1. Hinter der Maske das gewünschte Bildmotiv platzieren
Sicherheit mit Red Hat Enterprise Linux
Funktionsweise und Architektur von Security-Enhanced Linux und deren Umsetzung
mit Red Hat Enterprise
Linux
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 1
2. Inhaltsverzeichnis
1.Vier gute Gründe
2.Ihr Wissensvorsprung für morgen
3.Webinar „Sicherheit mir Red Hat Enterprise Linux“ / 15.05.2012
Einführung
Die Architektur von Security-Enhanced Linux
Funktionsweise von Security-Enhanced Linux
Umsetzung in Red Hat Enterprise Linux
4.Zusammenfassung
5. Kontakt
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 2
3. Vier gute Gründe
In der Webinar-Reihe der inoXtech University erfahren Sie:
Lebendiger Austausch von Wissen in der IT Community
Trends im Bereich Open Source, Virtualisierung und Cloud erkennen und
weiterentwickeln
Seien Sie vorne mit dabei wenn Innovationen geschaffen werden!
Treffen Sie unsere Fachleute auch persönlich auf Get-Together-
Veranstaltungen zu angeregten Fachgesprächen
Die Idee hinter den inoXtech-Webinaren: Wir möchten Sie schon heute fit machen
für die Technologien, die in naher Zukunft Arbeitsprozesse maßgeblich bestimmen
werden. Nutzen Sie unser Webinar-Angebot.
Projekt: Webinar-Reihe der inoXtech University
Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 3
4. Ihr Wissensvorsprung für morgen
Die inoXtech University möchte einen fruchtbaren Dialog für den aktiven,
branchenübergreifenden Wissenstransfer in einer lebendigen IT-Community
fördern. Regelmäßige Veranstaltungen, Webinare und unser Videoportal bieten
Fachleuten und Neulingen gleichermaßen die Möglichkeit, ausgewiesenen
Experten auf Augenhöhe zu begegnen und erfolgversprechende IT-Modelle für
morgen zu diskutieren.
So profitieren Sie von einem Wissensvorsprung, mit dem Sie heute schon
Lösungen mit konkreten wirtschaftlichen und technologischen Vorteilen
realisieren und vorstellen.
Vielen Dank für Ihre Teilnahme.
Ihr Michael Döderlein
Projekt: Webinar-Reihe der inoXtech University
Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 4
5. Einführung
Intention . Begriffserklärung . Zusatz
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 5
6. Intention
Klassische Linux Security – Diskrete AC
Weitergehende Security – Verpflichtende AC
Security-Enhanced Linux (SELinux) – Red Hat Spezialität
Oftmals ungenutzt – Deaktiviert
Einführung in die SELinux Architektur
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 6
7. Begriffserklärung - Zugriffschemata
Discretionary Access Control (DAC)
Klassische Unix-Zugangskontrolle
Prozesstrennung nach Usern und Gruppen
Sicherheitserweiterungen auf Applikationsebene
Mandatory Access Control (MAC) – SELIinux
Definiert den Umgang von Prozessen mit anderen Objekten
Kein Ersatz für DAC – Ergänzung
Expliziter Zugriff auf Dateien, Schnittstellen, etc.
Verhindert die Zugriffserweiterung über den eigenen Kontext
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 7
8. Begriffserklärung – Verwundbarer Webserver
Abbildung: Ohne SELinux
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 8
9. Begriffserklärung – Verwundbarer Webserver
Abbildung: Mit SELinux
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 9
10. Zusatz – … aber hilfreich
Geschützte Prozesse können nicht aus ihrem Kontext
ausbrechen
Kontext definiert minimale Rechte für die Prozesse
Remote Exploits – Sehr starker Schutz
Local Exploits - Konfigurationssache
Kernel Exploits – Oftmals nicht – Steht auf der selben
Stufe
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 10
11. Die Architektur von Security-Enhanced Linux
Geschichte . Einführung .
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 11
12. Geschichte
Ursprünglich durch die NSA entwickelt
Umsetzung einer MAC – Sicherheitsarchitektur:
- Type enforcement
- Role based access control
- Multi-layer security
SELinux ist Teil des Kernels – Seit 2.6.0 (als LSM)
SELinux Information – Erweiterte Attribute des
Dateisystems
Andere: AppArmor, grsecurity, Trusted {BSD, Solaris,
Darwin}, Mic, …
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 12
13. Bestehende Architektur
Unix hat nur Admin-Nutzer und Nicht-Admin-Nutzer
Lösungen:
sudo
ACL
setuid/setgid
chroot
Applikationsintegrierte Lösungen
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 13
14. Verbesserung durch SELinux
Systemweite Lösung im Kernel
Besser dosierbare Rechte
Geschützte Prozesse haben nur die notwendigsten Rechte
Bessere Trennung von Systembestandteilen
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 14
15. SELinux Festlegungen
Definition des Zugriffs von Prozessen (Subjects) auf Teile
des Systems (Objects)
Man achtet auf den Kontext – Alle verfügbaren
Informationen
Jede Datei, Netzwerkport, Netzwerkinterface, User
bekommt einen Kontext (Labels)
Komplett freigegebene Daten sind geschützt – Außer das
Subject darf anhand der Richtlinien (Policies)
Kernel + Policies sind sicherheitsrelevant –
Nicht mehr Kernel + Alle Applikationen + Konfigurationen
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 15
16. Funktionsweise von Security-Enhanced Linux
Kontext . Policy .
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 16
17. Security Context
system_u : object_r : httpd_sys_content_t : s0 : c0
user_identity : role : type : sensitivity : category
Bestandteile:
• User identity
• Role
• Type / Domain
• Sensitivity & Category (optional)
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 17
19. Umsetzung in Red Hat Enterprise Linux
Policies
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 19
20. Policy
Legt Kontexte für bestimmte Dateien fest
Rules für Übergänge
Definiert wie Domains auf Types zugreifen dürfen
Arbeitsgrundlage für SELinux
Modular erweiterbar
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 20
21. Policies - Übersicht
Targeted – Die Standard-Policy
MLS – Multi-Layer-Security
Minimum - Startpunkt
sVirt – Erweiterung für Virtualisierung
Category wird in sVirt verwendet – Schutz vor
Virtualisierungs-Exploits
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 21
22. Targeted
Zielt nur auf bestimmte Dienste/Services ab
Shells, Xorg laufen ohne SELinux – unconfined_t
Es muss nicht für jede Application eine Policy vorhanden
sein
Apache httpd, Bind, Sendmail, Samba …
Userspace läuft größtenteils ohne SELinux
Systemdienste jedoch schon
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 22
23. MLS
Ziel ist die EAL4+/LSPP1 Zertifizierung
Zielt stärker auf Dateien ab – Sensitivity labels
Behandlung von Sensitiven Dateien – Behörden und
Militär
„write up, read down“
1 Labeled Security Protection Profile
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 23
24. Zusammenfassung
Schlussbemerkung . Fazit .
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 24
25. Schlussbemerkungen
Kein Code-Audit, Keine Verschlüsselung, Kein Update-
Ersatz
Geschulte Administratoren
In den meisten Fällen kommt man mit den Standardregeln
sehr weit
MLS ist interessant für hochsichere Umgebungen
Virtualisierungssicherung ist mit sVirt möglich
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 25
26. Schlussbemerkungen
Idealerweise Systeme mit wenigen funktionalen
Änderungen
Für sehr exponierte Systeme bzw. mit sehr hohen
Sicherheitsanforderungen
Sinnvolle Policy-Erstellung für neue zu schützende
Prozesse
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 26
27. Schlussbemerkungen
Schutz vor Rechteausweitung
Schutz vor unautorisierter Daten- und
Programmmanipulation
Logging von Sicherheitsbrüchen
Feingranulare Zugriffskontrolle
Sandboxen für Applikationen (Domains)
Rollenbasierte Zugriffskontrolle
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 27
28. Fazit
Security-Enhanced Linux erweitert die Sicherheit von RHEL
Erhöhter administrativer Aufwand bei non-standard Services
Targeted Policy ist ausgewogene Basis – deshalb Standard
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 28
29. Danke!
Projekt: Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 29
30. RHS429 Course Book
Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide
http://selinuxproject.org/page/Main_Page
http://www.nsa.gov/research/selinux/index.shtml
http://en.wikipedia.org/wiki/Security-Enhanced_Linux
Projekt: Webinar-Reihe der inoXtech University
Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
Datum: 06.06.12
Seite: 30