AppArmor vs. SELinux

Am vergangenen Dienstag hat die Diskussion um AppArmor, Novells Alternative zu SELinux, die fedora-devel-list erreicht. Wie immer fing es harmlos an, geht ein wenig offtopic und ein kleiner Einwurf löst eine Grundsatzdiskussion aus, an der auch Größen wie Alan Cox oder Arjan van de Ven nicht vorbeikommen. Ein wirklich lesenswerter Thread mit großartigen Zitaten:

[…] Snowball’s chance in hell the Fedora kernels are going to include apparmor specific patches that should be going into mainline kernel for everyone to use. You want to see it ported and see it available in Fedora Extras… then go chew the novell developers ears off about getting the required kernel patches into the mainline kernel. Please go read up in the lkml archives about Immunix’s SubDomain (newly renamed as Novell AppArmor) to gain insight on where in the process things are to get Immunix’s..err i mean Novell’s kernel patches into the mainline kernel.

-jef“New name==new press release==old news“spaleta

maybe it’s time to accept that SELinux as technology is doomed. Not because the code is bad, but because it’s Just Too Complex(tm).
Complexity kills, and I think the time it is taking to get to the point where at least less than 99% of the people turns selinux off first thing is waay too long already.
[…]

Arjan van de Ven

Lots of things can look pretty but it doesn’t mean they actually solve the fundamental problems. SELinux uses more complex ideas like roles because in the 1960s people working on this stuff realised the simple model actuallydoesn’t work.

Alan Cox

Hier der komplette Thread zum Nachlesen. Unbedingt lesen sollte man auch diesen im Thread erwähnten Artikel im Blog von Daniel Walsh.

Beteilige dich an der Unterhaltung

2 Kommentare

  1. Auch Nat Friedman von Novell äußert sich aktuell dazuim Interview mit Golem:

    „Wenn man in die Fedora-Mailinglisten schaut, ist die am häufigsten gestellte Frage, wie man SELinux ausschaltet. Es ist kompliziert und verursacht viele Probleme. Ich habe versucht, es zu benutzen und es nie geschafft, denn man muss sehr viele Konfigurationsdateien ändern und Policys erstellen. AppArmor ist sehr einfach, es gibt einen Assistenten, der bei der Einrichtung hilft. Damit erstellt man ein Profil, indem man sich durch ein paar Dialoge klickt und dann ist man fertig. Die Leute sollten es einfach ausprobieren und sich dann eine Meinung bilden.“

    Quelle: http://www.golem.de/0603/44074-5.html

  2. Wenn man in die Fedora-Mailinglisten schaut, ist die am häufigsten gestellte Frage, wie man SELinux ausschaltet.

    Das stimmt so nicht. Die Leute schalten es erstmal aus (auch da gibt es schönes GUI für), die Probleme kommen erst, wenn sie es wieder einschalten… 😉

    Es ist kompliziert und verursacht viele Probleme. Ich habe versucht, es zu benutzen und es nie geschafft, denn man muss sehr viele Konfigurationsdateien ändern und Policys erstellen.

    Ja, SELinux ist kompliziert. Aber das ist IMO gar nicht das Problem, das Problem ist die Dokumentation, die nicht mit der Entwicklung schritthalten kann. Wenn alles gut dokumentiert wäre, könnte man sich problemlos einlesen.

    … indem man sich durch ein paar Dialoge klickt und dann ist man fertig.

    Diesen „Ich-klick-mich-durch-einen-Assistenten-und-schalte-mein-Gehirn-Ab“-Ansatz habe ich schon bei anderen Betriebsystemen gehasst und in Sicherheitsfragen finde ich ihn fragwürdig. Sicherheit ist halt ein heikles Thema, das sich nicht hinter einem GUI verstecken lässt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.