Sicherheit für Linux-Software mit AppArmor
Ich habe vor kurzem dieses Video über AppArmor (270MB) von der FOSDEM gesehen und war ziemlich beeindruckt.
Eine kurze Einführung um was es geht: AppArmor schützt das System und laufende Dienste, indem es Zugriffe auf Dateien und Systemressourcen überwacht und anhand von Profilen überprüft, ob der Dienst dazu berechtigt ist. So kann man zum Beispiel festlegen, dass Apache lesezugriff auf die HTML-Dokumente bekommt aber keine Möglichkeit hat, eine bash zu starten oder bestimmte Dateien zu überschreiben. Da sich AppArmor über die LSM-Schnittstelle an den Kernel anhängt, ist es nicht zu umgehen und sollte ziemlich sicher sein.
Wichtig ist nun natürlich, wie einfach das erstellen der Profile ist. AppArmor beinhaltet verschiedene Tools, welche einen Dienst überwachen und alle Zugriffe loggen und danach Eintrag für Eintrag mit dem Admin durchgehen und die Regeln dafür festlegen. Im oben genannten Video wird das mit Apache getan und es dauert nur einige Minuten.
Insgesamt sieht AppArmor sehr vielversprechend aus und könnte Linux zu noch mehr Sicherheit verhelfen. Sobald Ebuilds für Gentoo bereitstehen, werde ich das ganze wohl mal für meinen Server machen und natürlich darüber berichten.
2 comments on “Sicherheit für Linux-Software mit AppArmor”
Leave a comment
You must be connected to write a comment.
Ist das etwas ähnliches wie SELinux (http://www.nsa.gov/selinux/)? Vor einigen Wochen war in der C’t darüber mal ein Artikel … aber den hast du sicher gesehen
AppArmor ist eigentlich eine direkte Konkurrenz zu SELinux. AppArmor soll aber einfacher zu konfigurieren sein als SELinux, ich muss aber zugeben, dass ich mich mit SELinux nicht wirklich auskenne (hab den Artikel nur überflogen).