[linux-l] Einige Fragen zu GRsecurity...

[Peter Ross]

Hi Steffen,

On Wed, 21 Jan 2004, Steffen Schulz wrote:

> > Genau Root-Kits verhindern und Kernelschreiben kann FreeBSD mit chflags
> > und Securelevel seit einigen Jahren..
>
> > GRSecurity und SE Linux etc. sind sehr maechtig, aber um _dieses_ Ziel zu
> > erreichen, geht es viel einfacher. Das ist mit Spatzen nach Kanonen werfen
> > oder war's andersrum?
>
> Es geht einfacher, aber wenn man halt noch mehr will?

Das ist schon richtig. Nur geht es in der Praxis zuallermeist, wie Oliver
ja selbst sagt, darum, es zu verhindern, dass jemand durch root-Exploits
in der Lage ist, ein laufendes System zu veraendern und so sich "untertan"
zu machen.

Genau dazu habe ich ein paar Jahren ein Skript mit chflags geschrieben,
welches mir das in Verbindung mit dem Securelevel garantiert. Es ist
wesentlich einfacher zu handhaben als ACLs und erreicht trotzdem
(annaehernd) das Gleiche. Die Einfachheit bedeutet zum einen eine
ueberschaubare und drum weniger fehleranfaellige Implementierung als auch
Anwendung.

> W^X oder wie sich das nennt ist für OpenBSD meines Wissens recht neu.

Das ist korrekt.

Mir geht es hier nicht darum, nachzuweisen, dass es in Linux keine
nennenswerten Features gibt, es geht mir eher darum, drueber nachzudenken,
was man mit welchem Aufwand erreichen kann.

Gute Administration heisst m.E. immer, einen guten und moeglichst
einfachen Weg zu finden.

> Die ACLs sind noch nen anderes grosses Gebiet. Mit diesen Capabilities
> scheint man das erschlagen zu wollen, was zB ein GNU/Hurd-System einem
> bringen würde. Prozesse laufen nur noch mit genau den von ihnen
> benötigten Rechten und haben nur auf ihre eigenen Dateien Zugriff.
> Root ist tot. Im Grunde höchst effektiv.

Ja. Allerdings werden auch hier m.E. vorhandene Moeglichkeiten kaum
ausgeschoepft. Ein Service muss z.B. nicht mit Rootrechten laufen.
Allein dadurch erreicht man dieses Ziel schon recht gut.

Versteh mich nicht falsch, es ist nichts gegen ACLs einzuwenden, wenn man
sie wirklich braucht.

Allerdings ist es nicht gut, wenn ein System immer komplizierter wird,
weil die einfachen Mittel nicht ausgeschoepft werden.

> Zusammen mit den Kernel-features und vernünftiger Konfiguration würde
> ich das schon als ziemlich sicher einschätzen. Auch gegenüber noch
> unbekannten Schwachstellen und Leuten, die sich ihre Exploits generell
> selbst programmieren und von Hindernissen eher noch motiviert werden.
>
> Mit securelevel muss man glaub ich auch rebooten, wenn man dann doch
> was ändern will. Grsecurity kann einem mit einem gesondertem PW wieder
> komplette Rechte verschaffen. Vor- und Nachteil.

Solche Hintertueren lassen sich auch in einen Securelevel einbauen, sind
aber nicht vorgesehen (um nicht das Konzept zu "runinieren"). Ich muss mir
beim "Festzurren" halt ueberlegen, was ich konfigurierbar lasse. Diese
Dateien sollten dann auf Aenderungen ueberwacht werden..

Ich habe einfach leider in den letzten Jahren zu haeeufig speziell
Linux-Admins mit "nifty tools" rumspielen sehen, und zum Schluss haben die
sich immer wieder ins Knie geschossen (gelegentlich durfte ich's dann
ausbaden).

Ich kann immerhin sagen, dass mir soetwas in jahrelanger,
alleinverantwortlicher Taetigkeit so nicht passiert ist. Ich denke, einen
Gutteil hat etwas mit Nachdenken und "Keep it simple" zu tun, auch mit
Konservatismus. Ich greife zu einem Mittel erst dann, wenn ich zur
Ueberzeugung gelangt bbin, dass es fuer diese Aufgabe das richtige ist.

Wobei ich jetzt nicht sagen will, dass Oliver unverantwortlich handelt.

Gruss
Peter