SELinux & AppArmor

SELinux & AppArmor - Mandatory Access Control für Linux einsetzen und verwalten......Page 1
Inhaltsübersicht......Page 8
3 Benchmarks......Page 12
6 AppArmor-Funktion......Page 13
9 Typische AppArmor-Administrationsvorgänge......Page 14
13 SELinux-Anwendung......Page 15
18 SELinux-Kommandos......Page 16
22 SELinux-Installation......Page 18
26 Policy für einen Netzwerkdienst......Page 19
30 SELinux-Policy-Editoren und -IDEs......Page 20
A Auditd-Daemon......Page 21
Stichwortverzeichnis......Page 22
Vorwort......Page 24
Einführung......Page 26
I Was ist ein MAC und warum brauchen wir das?......Page 28
Übersicht......Page 30
Anfänge der Computersicherheit......Page 31
Mandatory Access Control (MAC)......Page 34
Multi Level Security......Page 35
Multilateral Security......Page 36
Type Enforcement......Page 38
Was ist eine Capability?......Page 39
Welche Capabilitys existieren?......Page 40
Wie setzt man die Capabilitys ein?......Page 43
Filesystem-Capabilitys......Page 44
Linux Intrusion Detection System (LIDS)......Page 46
GetRewted Security (grsecurity)......Page 47
RuleSet Based Access Control (RSBAC)......Page 49
Novell AppArmor......Page 52
SELinux......Page 53
II AppArmor......Page 56
4 AppArmor-Geschichte......Page 58
Installation unter SUSE Linux......Page 60
Starten von AppArmor......Page 61
Welche Prozesse werden überwacht?......Page 62
Analyse der Protokolle......Page 63
AppArmor-Benachrichtigungen und -Berichte......Page 65
Erzeugen eines Profils mit Yast......Page 67
Erzeugen eines Subprofils (Hat) mit Yast......Page 73
Was sollte immunisiert werden?......Page 80
Netzwerkclients......Page 81
Wie schützt AppArmor?......Page 82
apparmor_status......Page 83
audit......Page 84
complain......Page 85
genprof......Page 86
logprof......Page 88
apparmor_parser......Page 91
unconfined......Page 93
logprof.conf......Page 94
subdomain.conf......Page 96
Kommentare......Page 97
Regel......Page 98
Abstractions......Page 100
Ubuntu und Debian......Page 102
Installation aus den Sourcen......Page 103
Erzeugen der Log-Markierung für logprof......Page 106
Apache 2.0 und mod_apparmor......Page 107
PAM und pam_apparmor......Page 109
Einzelne Benutzer mit unterschiedlichen Profilen......Page 114
Weiteres Cacheverzeichnis für den Squid-Proxy......Page 120
Eine neue PHP-Anwendung für den Apache......Page 121
VirtualHosts mit Apache......Page 122
Überwachung von Snort mit AppArmor......Page 126
Überwachung von Shellscripts......Page 128
Modifikation eines Profils ohne Neustart der überwachten Applikation......Page 130
Sicherheit......Page 132
III SELinux für Einsteiger......Page 136
Geschichte......Page 138
Architektur......Page 139
Access-Vector-Cache......Page 140
Der Security-Context: SELinux-Benutzer, -Rollen und -Typen......Page 142
Type Enforcement am Beispiel: Squid......Page 144
Welche Ressource erhält welchen Context?......Page 146
Das klassische Beispiel: passwd......Page 147
Domänentransition......Page 149
Rollen und Benutzer......Page 150
Multi Level Security......Page 152
Multi Category Security......Page 154
Fedora Core......Page 156
Welche SELinux-Policy?......Page 157
Erste Schritte und SELinux-Befehle......Page 158
14 SELinux-Protokollmeldungen......Page 164
15 SELinux und boolesche Variablen......Page 172
Administration der booleschen Variablen......Page 176
Verwaltung der SELinux-Benutzer......Page 180
Verwaltung der Security-Contexts der Dateien......Page 181
Customizable Types......Page 182
Erweiterung der Policy......Page 183
Die Targeted-Policy......Page 190
Schutz zusätzlicher Applikationen mit SELinux......Page 191
Was unterscheidet die Strict-Policy?......Page 192
Die MLS-Policy......Page 194
Labeling der Objekte......Page 195
MLS in der Praxis......Page 196
apol......Page 198
audit2allow......Page 199
chcat......Page 201
checkmodule......Page 202
fixfiles......Page 203
getsebool......Page 204
newrole......Page 205
restorecon......Page 206
sealert......Page 207
seaudit......Page 208
sediffx......Page 209
semanage......Page 210
SELinux-User-Verwaltung......Page 213
Verwaltung der Netzwerk-Ports......Page 214
semodule......Page 215
semodule_package......Page 217
sesearch......Page 218
sestatus......Page 219
setenforce......Page 220
setsebool......Page 221
setroubleshootd......Page 222
togglesebool......Page 223
Abschalten von SELinux......Page 224
Abschalten von SELinux für einen Dienst......Page 225
Programme in unconfined_t funktionieren nicht......Page 226
KDE-Programme......Page 227
Start eines Dienstes mit ungewöhnlichem Port......Page 228
Neues DocumentRoot-Verzeichnis......Page 229
Gleichzeitiger Zugriff per FTP, Samba etc.......Page 230
Sicherung (Backup)......Page 231
20 Analyse mit apol......Page 232
Policy-Rules......Page 233
Analysis......Page 234
21 SELinux-Update......Page 236
Fedora Core......Page 240
Debian Etch......Page 241
23 Sicherer Betrieb eines Webservers mit FastCGIund SELinux......Page 246
FastCGI mit mod_fcgid......Page 248
Konfiguration des Apache und mod_fcgid......Page 249
SuExec und mod_fcgid......Page 253
SELinux und mod_fcgid......Page 255
Geschwindigkeit von mod_fcgid und SELinux......Page 258
IV SELinux-Policy-Entwicklung......Page 260
24 Die erste eigene Policy......Page 262
Start......Page 263
Domänen und Typen......Page 264
Übersetzung......Page 266
Laden der Policy und Labeln der Dateien......Page 267
Test und Analyse der Fehlermeldungen......Page 268
Policy mit Require-Block......Page 271
Policy unter Zugriff auf die Schnittstellen......Page 273
Setzen der Uhrzeit erlauben......Page 279
Ist die Policy nun fertig?......Page 280
Interface......Page 281
Fazit......Page 282
Überblick......Page 284
Praktische Anwendung bei unserer date-Policy......Page 285
Installation von HAVP......Page 288
Erzeugung der Policy......Page 289
Verzicht auf run_init......Page 296
Labeling von Dateien......Page 298
Labeling mit xattrs......Page 300
Task-basiertes Labeling......Page 302
Generelles Labeling......Page 303
Netzwerkkarten......Page 304
Ports......Page 305
Security-Associations......Page 306
Prozess......Page 307
System und Security......Page 308
Der Befehl date......Page 310
Ein Modul für die Targeted- und Strict-Policy......Page 313
Weitere Rollen zur Delegation......Page 314
29 Die komplett eigene Policy......Page 318
SELinux Policy IDE (SLIDE)......Page 322
SLIDE-Funktionen......Page 323
Simplified Policy Description Language (SPDL)......Page 329
Cross Domain Solutions Framework (CDS Framework)......Page 331
CDS-Konzept......Page 332
V Ältere SELinux-Implementierungen......Page 334
Struktur der Example-Policy......Page 336
Anpassung und Entwicklung von eigenen Regeln......Page 337
VI SELinux-Zukunft......Page 338
32 SELinux Policy Management Server......Page 340
Anpassung der Policy......Page 341
Anwendung des Policy Management Servers......Page 342
Erlauben der Policy-Verwaltung......Page 344
Fazit......Page 345
33 SELinux-erweitertes XWindow......Page 346
34 SELinux-Symposium......Page 348
VII Anhänge......Page 350
Zertifizierungen nach Common Criteria......Page 352
auditd......Page 353
auditctl......Page 356
aureport......Page 358
ausearch......Page 360
autrace......Page 361
AppArmor-Profile für den Benchmark......Page 362
SELinux-Richtlinie für den Benchmark......Page 366
AppArmor......Page 370
SELinux......Page 371
Literaturverzeichnis......Page 374
B......Page 376
D......Page 377
I......Page 380
P......Page 381
S......Page 382
Z......Page 385
Ins Internet: Weitere Infos zum Buch, Downloads, etc.......Page 0
© Copyright......Page 387