....................... 322
30.3 SELinux Policy Editor (SEedit)...................... 328
30.3.1 Simplified Policy Description Language (SPDL)........ 328
30.3.2 SEedit-lnstallation....................... 330
30.4 Cross Domain Solutions Framework (CDS Framework)......... 330
30.4.1 CDS-Konzept.......................... 331
V Ältere SELinux-lmplementierungen 333
31 Die Example-Policy.................................335
31.1 Struktur der Example-Policy...................... 335
31.2 Anpassung und Entwicklung von eigenen Regeln ...........336
VI SELinux-Zukunft 337
32 SELinux Policy Management Server........................339
32.1 Installation...............................340
32.1.1 Anpassung der Policy.....................340
32.1.2 Anwendung des Policy Management Servers.........341
32.1.3 Erlauben der Policy-Verwaltung................343
32.2 Fazit...................................344
33 SELinux-erweitertes XWindow...........................345
34 SELinux-Symposium............................... . 347
VII Anhinge 349
A Auditd-Daemon...................................351
A.i Zertifizierungen nach Common Criteria................. 351
Ä.2 auditd.................................. 352
Ä.3 auditctl................................. 355
A.4 aureport................................. 357
A.5 ausearch................................ 359
A.6 autrace................................. 360
B Profile für den Benchmark.............................361
B.i AppArmor-Profile für den Benchmark.................. 361
B.2 SELinux-Richtlinie für den Benchmark.................365
C Ergebnisse des LMBench..............................369
C.i AppArmor................................369
C.2 SELinux.................................370
Literaturverzeichnis...................................373
Stichwortverzeichnis..................................375
|
| adam_txt |
Titel: SELinux AppArmor
Autor: Spenneberg, Ralf
Jahr: 2008
Inhaltsverzeichnis
Vorwort. 23
Einführung . 25
I Was ist ein MAC und warum brauchen wir das? 27
1 Computersicherheit. 29
1.1 Übersicht. 29
1.2 Anfänge der Computersicherheit. 30
2 Access Control Systeme. 33
2.1 DAC-, MAC- und RBAC-Systeme. 33
2.1.1 Discretionary Access Control (DAC). 33
2.1.2 Mandatory Access Control (MAC). 33
2.1.3 Multi Level Security. 34
2.1.4 Multilateral Security. 35
2.1.5 Role Based Access Control (RBAC). 37
2.2 Type Enforcement. 37
2.3 Linux-Capabilitys. 38
2.3.1 Was Ist eine Capability?. 38
2.3.2 Welche Capabilitys existieren?. 39
2.3.3 Wie setzt man die Capabilitys ein?. 42
2.3.4 Rlesystem-Capabilitys. 43
2.4 Alternative MAC-Systeme. 45
2.5 Linux Intrusion Detection System (LIDS). 45
2.5.1 GetRewted Security (grsecurity). 46
2.5.2 RuleSet Based Access Control (RSBAC) . 48
3 Benchmarks 51
3.1 Novell AppArmor. 51
3.2 SELinux. 52
II AppArmor 55
4 AppArmor-Geschichte. 57
5 AppArmor-Anwendung. 59
5.1 Installation unter SUSE Linux. 59
5.2 Starten von AppArmor. 60
5.2.1 Welche Prozesse werden überwacht?. 61
5.3 Analyse der Protokolle. 62
5.4 AppArmor-Benachrichtigungen und-Berichte. 64
5.4.1 Executive Summary Report. 66
5.4.2 Applications Audit. 66
5.4.3 Security Incident Report. 66
5.5 Erzeugen eines Profils mit Yast. 66
5.6 Erzeugen eines Subprofils (Hat) mit Yast. 72
6 AppArmor-Funktion. 79
6.1 Was sollte immunisiert werden?. 79
6.1.1 Netzwerkdienste. 80
6.1.2 Netzwerkclients. 80
6.1.3 Cron-Jobs. 81
6.2 Wie schützt AppArmor?. 81
6.3 AppArmor-Befehle . 82
3.1 apparmor_status. 82
3.2 audit. 83
3.3 autodep. 84
3.4 complain. 84
3.5 enforce. 85
3.6 genprof. 85
3.7 logprof. 87
3.8 apparmor_parser. 90
6.3.9 unconfined. 92
6.4 AppArmor-Konfigurationsdateien. 93
6.4.1 logprof.conf. 93
6.4.2 subdomain.conf. 95
6.4.3 reports.conf. 96
6.4.4 severity.db. 96
6.4.5 reports.crontab . 96
6.5 AppArmor-Syntax. 96
6.5.1 Kommentare. 96
6.5.2 Include-Direktiven. 97
6.5.3 Profil. 97
6.5.4 Regel. 97
6.5.5 Variablen. 99
6.5.6 Capabilitys. 99
6.6 Abstractions. 99
7 AppArmor-lnstallation. 101
7.1 Ubuntu und Debian. 101
7.2 Installation aus den Sourcen. 102
8 AppArmor für Fortgeschrittene. 105
8.1 Erzeugen der Log-Markierung für logprof. 105
8.2 ChangeHat . 106
8.2.1 Apache 2.0 und mod_apparmor. 106
8.2.2 PAM und pam_apparmor. 108
8.3 Einzelne Benutzer mit unterschiedlichen Profilen. 113
9 Typische AppArmor-Administrationsvorgänge. 119
9.1 Weiteres Cacheverzeichnis für den Squid-Proxy. 119
9.2 Eine neue PHP-Anwendung für den Apache . 120
9.3 VirtualHosts mit Apache. 121
9.4 Überwachung von Snort mit AppArmor. . 125
9.5 Überwachung von Shellscripts. 127
9.6 Modifikation eines Profils ohne Neustart
der überwachten Applikation. 129
10 Kritische Betrachtung von AppArmor.131
10.1 Geschwindigkeit. 131
10.2 Sicherheit. 131
III SELinux für Einsteiger 135
11 Hintergrund. 137
11.1 Geschichte . 137
11.2 Architektur . 138
11.2.1 Access-Vector-Cache. 139
12 SELinux-Grundlagen. 141
12.1 Was ist SELinux? . 141
12.2 Der Security-Context: SELinux-Benutzer, -Rollen und -Typen. 141
12.3 Type Enforcement am Beispiel: Squid. 143
12.4 Welche Ressource erhält welchen Context? . 145
12.5 Das klassische Beispiel: passwd. 146
12.5.1 Domänentransition . 148
12.6 Rollen und Benutzer. 149
12.7 Multi Level Security. 151
12.8 Multi Category Security. 153
13 SELinux-Anwendung. 155
13.1 Distributionen. 155
13.1.1 FedoraCore . 155
13.1.2 Debian und Ubuntu. 156
13.1.3 Gentoo. 156
13.1.4 Slackware. 156
13-2 Welche SELinux-Policy?. 156
13.3 Erste Schritte und SELinux-Befehle. 157
14 SELinux-Protokollmeldungen.163
15 SELinuxund boolesche Variablen .171
15.1 Administration der booleschen Variablen. 175
16 SELinux-Anpassungen .179
16.1 Verwaltung der SELinux-Benutzer . 179
16.2 Verwaltung der Ports.180
16.3 Verwaltung der Security-Contexts der Dateien.180
16.4 Customizable Types. 181
16.5 Erweiterung der Policy.182
17 Policys. 189
17.1 Die Targeted-Policy. 189
17.1.1 Deaktivierung von SELinux für einzelne Applikationen . 190
17.1.2 Die booleschen Variablen der Targeted-Policy. 190
17.1.3 Schutz zusätzlicher Applikationen mit SELinux. 190
17.2 Die Strict-Policy. 191
17.2.1 Was unterscheidet die Strict-Policy? . 191
17.2.2 Die booleschen Variablen der Strict-Policy. 193
17.2.3 Schutz zusätzlicher Applikationen mit SELinux. 193
17.2.4 Neue Rollen zur Delegation der Root-Fähigkeiten . 193
17.3 DieMLS-Policy. 193
17.3.1 Labeling der Objekte. . 194
17.3-2 MLS in der Praxis. 195
18 SELinux-Kommandos.197
18.1 apol. 197
18.2 avcstat.198
18.3 audit2allow.198
i8.4 auditawhy. 200
18.5 chcat. 200
18.6 chcon. 201
18.7 checkmodule. 201
18.8 checkpolicy. 202
18.9 fixfiles. 202
18.10 genhomedircon. 203
18.11 getenforce. 203
18.12 getsebool. 203
18.13 load_policy. 204
18.14 matchpathcon. 204
18.15 newrole. 204
18.16 restorecon. 205
18.17 runjnit. 206
18.18 sealert. 206
18.19 seaudit. 207
18.20 seaudit-report. 208
18.21 sediff. 208
18.22 sediffx. 208
18.23 seinfo. 209
18.24 selinuxenabled. 209
18.25 semanage., 209
18.25.1 SELinux-User-Verwaltung. 212
18.25.2 Hinzufügen neuer Dateien. 213
18.25.3 Verwaltung der Netzwerk-Ports. 213
18.26 semodule. 214
18.27 semodule_expand. 216
18.28 semodulejink. 216
18.29 semoduie_package. 216
18.30 sesearch. 217
18.31 sestatus. 218
18.32 setenforce. 219
18.33 setfiles . 220
18.34 setsebool. 220
18.35 setroubleshootd . 221
18.36 system-config-securitylevel. 222
18.37 togglesebool. 222
19 Typische SELinux-Administrationsaufgaben. 223
19.1 Abschalten von SELinux. 223
19.2 Abschalten von SELinux für einen Dienst . 224
19.3 Erneutes Labein des Betriebssystems. 225
19.4 Programme in unconfined_t funktionieren nicht. 225
19.5 KDE-Programme. 226
19.6 Start eines Dienstes mit ungewöhnlichem Port . 227
19.7 Verwendung einer SWAP-Datei. 228
19.8 Apache Webserver. 228
19.8.1 Neues DocumentRoot-Verzeichnis. 228
19.8.2 Gleichzeitiger Zugriff per FTP, Samba etc. . 229
19.8.3 Zugriff auf eine MySQL-Datenbank. 230
19.9 Sicherung (Backup). 230
20 Analyse mit apol.231
20.1 Policy-Components. 232
20.2 Policy-Ruies. 232
20.3 FileContexts. 233
20.4 Analysis. 233
21 SELinux-Update. . 235
22 SELinux-Installation. 239
22.1 FedoraCore. 239
22.2 DebianEtch. 240
23 Sicherer Betrieb eines Webservers mit FastCGI
und SELinux.245
23.1 FastCGI mit mod_fcgid. 247
23.1.1 Konfiguration des Apache und modjcgid. 248
23.2 SuExec und modjcgid. 252
23.3 SELinux und modjcgid. 254
23.4 Geschwindigkeit von modjcgid und SELinux. 257
IV SELinux-Policy-Entwicklung 259
24 Die erste eigene Policy.261
24.1 Start. 262
24.2 Domänen und Typen . 263
24.3 File-Contexts. 265
24.4 Übersetzung. 265
24.5 Laden der Policy und Labein der Dateien. 266
24.6 Test und Analyse der Fehlermeldungen. 267
24.7 Policy mit Require-Block. 270
24.8 Policy unter Zugriff auf die Schnittstellen. 272
24.9 Setzen der Uhrzeit erlauben. 278
24.10 Ist die Policy nun fertig? . 279
24.11 Interface. 280
24.12 Fazit. 281
25 Boolesche Variablen.283
25.1 Überblick.283
25.2 Operatoren.284
25.3 Booleans und Interfaces.284
25.4 Praktische Anwendung bei unserer date-Policy. 284
26 Policy für einen Netzwerkdienst.287
26.1 Installation von HAVP.287
26.2 Erzeugung der Policy. . 288
26.3 Verzicht auf runjnit. 295
27 Labein von Objekten. 297
27.1 Labelingvon Dateien. 297
27.1.1 Labelingmitxattrs. 299
27.1.2 Task-basiertes Labeling. 301
27.1.3 Transitionsbasiertes Labeling. 302
27.1.4 Generelles Labeling. 302
27.2 Labelingvon Netzwerkobjekten . 303
27.2.1 Netzwerkkarten. 303
27.2.2 IP-Adressen. 304
27.2.3 Ports. 304
27.2.4 IP-Pakete. 305
27.2.5 Security-Associations. 305
27.3 Labeling weiterer Objekte. 306
27.3.1 Socket. 306
27.3.2 System V1PC. 306
27.3.3 Capability. 306
27.3.4 Prozess. 306
27.3.5 System und Security. 307
28 Entwicklung unter der Strict-Policy.309
28.1 Der Befehl date. 309
28.2 Ein Modul für die Targeted- und Strict-Policy. 312
28.3 Weitere Rollen zur Delegation. 313
29 Die komplett eigene Policy.317
30 SELinux-Policy-Editoren und -IDEs. 321
30.1 Vim als SELinux-Editor. 321
30.2 SELinux Policy IDE (SLIDE). 321
30.2.1 SLIDE-Installation. 322
30.2.2 SLIDE-Funktionen. 322
30.3 SELinux Policy Editor (SEedit). 328
30.3.1 Simplified Policy Description Language (SPDL). 328
30.3.2 SEedit-lnstallation. 330
30.4 Cross Domain Solutions Framework (CDS Framework). 330
30.4.1 CDS-Konzept. 331
V Ältere SELinux-lmplementierungen 333
31 Die Example-Policy.335
31.1 Struktur der Example-Policy. 335
31.2 Anpassung und Entwicklung von eigenen Regeln .336
VI SELinux-Zukunft 337
32 SELinux Policy Management Server.339
32.1 Installation.340
32.1.1 Anpassung der Policy.340
32.1.2 Anwendung des Policy Management Servers.341
32.1.3 Erlauben der Policy-Verwaltung.343
32.2 Fazit.344
33 SELinux-erweitertes XWindow.345
34 SELinux-Symposium. . 347
VII Anhinge 349
A Auditd-Daemon.351
A.i Zertifizierungen nach Common Criteria. 351
Ä.2 auditd. 352
Ä.3 auditctl. 355
A.4 aureport. 357
A.5 ausearch. 359
A.6 autrace. 360
B Profile für den Benchmark.361
B.i AppArmor-Profile für den Benchmark. 361
B.2 SELinux-Richtlinie für den Benchmark.365
C Ergebnisse des LMBench.369
C.i AppArmor.369
C.2 SELinux.370
Literaturverzeichnis.373
Stichwortverzeichnis.375 |
| any_adam_object | 1 |
| any_adam_object_boolean | 1 |
| author | Spenneberg, Ralf 1968- |
| author_GND | (DE-588)124259332 |
| author_facet | Spenneberg, Ralf 1968- |
| author_role | aut |
| author_sort | Spenneberg, Ralf 1968- |
| author_variant | r s rs |
| building | Verbundindex |
| bvnumber | BV023067286 |
| classification_rvk | ST 261 |
| classification_tum | DAT 460f DAT 438f |
| ctrlnum | (OCoLC)219407348 (DE-599)DNB981897754 |
| dewey-full | 005.432 |
| dewey-hundreds | 000 - Computer science, information, general works |
| dewey-ones | 005 - Computer programming, programs, data, security |
| dewey-raw | 005.432 |
| dewey-search | 005.432 |
| dewey-sort | 15.432 |
| dewey-tens | 000 - Computer science, information, general works |
| discipline | Informatik |
| discipline_str_mv | Informatik |
| format | Book |
| fullrecord | <?xml version="1.0" encoding="UTF-8"?><collection xmlns="http://www.loc.gov/MARC21/slim"><record><leader>01909nam a2200469 c 4500</leader><controlfield tag="001">BV023067286</controlfield><controlfield tag="003">DE-604</controlfield><controlfield tag="005">20081013 </controlfield><controlfield tag="007">t</controlfield><controlfield tag="008">080107s2008 gw a||| |||| 00||| ger d</controlfield><datafield tag="015" ind1=" " ind2=" "><subfield code="a">06,N49,0093</subfield><subfield code="2">dnb</subfield></datafield><datafield tag="015" ind1=" " ind2=" "><subfield code="a">08,A01,0082</subfield><subfield code="2">dnb</subfield></datafield><datafield tag="016" ind1="7" ind2=" "><subfield code="a">981897754</subfield><subfield code="2">DE-101</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">9783827323637</subfield><subfield code="c">Pp. : EUR 44.95 (DE), EUR 46.30 (AT), sfr 76.50</subfield><subfield code="9">978-3-8273-2363-7</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">9783827327642</subfield><subfield code="c">Pp. : EUR 29.95 (DE), EUR 30.80 (AT)</subfield><subfield code="9">978-3-8273-2764-2</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">3827323630</subfield><subfield code="c">Pp. : EUR 44.95 (DE), EUR 46.30 (AT), sfr 76.50</subfield><subfield code="9">3-8273-2363-0</subfield></datafield><datafield tag="024" ind1="3" ind2=" "><subfield code="a">9783827323637</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(OCoLC)219407348</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(DE-599)DNB981897754</subfield></datafield><datafield tag="040" ind1=" " ind2=" "><subfield code="a">DE-604</subfield><subfield code="b">ger</subfield><subfield code="e">rakddb</subfield></datafield><datafield tag="041" ind1="0" ind2=" "><subfield code="a">ger</subfield></datafield><datafield tag="044" ind1=" " ind2=" "><subfield code="a">gw</subfield><subfield code="c">XA-DE-BY</subfield></datafield><datafield tag="049" ind1=" " ind2=" "><subfield code="a">DE-91G</subfield><subfield code="a">DE-12</subfield><subfield code="a">DE-154</subfield><subfield code="a">DE-20</subfield><subfield code="a">DE-11</subfield><subfield code="a">DE-523</subfield></datafield><datafield tag="082" ind1="0" ind2=" "><subfield code="a">005.432</subfield><subfield code="2">22/ger</subfield></datafield><datafield tag="082" ind1="1" ind2=" "><subfield code="a">005.432</subfield><subfield code="2">22//ger</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">ST 261</subfield><subfield code="0">(DE-625)143633:</subfield><subfield code="2">rvk</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">DAT 460f</subfield><subfield code="2">stub</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">DAT 438f</subfield><subfield code="2">stub</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">004</subfield><subfield code="2">sdnb</subfield></datafield><datafield tag="100" ind1="1" ind2=" "><subfield code="a">Spenneberg, Ralf</subfield><subfield code="d">1968-</subfield><subfield code="e">Verfasser</subfield><subfield code="0">(DE-588)124259332</subfield><subfield code="4">aut</subfield></datafield><datafield tag="245" ind1="1" ind2="0"><subfield code="a">SELinux & AppArmor</subfield><subfield code="b">Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux]</subfield><subfield code="c">Ralf Spenneberg</subfield></datafield><datafield tag="264" ind1=" " ind2="1"><subfield code="a">München [u.a.]</subfield><subfield code="b">Addison-Wesley</subfield><subfield code="c">2008</subfield></datafield><datafield tag="300" ind1=" " ind2=" "><subfield code="a">384 S.</subfield><subfield code="b">Ill.</subfield><subfield code="c">25 cm</subfield><subfield code="e">1 CD-ROM (12 cm)</subfield></datafield><datafield tag="336" ind1=" " ind2=" "><subfield code="b">txt</subfield><subfield code="2">rdacontent</subfield></datafield><datafield tag="337" ind1=" " ind2=" "><subfield code="b">n</subfield><subfield code="2">rdamedia</subfield></datafield><datafield tag="338" ind1=" " ind2=" "><subfield code="b">nc</subfield><subfield code="2">rdacarrier</subfield></datafield><datafield tag="490" ind1="0" ind2=" "><subfield code="a">Open source library</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">AppArmor</subfield><subfield code="0">(DE-588)7593236-2</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="689" ind1="0" ind2="0"><subfield code="a">AppArmor</subfield><subfield code="0">(DE-588)7593236-2</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2=" "><subfield code="5">DE-604</subfield></datafield><datafield tag="856" ind1="4" ind2="2"><subfield code="m">HBZ Datenaustausch</subfield><subfield code="q">application/pdf</subfield><subfield code="u">http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016270470&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA</subfield><subfield code="3">Inhaltsverzeichnis</subfield></datafield><datafield tag="999" ind1=" " ind2=" "><subfield code="a">oai:aleph.bib-bvb.de:BVB01-016270470</subfield></datafield></record></collection> |
| id | DE-604.BV023067286 |
| illustrated | Illustrated |
| index_date | 2024-07-02T19:31:28Z |
| indexdate | 2024-07-09T21:10:14Z |
| institution | BVB |
| isbn | 9783827323637 9783827327642 3827323630 |
| language | German |
| oai_aleph_id | oai:aleph.bib-bvb.de:BVB01-016270470 |
| oclc_num | 219407348 |
| open_access_boolean | |
| owner | DE-91G DE-BY-TUM DE-12 DE-154 DE-20 DE-11 DE-523 |
| owner_facet | DE-91G DE-BY-TUM DE-12 DE-154 DE-20 DE-11 DE-523 |
| physical | 384 S. Ill. 25 cm 1 CD-ROM (12 cm) |
| publishDate | 2008 |
| publishDateSearch | 2008 |
| publishDateSort | 2008 |
| publisher | Addison-Wesley |
| record_format | marc |
| series2 | Open source library |
| spelling | Spenneberg, Ralf 1968- Verfasser (DE-588)124259332 aut SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] Ralf Spenneberg München [u.a.] Addison-Wesley 2008 384 S. Ill. 25 cm 1 CD-ROM (12 cm) txt rdacontent n rdamedia nc rdacarrier Open source library AppArmor (DE-588)7593236-2 gnd rswk-swf AppArmor (DE-588)7593236-2 s DE-604 HBZ Datenaustausch application/pdf http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016270470&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA Inhaltsverzeichnis |
| spellingShingle | Spenneberg, Ralf 1968- SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] AppArmor (DE-588)7593236-2 gnd |
| subject_GND | (DE-588)7593236-2 |
| title | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |
| title_auth | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |
| title_exact_search | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |
| title_exact_search_txtP | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |
| title_full | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] Ralf Spenneberg |
| title_fullStr | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] Ralf Spenneberg |
| title_full_unstemmed | SELinux & AppArmor Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] Ralf Spenneberg |
| title_short | SELinux & AppArmor |
| title_sort | selinux apparmor mandatory access control fur linux einsetzen und verwalten cd fedora core 6 vmware image zum experimentellen einsatz von selinux |
| title_sub | Mandatory Access Control für Linux einsetzen und verwalten ; [CD: Fedora Core 6-VMware-Image zum experimentellen Einsatz von SELinux] |
| topic | AppArmor (DE-588)7593236-2 gnd |
| topic_facet | AppArmor |
| url | http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016270470&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA |
| work_keys_str_mv | AT spennebergralf selinuxapparmormandatoryaccesscontrolfurlinuxeinsetzenundverwaltencdfedoracore6vmwareimagezumexperimentelleneinsatzvonselinux |