Re(4): Berechtigungen - Vorteile?
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Linux-Support » Berechtigungen - Vorteile? (27 Beiträge, 528 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Linux-Support  #5805365
Berechtigungen - Vorteile?
Undying
18.12.2009, 08:55:07
Bin eigentlich Windows-Guy und hatte unlängst eine Diskussion über Vorteile bei Berechtigungsvergabe unter Linux.
Ich habs nicht ganz verstanden, was tatsächlich "besser" einstellbar ist als unter Windows.

Euere Meinung?
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: Berechtigungen - Vorteile?  (Somnatic am 18.12.2009, 09:27:54)
..  Re(2): Berechtigungen - Vorteile?  (kombipaket am 22.12.2009, 20:56:39)
...  Re(3): Berechtigungen - Vorteile?  (Somnatic am 23.12.2009, 00:42:56)
....
^ Forum  Linux-Support  #5811863
Re(4): Berechtigungen - Vorteile?
kombipaket
23.12.2009, 07:29:22
Ahem... SELinux ist in jedem 2.6er-Kernel drin, also auch in deinem Debian |-D. Du musst es nur aktivieren... Lies dich aber vorher in Policies ein oder aktiviere den logonly-Mode und nicht den scharfen - sonst hast dich sofort effektiv ausgesperrt |-D.

Wir waren vorhin übrigens bei Berechtigungen allgemein, nicht nur auf FS-Ebene...
Bei SELinux kannst Du definieren, welche Daten auf welchen Pfaden zwischen Applikationen wandern können - also B-Level-Security...

Das schlägt natürlich implizit runter bis zu Files.

Beispiel:
Ein Benutzer darf nur mit Outlook in seinem USERHOME/Mail/... Daten modifizieren, nicht aber mit notepad oder einem anderen Proggy (evtl. Virus)

Der Benutzer oracle darf nur mit den Kommandos psql, dem oracle-Prozess und xyz auf seine Datenbankfiles zugreifen - nicht mit anderen.

Der "Fehler" bei C2-Systemen (wie Windows/Linux out-of-the-Box) ist ja, dass jeder Benutzer alles mit seinen Daten machen darf. Genau drum existieren ja Viren-Würmer - weil eben ein Virus dann Sachen modifizieren darf, die dem Benutzer gehören.

Warum sollte man Beispielsweise einem Programm, dass von Outlook weggestartet wurde, erlauben den Autostart-Ordner zu modifizieren (um mal ein simples Beispiel zu bringen). Da macht es mehr Sinn, Outlook in eine eigene Domäne zu werfen und den laufenden Prozess eigenen Regeln zu unterwerfen.

Du hast also bei SE im Prinzip aufgelöste N:M-Beziehungen a la 

 
                |------|
                | User |
                |------|
                   |
|---------| |----------------| |------------|
| Context |-| Zugriffsrechte |-| Zielobjekt |
|---------| |----------------| |------------|

Bei "normalen" Systemen wie Windows würde fehlen:
1.) Der Context
2.) Zielobjekte wäre stark eingeschränkt. Zielobjekt könnte beispielsweise auch sein "Darf einen Socket öffnen" (damit wäre auch Schluß mit "nach-hause-telephonieren |-D), ...

Programme können natürlich Contexte wechseln - an definierten Punkten.

Es gibt noch mehr, was da dranhängt...
SE bietet seit Jahren extrem viele Möglichkeiten, denen Windows sich langsam annähert. Die UAC, das neue Sicherheitsmodell (wo der IE mit anderen Rechten rennt als ein "normaler" Userprozess), die Registry-Virtualisierung (oder wie M$ das Zeug nennt) sind nichts anderes als Versuche von M$, Windows Richtung B-Level zu heben und das Thema trotzdem Endusertauglich zu halten.

Aus meiner Sicht ist eine übliche Windowsinstallation in den Händen eines HalbDaus von den Sicherheitsmöglichkeiten einer üblichen Linuxinstallation in den Händen eines Halbdaus durchaus überlegen. M$ hat zumindest seit NT3.51 durchaus vieles geschafft.

In den Händen eines Profis sieht es dann aber anders aus.
MultiLevelSecurity, SE, ... sind Elemente, die gerade erst in die Windows-Welt kommen... Und natürlich wird es 10 Jahre drauf auch mal am MacOS sein und dann werden die Maccer behaupten, dass sie es erfunden haben |-D
Antworten PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
.....  Re(5): Berechtigungen - Vorteile?  (Somnatic am 23.12.2009, 08:18:53)
......  Re(6): Berechtigungen - Vorteile?  (kombipaket am 23.12.2009, 13:18:39)
.  Re: Berechtigungen - Vorteile?  (morph1 am 18.12.2009, 12:34:00)
..  Re(2): Berechtigungen - Vorteile?  (Blender3D am 18.12.2009, 12:58:36)
...  Re(3): Berechtigungen - Vorteile?  (morph1 am 18.12.2009, 13:02:41)
....  Re(4): Berechtigungen - Vorteile?  (Blender3D am 18.12.2009, 13:05:47)
.....  Re(5): Berechtigungen - Vorteile?  (morph1 am 18.12.2009, 13:12:08)
......  Re(6): Berechtigungen - Vorteile?  (A national Acrobat am 18.12.2009, 13:20:49)
.......  Re(7): Berechtigungen - Vorteile?  (morph1 am 18.12.2009, 13:21:44)
........  Re(8): Berechtigungen - Vorteile?  (A national Acrobat am 18.12.2009, 13:23:59)
.........  Re(9): Berechtigungen - Vorteile?  (Glockman am 18.12.2009, 13:58:03)
..........  Re(10): Berechtigungen - Vorteile?  (A national Acrobat am 18.12.2009, 14:32:11)
....  Re(4): Berechtigungen - Vorteile?  (kombipaket am 22.12.2009, 20:58:31)
...  Re(3): Berechtigungen - Vorteile?  (user86060 am 18.12.2009, 17:54:50)
....  Re(4): Berechtigungen - Vorteile?  (kombipaket am 22.12.2009, 21:11:38)
.  Re: Berechtigungen - Vorteile?  (SinnFrei am 19.12.2009, 14:59:50)
.  Re: Berechtigungen - Vorteile?  (to_markus am 22.12.2009, 00:42:12)
.  Re: Berechtigungen - Vorteile?  (juwb am 22.12.2009, 15:29:19)
.  Re: Berechtigungen - Vorteile?  (arctic am 22.12.2009, 16:09:07)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung