SELinux

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

SELinux (Security-Enhanced Linux; engl. „sicherheitsverbessertes Linux“) ist eine Erweiterung des Linux-Kernels, die den ersten Versuch darstellt, das FLASK-Konzept des US-amerikanischen Geheimdienstes NSA umzusetzen. Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control. SELinux wird maßgeblich von der NSA und von dem Linux-Distributor Red Hat entwickelt. Unternehmen wie Network Associates, Secure Computing Corporation, und Tresys sind bzw. waren ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernimmt vermehrt Aufgaben am Projekt.

SELinux ist Open-Source-Software und setzt sich aus einem Kernel-Patch und aus zahlreichen Erweiterungen für Systemprogramme zusammen. Für das Festlegen der Regeln gibt es eine sogenannte Policy, die momentan von Tresys herausgegeben wird. Die meisten Distributionen bieten spezielle SELinux-Policy-Pakete für ihre Programme an, die die Policy um das jeweilige Programm erweitern.

Integration in den Linux-Kernel[Bearbeiten]

Für Kernel 2.4.x gibt es einen Patch, in Kernel 2.6.x ist SELinux direkt integriert. Die Linux-Distribution Fedora (ein durch Red Hat gesponsertes Projekt) war die erste Distribution, die von Haus aus SELinux-Unterstützung mitliefert. Fedora Core 3 und Red Hat Enterprise Linux 4 wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert. Mittlerweile ist es ebenfalls fester Bestandteil von CentOS, Hardened Gentoo und openSUSE. Unter Ubuntu sowie Debian ist dieses über die Paketverwaltung nachinstallierbar.[1][2] Die Implementierung für Slackware ist noch in Arbeit. Mit Einführung von Android 4.3 wurde auch offiziell der auf dem Linuxkernel basierende Androidkernel um SELinux erweitert.[3] Zuvor haben bereits Hersteller wie HTC und Samsung in ihren Smartphone-Modellen die Kernelerweiterung eingesetzt, um erweiterte Sicherheitsfunktionen zu implementieren.[4]

Werkzeuge[Bearbeiten]

Neben den offiziellen SELinux-Werkzeugen existieren zahlreiche nützliche Werkzeuge, die das Arbeiten mit SELinux erleichtern.

Setroubleshoot benachrichtigt über ein Task-Symbol über durchgesetzte Beschränkungen von Programmen und stellt auf Anfrage zusätzliche Informationen wie auch mögliche Lösungsvorschläge bereit, um das Problem zu beheben. SLIDE ist eine IDE für die Entwicklung der Richtlinie, die in Form einer Eclipse-Erweiterung veröffentlicht wird. Das Programm apol ist für die Analyse von Richtlinien zuständig.

Kritik[Bearbeiten]

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst. Näheres ist eventuell auf der Diskussionsseite oder in der Versionsgeschichte angegeben. Bitte entferne zuletzt diese Warnmarkierung.

An SELinux wird oft kritisiert, dass es viel zu komplex sei, um von normalen Benutzern administriert werden zu können. Das habe zur Folge, dass die meisten Benutzer ein solches System entweder nur unsicher konfigurieren oder SELinux komplett abschalten. Mit dem Versprechen, leichter konfigurierbar zu sein, hat deshalb Immunix das Tool AppArmor als Alternative etabliert.

Siehe auch[Bearbeiten]

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. https://wiki.ubuntu.com/SpecSELinux
  2. https://wiki.ubuntu.com/HardySELinux
  3. http://appexam.com/20130726/neuerungen-von-android-4-3-vieles-aber-hauptsachlich-unter-der-haube/18485/
  4. http://www.zeit.de/digital/mobil/2013-07/nsa-android-quellcode-spionage