Hallo.
Gibt es unter Linux eine Alternative zu FreeBSD's securelevel?
Und wenn ja, welche wäre das?
Dank euch.
Anmeldungsdatum: Beiträge: 98 |
Hallo. Gibt es unter Linux eine Alternative zu FreeBSD's securelevel? Und wenn ja, welche wäre das? Dank euch. |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Wenn ich so lese, dann reicht dafür ein chmod auf /dev bzw. /media und paar andere Dinge. Das macht es dort halt etwas automatisierter und für root noch etwas sicherer. Aber wozu root einschränken? sysctl kann man vielleicht auch nicht so einfach einschränken. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Hi. Danke. Na es geht dabei ja darum das im laufenden Betrieb die securelevel nicht verringert werden können. Auch von root nicht. Das ist ja der Sinn. Geht das denn so mit chmod? Ich hab noch nicht ganz verstanden wie genau? |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Nein. Aber wozu sollte man root misstrauen und einsperren? Kann man in bestimmten Situationen sicherlich machen. Dafür gibt es ja dann FreeBSD. 😉 Noch sicherer wäre OpenBSD, da es noch mehr auf Sicherheit optimiert ist. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Ein Beispiel für einen Protokolldroiden: Ich möchte das ein Protokollfile weiterhin beschrieben werden kann aber nichts in diesem File geändert oder gelöscht werden kann. Damit niemand im Nachhinein das Protokoll ändern oder löschen kann. Bei FreeBSD geht das mit zB einem immutable file flag. Selbst wenn jemand danach root übernimmt kann er die so gesetzten Files nicht ändern. Alternativen hier? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Hi Benno. Danke für Deine Antworten. Die Frage ist ganz entspannt gemeint. Ich finde diese Funktionalität bei FreeBSD cool. Und mich interessier nun ob und wie ich das in Ubuntu umsetzen kann. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Davon abgesehen verstehe ich die Frage, auch angesichts der Menge Deiner Posts hier, nicht. Weil root zB missbraucht werden kann? Unter welchen Umständen auch immer. Und es im Nachhinein immer wichtig ist die Protokolle unverändert lesen zu können. Die kann root ja sonst auch ändern nach dem Mißbrauch. Das ist ja der Kern jeder intrusion detection. Protokolle möglichst unverändert lesen können. |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Wenn man root nicht traut oder trauen kann, ist vorher schon was faul. Den Zugang dazu sollte man entsprechend absichern. Loggt man sich aber damit ein, will man normerweise administrieren. Dazu gehört auch, in einigen wenigen Fällen mehrere GB vollgelaufene syslogs zu entfernen. 😉 Erhöhte Sicherheit hat natürlich ihre Berechtigung. Unter Linux kann man dazu Konzepte wie ACL oder AppArmor einsetzen. FreeBSD und OpenBSD bieten systembedingt andere und vielleicht mehr vorinstallierte Konzepte. Es spricht wirklich nichts dagegen, dann auch mal einen Rechner damit einzurichten. Es muss ja nicht immer Linux sein. root könnte aber AppArmor stoppen und ACL neu setzen. sysctl evtl. gar nicht direkt einschränken. Insofern würd ich sagen, hast du da vielleicht die Grenzen von Linux und einen der Vorteile von BSD/ Unix gefunden. Freu dich doch darüber. ☺ Logfile-Sicherung: Dazu kann man unter Linux einen extra Server nehmen, auf den die Protokolle aller Rechner gespeichert (oder in mehreren Versionen und zeitlichen Abständen) kopiert werden. Machen viele Firmen so. Da können ja auch noch andre Sachen drauf laufen, etwa ALLE Backups drauf liegen. Edit: Für Clients kann ich dir PC-BSD sehr empfehlen - ist grafisch viel einfacher und hübscher als das reine FreeBSD, aber es ist ein FreeBSD. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Erstaunlich. Danke für die Antwort. |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Ich hab nochmal kurz Zeit genommen. Vielleicht kann man auch eigene Kernel mit ähnlicher Funktionalität kompilieren. Eine Suchanfrage ergab indes BSD-style securelevel comes to Linux — again, wobei der Titel aber auf den ersten Blick wenig seiner "Versprechen" einlöst und wohl eher was mit EFI-Problemen zu tun hat. |
Anmeldungsdatum: Beiträge: 867 |
Es gibt auch unter Linux einige sehr hilfreiche Sicherheitstools wie z.B. pax und grsecurity. Allerdings muss dabei der Kernel neu comiliert werden. Ausserdem ist es unter Linux auch jetzt schon möglich root-Programmen die Möglichkeit zu nehmen, ihre weitreichenden Zugriffsmöglichkeiten an Kindprogramme zu vererben. Näheres dazu findet man in: man capabilities Nichtsdestotrotz ist der Ansatz root einschränken zu wollen, einfach falsch. Die Probleme resultieren daraus, dass zuviele (Anwendungs-)entwickler sich aus Bequemlichkeit zu viele Rechte aneignen wollen. Es ist z.B. nicht ersichtlich, warum ein Sambaserver mit root-Rechten arbeiten muss wenn er genauso gut auch unter einem unprivilegiertem Account laufen kann. Dasselbe gilt auch für den ssh-Server, wobei man den tatsächlich so konfigurieren kann, dass er auch unter einem normalen Nutzer läuft. Das ist wesentlich sicherer als der Ansatz von Securelevel (und tansparent nachvollziehbar). |