Mal wieder eine Umfrage :D

Ich beschäftige mich gerade mit dem Vergleich der diversen Sicherheitserweiterungen für den Linuxkernel, welche das Linuxsystem absichern soll, also root-Entmachtung, kontrollierter Ressourcenzugriff, etc..

Bis dato bekannt: LIDS, grsecurity, SE Linux, Systrace, RSBAC

Ich bin mal neugierig, wer hier welches System mit welchen Erfahrungen einsetzt.

ups - habe erst jetzt gesehen das es so ein alter thread ist :)
Aber vielleicht hilft es ja zu einer neuen Diskussion ;)

Hallo, da es mich auch grade interessiert Antworte ich mal im kurzen:
Ich zähl mal kurz die Vor- und Nachteile der Systeme auf (soweit ich gelesen habe):

Hier noch ein vergleich (englisch): LIDS vs. AppArmor: http://www.andrew.cmu.edu/user/skhor/draft4b.pdf


Leider (meine Meinung) leiden viele Projekte an einer recht schleichten Dokumentation.

LIDS:
Vorteil: wird noch aktiv Entwickelt, relativ einfach einzurichten
Nachteil: nur als Patch verfügbar,
Doku: nicht wirklich gut (es fehtl klare gute Struktur - evtl. ein schönes PDF ...etc)
obwohl Herr Spenneberg in seinem IDS Buch ein Teil über LIDS drinnen hat (Kapitel 11)
http://www.os-t.de/PDFs_IDS/2134_Kap11.pdf
Auch Pro-linux.de hat einen Artikel: http://www.pl-berichte.de/t_system/lids.html
Sonstiges: benutzt LSM
Persönliche Meinung:
funktioniert ganz ordentlich. Auch Xorg und KDE machen keine Probleme.
Der Patch für den Kernel 2.6.14 funktionierte bei meinem 2.6.16.
Anscheinend wird aber LSM aus dem Kernel entfernt - wie es dann weitergeht weiß ich nicht.

grsecurity:
Vorteil: wird "noch" Entwickelt, soll auch relativ einfach sein.
Nachteil: wird angeblich eingestellt, nur als Patch
Doku: anscheinden ganz gut (soweit ich gesehen habe)
Sonstiges: benutzt kein LSM, es gibt aktuelle patches unter: www.grsecurity.net/~spender/
Persönliche Meinung:
k.a. aktueller Patch funktionierte für 2.6.16 nicht - den anderen unter ~/spender habe ich "noch" nicht ausprobiert.
Es gibt anscheinden auch einen für den 2.6.16.19 - finde ihn aber nicht - im Forum wird auch nicht geantwortet.

RSBAC:
Vorteil: feinere Einstellungen, sehr aktive Entwicklung (momentan sogar für Kernel 2.6.16 verfügbar)
Nachteil: komplizierter als die beiden oben erwähnten.
Doku: für meine Zwecke - leider nicht sehr umfangreich
Sonstiges: kein LSM
Persönliche Meinung:
k.a. nach dem Patchen des Kernels nicht weiter ausprobiert - da ich ziemlich schnell 600 MB log files hatte - und es probleme beim laden von libs gab. Werde es mir aber sicher nochmal anschauen.

SELinux:
Vorteil: feine Einstellungsmöglichkeiten, aktive Entwicklung?
Nachteil: kompliziert
Doku: weiß ich leider auch nicht.
Sonstiges: LSM
Persönliche Meinung:
k.A. - noch nicht ausprobiert - die komplexität hat mich bisher abgeschreckt. Außerdem die meinung von grsecurity über SELinux:
http://www.grsecurity.net/lsm.php

AppArmor:
Vorteil: nicht so kompliziert zu konfigurieren.
Nachteil: k.A.
Doku: k.A.
Sonstiges: k.A.
Persönliche Meinung:
k.A. - noch nicht getestet.

werde es noch abändern wenn ich mehr ausprobiert, oder mehr Infos drüber habe.

AppArmor:
Vorteil: nicht so kompliziert zu konfigurieren.
Nachteil: k.A.
Doku: k.A.
Sonstiges: k.A.
Persönliche Meinung:
k.A. - noch nicht getestet.

In der PC Welt LINUX 3/2006 (Mitte 05/2006 erschienen, Preis mit DVD [OpenSuse 10.1] und CD in Deutschland 7,99 Euro) ist ein vierseitiger vor allem praxisorientierter Artikel mit Screenshots: Demnach wird für bestimmbare Anwendungen eine weitere Berechtigungsschicht drübergelegt.

1. Es gibt demnach vorgefertigte Profile zB. für firefox
2. Neue Profile werden angelegt, indem der AppArmor-Assistent gestartet und anschließend die gewünschte Anwendung gestartet wird. Man soll dann möglichst viele Anwendungsfunktionen nutzen, damit alle benötigten Teilregeln erfasst werden können. Anschließend richtet man die Rechte dazu ein.
3. Man soll auch Profile recht einfach nachbessern/erweitern können.

Für eine simple Workstation scheint mir der Einarbeitungsaufwand aber trotzdem ein bischen hoch - Installieren von neuesten Releases und regelmäßige Datensicherung haben mir in den letzten dreieinhalb Jahren das Gefühl gegeben, dass mir eigentlich nichts fehlt ;)