Ein Hoch auf SELinux

An dieser Stelle mal ein Lobgesang auf SELinux: Der jüngst bekannt gewordene “0day”-Exploit CVE-2006-3626, bei dem sich ein lokaler Nutzer über eine Schwachstelle im /proc-Dateisystem innerhalb von Sekunden root-Rechte verschaffen kann, wird von SELinux abgefangen. Dies berichtet Joshua Brindle auf der selinux-list. Auch das SANS Internet Storm Center bestätigt den Schutz durch SELinux.

James Morris stellt die Frage, wieviel weitere Exploits durch SELinux verhindert wurden (oder auch nicht) und was man daraus für die Entwicklung lernen sollte. In diesem Zusammenhang weist er auf einen interessanten Artikel von Mark Cox im Red Hat Magazine hin.

Noch mal der Hinweis an alle Fedora-, RHEL- und CentOS-Nutzer da draußen: Freut Euch, daß diese Distributionen auf SELinux setzen, eine solide Ausgangskonfiguration mitbringen und durchaus brauchbare Tools besitzen (z. B das neue system-config-selinux). Setzt Euch lieber ein wenig mit SELinux auseinander, anstatt es bei der erst(best)en Gelegenheit zu deaktivieren.

Via Fedora Weekly News Issue 55 (in Deutsch)

Beteilige dich an der Unterhaltung

3 Kommentare

  1. Solange mich dieses SELinux so nervt, bleibt es deskativiert.
    In meinen Augen ist das noch weit davon entvernt, nutzbar zu sein.
    Ich habe nämlich keinen Boch, jedes Mal nachzuforschen,wenn mal wieder irgendetwas von SELinux blockiert wird.
    Und das ist (zumindest hier) einiges.

  2. Was denn zum Beispiel? Und wo ist “hier”, auf welcher Distribution? Und wenn Du nicht nachforschtst, woher weißt Du dann, daß SELinux Schuld ist? 😉

    Was ist Deiner Meinung nach nicht ausgereift? SELinux ist ausgereift, gravierende Änderungen gibt es nicht mehr und es wird auch nicht einfacher werden. Aber Sicherheit ist nun mal auch kein einfaches Thema.

  3. Zugegebenermaßen ist SELinux wirklich eine schwere Kost. Aber nur wenn man sich nicht damit beschäftigen will oder kann. Wenn man es einmal verstanden hat ist es wirklich genial. Ich möchte nicht mehr darauf verzichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert