SlideShare una empresa de Scribd logo
1 de 31
Hinter der Maske das gewünschte Bildmotiv platzieren




                                                            Sicherheit mit Red Hat Enterprise Linux
 Funktionsweise und Architektur von Security-Enhanced Linux und deren Umsetzung
mit Red Hat Enterprise
Linux




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     1
Inhaltsverzeichnis


         1.Vier gute Gründe
         2.Ihr Wissensvorsprung für morgen

         3.Webinar „Sicherheit mir Red Hat Enterprise Linux“ / 15.05.2012
           Einführung
           Die Architektur von Security-Enhanced Linux
           Funktionsweise von Security-Enhanced Linux
           Umsetzung in Red Hat Enterprise Linux
         4.Zusammenfassung
         5. Kontakt



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     2
Vier gute Gründe

   In der Webinar-Reihe der inoXtech University erfahren Sie:
     Lebendiger Austausch von Wissen in der IT Community
     Trends im Bereich Open Source, Virtualisierung und Cloud erkennen und
      weiterentwickeln
     Seien Sie vorne mit dabei wenn Innovationen geschaffen werden!
     Treffen Sie unsere Fachleute auch persönlich auf Get-Together-
      Veranstaltungen zu angeregten Fachgesprächen



   Die Idee hinter den inoXtech-Webinaren: Wir möchten Sie schon heute fit machen
    für die Technologien, die in naher Zukunft Arbeitsprozesse maßgeblich bestimmen
    werden. Nutzen Sie unser Webinar-Angebot.


    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     3
Ihr Wissensvorsprung für morgen

   Die inoXtech University möchte einen fruchtbaren Dialog für den aktiven,
    branchenübergreifenden Wissenstransfer in einer lebendigen IT-Community
    fördern. Regelmäßige Veranstaltungen, Webinare und unser Videoportal bieten
    Fachleuten und Neulingen gleichermaßen die Möglichkeit, ausgewiesenen
    Experten auf Augenhöhe zu begegnen und erfolgversprechende IT-Modelle für
    morgen zu diskutieren.

   So profitieren Sie von einem Wissensvorsprung, mit dem Sie heute schon
    Lösungen mit konkreten wirtschaftlichen und technologischen Vorteilen
    realisieren und vorstellen.


   Vielen Dank für Ihre Teilnahme.
   Ihr Michael Döderlein


    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     4
Einführung

   Intention . Begriffserklärung . Zusatz




    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Georg Vogetseder | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     5
Intention




 Klassische Linux Security – Diskrete AC
 Weitergehende Security – Verpflichtende AC
 Security-Enhanced Linux (SELinux) – Red Hat Spezialität
 Oftmals ungenutzt – Deaktiviert
 Einführung in die SELinux Architektur




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     6
Begriffserklärung - Zugriffschemata

Discretionary Access Control (DAC)
Klassische Unix-Zugangskontrolle
Prozesstrennung nach Usern und Gruppen
Sicherheitserweiterungen auf Applikationsebene


Mandatory Access Control (MAC) – SELIinux
Definiert den Umgang von Prozessen mit anderen Objekten
Kein Ersatz für DAC – Ergänzung
Expliziter Zugriff auf Dateien, Schnittstellen, etc.
Verhindert die Zugriffserweiterung über den eigenen Kontext

Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     7
Begriffserklärung – Verwundbarer Webserver




                                                   Abbildung: Ohne SELinux



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     8
Begriffserklärung – Verwundbarer Webserver




                                                   Abbildung: Mit SELinux



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     9
Zusatz – … aber hilfreich



                                 Geschützte Prozesse können nicht aus ihrem Kontext
                                  ausbrechen

                                 Kontext definiert minimale Rechte für die Prozesse

                                 Remote Exploits – Sehr starker Schutz

                                 Local Exploits - Konfigurationssache

                                 Kernel Exploits – Oftmals nicht – Steht auf der selben
                                  Stufe




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     10
Die Architektur von Security-Enhanced Linux

   Geschichte . Einführung .




    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Georg Vogetseder | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     11
Geschichte



                                 Ursprünglich durch die NSA entwickelt

                                 Umsetzung einer MAC – Sicherheitsarchitektur:
                                          - Type enforcement
                                       - Role based access control
                                                  - Multi-layer security

                                 SELinux ist Teil des Kernels – Seit 2.6.0 (als LSM)

                                 SELinux Information – Erweiterte Attribute des
                                  Dateisystems

                                 Andere: AppArmor, grsecurity, Trusted {BSD, Solaris,
                                  Darwin}, Mic, …


Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     12
Bestehende Architektur



                                 Unix hat nur Admin-Nutzer und Nicht-Admin-Nutzer

                                 Lösungen:
                                     sudo
                                     ACL
                                     setuid/setgid
                                     chroot

                                 Applikationsintegrierte Lösungen




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     13
Verbesserung durch SELinux



                                 Systemweite Lösung im Kernel

                                 Besser dosierbare Rechte

                                 Geschützte Prozesse haben nur die notwendigsten Rechte

                                 Bessere Trennung von Systembestandteilen




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     14
SELinux Festlegungen


                                   Definition des Zugriffs von Prozessen (Subjects) auf Teile
                                    des Systems (Objects)

                                   Man achtet auf den Kontext – Alle verfügbaren
                                    Informationen

                                   Jede Datei, Netzwerkport, Netzwerkinterface, User
                                    bekommt einen Kontext (Labels)

                                   Komplett freigegebene Daten sind geschützt – Außer das
                                    Subject darf anhand der Richtlinien (Policies)

                                   Kernel + Policies sind sicherheitsrelevant –
                                    Nicht mehr Kernel + Alle Applikationen + Konfigurationen



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     15
Funktionsweise von Security-Enhanced Linux

   Kontext . Policy .




    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Georg Vogetseder | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     16
Security Context


                         system_u : object_r : httpd_sys_content_t : s0 : c0

                        user_identity : role : type : sensitivity : category


                     Bestandteile:
                                •      User identity
                                •      Role
                                •      Type / Domain
                                •      Sensitivity & Category (optional)




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     17
Beispiele




                                   system_u : object_r : etc_t : s0

                                   system_u : object_r : httpd_config_t : s0

                                   system_u : object_r : httpd_exec_t : s0

                                   system_u : system_r : httpd_t : s0

                                   system_u : object_r : httpd_sys_content_t : s0 : c0




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     18
Umsetzung in Red Hat Enterprise Linux

   Policies




    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Georg Vogetseder | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     19
Policy




                                   Legt Kontexte für bestimmte Dateien fest

                                   Rules für Übergänge

                                   Definiert wie Domains auf Types zugreifen dürfen

                                   Arbeitsgrundlage für SELinux

                                   Modular erweiterbar




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     20
Policies - Übersicht




                                   Targeted – Die Standard-Policy

                                   MLS – Multi-Layer-Security

                                   Minimum - Startpunkt

                                   sVirt – Erweiterung für Virtualisierung

                                   Category wird in sVirt verwendet – Schutz vor
                                    Virtualisierungs-Exploits




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     21
Targeted




                                   Zielt nur auf bestimmte Dienste/Services ab

                                   Shells, Xorg laufen ohne SELinux – unconfined_t

                                   Es muss nicht für jede Application eine Policy vorhanden
                                    sein

                                   Apache httpd, Bind, Sendmail, Samba …

                                   Userspace läuft größtenteils ohne SELinux

                                   Systemdienste jedoch schon



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     22
MLS




                                   Ziel ist die EAL4+/LSPP1 Zertifizierung

                                   Zielt stärker auf Dateien ab – Sensitivity labels

                                   Behandlung von Sensitiven Dateien – Behörden und
                                    Militär

                                   „write up, read down“




           1   Labeled Security Protection Profile

Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     23
Zusammenfassung

   Schlussbemerkung . Fazit .




    Projekt:   Webinar-Reihe der inoXtech University
    Referent: Georg Vogetseder | Systems Engineer | inoX-tech
    Datum:    06.06.12
    Seite:     24
Schlussbemerkungen




                                   Kein Code-Audit, Keine Verschlüsselung, Kein Update-
                                    Ersatz

                                   Geschulte Administratoren

                                   In den meisten Fällen kommt man mit den Standardregeln
                                    sehr weit

                                   MLS ist interessant für hochsichere Umgebungen

                                   Virtualisierungssicherung ist mit sVirt möglich




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     25
Schlussbemerkungen




                                   Idealerweise Systeme mit wenigen funktionalen
                                    Änderungen

                                   Für sehr exponierte Systeme bzw. mit sehr hohen
                                    Sicherheitsanforderungen

                                   Sinnvolle Policy-Erstellung für neue zu schützende
                                    Prozesse




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     26
Schlussbemerkungen




                                   Schutz vor Rechteausweitung

                                   Schutz vor unautorisierter Daten- und
                                    Programmmanipulation

                                   Logging von Sicherheitsbrüchen

                                   Feingranulare Zugriffskontrolle

                                   Sandboxen für Applikationen (Domains)

                                   Rollenbasierte Zugriffskontrolle



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     27
Fazit




                                   Security-Enhanced Linux erweitert die Sicherheit von RHEL

                                   Erhöhter administrativer Aufwand bei non-standard Services

                                   Targeted Policy ist ausgewogene Basis – deshalb Standard




Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     28
Danke!



Projekt:   Webinar-Reihe der inoXtech University
Referent: Georg Vogetseder | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     29
 RHS429 Course Book
 Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide
 http://selinuxproject.org/page/Main_Page
 http://www.nsa.gov/research/selinux/index.shtml
 http://en.wikipedia.org/wiki/Security-Enhanced_Linux




Projekt:   Webinar-Reihe der inoXtech University
Referent: Martin Zehetmayer | Systems Engineer | inoX-tech
Datum:    06.06.12
Seite:     30
inoX-tech GmbH / Gutenbergstr. 8
94036 Passau / Deutschland
Mail: event@inox-tech.de
Fon: +49 (0)851 / 98 77 97 50
Fax: +49 (0)851 / 98 77 97 99


     www.xing.de/inoxtech
     www.plus.google.com/inoxtech
     www.facebook.com/inoxtech
     www.twitter.com/inoxtech       www.inox-tech.de

Más contenido relacionado

Destacado

Kaleb Chesnic
Kaleb ChesnicKaleb Chesnic
Kaleb Chesnickchesnic
 
Fallo camara civil_y_comercial
Fallo camara civil_y_comercialFallo camara civil_y_comercial
Fallo camara civil_y_comercialjorge
 
Act_1 Equipo #1
Act_1 Equipo #1Act_1 Equipo #1
Act_1 Equipo #1Leonor Chi
 
Tabla periodica
Tabla periodicaTabla periodica
Tabla periodicaMINED
 
Culturas del peru
Culturas del peruCulturas del peru
Culturas del perufrancis2016
 
easyCard mobile - Die Versicherung für smartphones und tablets
easyCard mobile - Die Versicherung für smartphones und tabletseasyCard mobile - Die Versicherung für smartphones und tablets
easyCard mobile - Die Versicherung für smartphones und tabletseasyCard Insurance GmbH
 
Presentació ABP: Eficiència bombetes (alumnes)
Presentació ABP: Eficiència bombetes (alumnes)Presentació ABP: Eficiència bombetes (alumnes)
Presentació ABP: Eficiència bombetes (alumnes)Xavier Rosell
 
Restrukturierung & Sanierung KMU
Restrukturierung & Sanierung KMURestrukturierung & Sanierung KMU
Restrukturierung & Sanierung KMUStefan Paul
 

Destacado (18)

Mantenimiento a un equipo de computo
Mantenimiento a un equipo de computoMantenimiento a un equipo de computo
Mantenimiento a un equipo de computo
 
Kaleb Chesnic
Kaleb ChesnicKaleb Chesnic
Kaleb Chesnic
 
Pecha kecha
Pecha kechaPecha kecha
Pecha kecha
 
Fallo camara civil_y_comercial
Fallo camara civil_y_comercialFallo camara civil_y_comercial
Fallo camara civil_y_comercial
 
Química final
Química finalQuímica final
Química final
 
Act_1 Equipo #1
Act_1 Equipo #1Act_1 Equipo #1
Act_1 Equipo #1
 
Tenerfe
TenerfeTenerfe
Tenerfe
 
Orientacion 3
Orientacion 3Orientacion 3
Orientacion 3
 
Schatz 5:1
Schatz 5:1Schatz 5:1
Schatz 5:1
 
Tabla periodica
Tabla periodicaTabla periodica
Tabla periodica
 
Rc albeiro ramírez
Rc albeiro ramírezRc albeiro ramírez
Rc albeiro ramírez
 
4 ficha evaluacion rapida con omrom
4   ficha evaluacion rapida con omrom4   ficha evaluacion rapida con omrom
4 ficha evaluacion rapida con omrom
 
Culturas del peru
Culturas del peruCulturas del peru
Culturas del peru
 
easyCard mobile - Die Versicherung für smartphones und tablets
easyCard mobile - Die Versicherung für smartphones und tabletseasyCard mobile - Die Versicherung für smartphones und tablets
easyCard mobile - Die Versicherung für smartphones und tablets
 
Presentación netiquetas.
Presentación netiquetas.Presentación netiquetas.
Presentación netiquetas.
 
Presentació ABP: Eficiència bombetes (alumnes)
Presentació ABP: Eficiència bombetes (alumnes)Presentació ABP: Eficiència bombetes (alumnes)
Presentació ABP: Eficiència bombetes (alumnes)
 
Ruta normatividad ens (2)
Ruta normatividad ens  (2)Ruta normatividad ens  (2)
Ruta normatividad ens (2)
 
Restrukturierung & Sanierung KMU
Restrukturierung & Sanierung KMURestrukturierung & Sanierung KMU
Restrukturierung & Sanierung KMU
 

Similar a Sicherheit mit Red Hat Enterprise Linux

Desktop Virtualisierung mit VMware View 5.0
Desktop Virtualisierung mit VMware View 5.0Desktop Virtualisierung mit VMware View 5.0
Desktop Virtualisierung mit VMware View 5.0inoX-tech GmbH
 
Linux-Automation mit red hat satellite server mz
Linux-Automation mit red hat satellite server mzLinux-Automation mit red hat satellite server mz
Linux-Automation mit red hat satellite server mzinoX-tech GmbH
 
Desktop Virtualisierung mit XenDesktop 5
Desktop Virtualisierung mit XenDesktop 5Desktop Virtualisierung mit XenDesktop 5
Desktop Virtualisierung mit XenDesktop 5inoX-tech GmbH
 
VMware Site Recovery Manager
VMware Site Recovery ManagerVMware Site Recovery Manager
VMware Site Recovery ManagerinoX-tech GmbH
 
Backup & Replication mit Veeam
Backup & Replication mit VeeamBackup & Replication mit Veeam
Backup & Replication mit VeeaminoX-tech GmbH
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenenpit GmbH & Co. KG
 
5 lukas ruf hacking in the cloud
5 lukas ruf  hacking in the cloud5 lukas ruf  hacking in the cloud
5 lukas ruf hacking in the cloudDigicomp Academy AG
 
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...Gregor Biswanger
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basisnetmedianer GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Intelliact AG
 
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung  und die Bedeutung der OSGeo FoundationOpen Source als innere Haltung  und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung und die Bedeutung der OSGeo FoundationFranz-Josef Behr
 
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...Matthias Stürmer
 
Softwerkskammer Chemnitz Special Pecha Kucha Night
Softwerkskammer Chemnitz Special Pecha Kucha NightSoftwerkskammer Chemnitz Special Pecha Kucha Night
Softwerkskammer Chemnitz Special Pecha Kucha NightChristinaLerch1
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...digitalSTROM.org
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareAndreas Schreiber
 
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsAndreas Schreiber
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...Gregor Biswanger
 

Similar a Sicherheit mit Red Hat Enterprise Linux (20)

Desktop Virtualisierung mit VMware View 5.0
Desktop Virtualisierung mit VMware View 5.0Desktop Virtualisierung mit VMware View 5.0
Desktop Virtualisierung mit VMware View 5.0
 
Linux-Automation mit red hat satellite server mz
Linux-Automation mit red hat satellite server mzLinux-Automation mit red hat satellite server mz
Linux-Automation mit red hat satellite server mz
 
Desktop Virtualisierung mit XenDesktop 5
Desktop Virtualisierung mit XenDesktop 5Desktop Virtualisierung mit XenDesktop 5
Desktop Virtualisierung mit XenDesktop 5
 
VMware Site Recovery Manager
VMware Site Recovery ManagerVMware Site Recovery Manager
VMware Site Recovery Manager
 
Backup & Replication mit Veeam
Backup & Replication mit VeeamBackup & Replication mit Veeam
Backup & Replication mit Veeam
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesen
 
5 lukas ruf hacking in the cloud
5 lukas ruf  hacking in the cloud5 lukas ruf  hacking in the cloud
5 lukas ruf hacking in the cloud
 
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...
Kuck mal, Node.js! Einstieg für .NET Entwickler mit Visual Studio Code und Ty...
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)
 
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung  und die Bedeutung der OSGeo FoundationOpen Source als innere Haltung  und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
 
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
 
Softwerkskammer Chemnitz Special Pecha Kucha Night
Softwerkskammer Chemnitz Special Pecha Kucha NightSoftwerkskammer Chemnitz Special Pecha Kucha Night
Softwerkskammer Chemnitz Special Pecha Kucha Night
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...
digitalSTROM Developer Day 2011: Jump Start in die digitalSTROM-Server Entwic...
 
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher SoftwareEinsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
Einsatz von Subversion bei der Entwicklung technisch-wissenschaftlicher Software
 
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-ToolsSoftware-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
Software-Engineering in der Luft- und Raumfahrt mit Open-Source-Tools
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...
Roadshow: Einstieg in die Hybrid-App Entwicklung mit dem Intel XDK und Apache...
 

Sicherheit mit Red Hat Enterprise Linux

  • 1. Hinter der Maske das gewünschte Bildmotiv platzieren Sicherheit mit Red Hat Enterprise Linux Funktionsweise und Architektur von Security-Enhanced Linux und deren Umsetzung mit Red Hat Enterprise Linux Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 1
  • 2. Inhaltsverzeichnis 1.Vier gute Gründe 2.Ihr Wissensvorsprung für morgen 3.Webinar „Sicherheit mir Red Hat Enterprise Linux“ / 15.05.2012 Einführung Die Architektur von Security-Enhanced Linux Funktionsweise von Security-Enhanced Linux Umsetzung in Red Hat Enterprise Linux 4.Zusammenfassung 5. Kontakt Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 2
  • 3. Vier gute Gründe  In der Webinar-Reihe der inoXtech University erfahren Sie:  Lebendiger Austausch von Wissen in der IT Community  Trends im Bereich Open Source, Virtualisierung und Cloud erkennen und weiterentwickeln  Seien Sie vorne mit dabei wenn Innovationen geschaffen werden!  Treffen Sie unsere Fachleute auch persönlich auf Get-Together- Veranstaltungen zu angeregten Fachgesprächen  Die Idee hinter den inoXtech-Webinaren: Wir möchten Sie schon heute fit machen für die Technologien, die in naher Zukunft Arbeitsprozesse maßgeblich bestimmen werden. Nutzen Sie unser Webinar-Angebot. Projekt: Webinar-Reihe der inoXtech University Referent: Martin Zehetmayer | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 3
  • 4. Ihr Wissensvorsprung für morgen  Die inoXtech University möchte einen fruchtbaren Dialog für den aktiven, branchenübergreifenden Wissenstransfer in einer lebendigen IT-Community fördern. Regelmäßige Veranstaltungen, Webinare und unser Videoportal bieten Fachleuten und Neulingen gleichermaßen die Möglichkeit, ausgewiesenen Experten auf Augenhöhe zu begegnen und erfolgversprechende IT-Modelle für morgen zu diskutieren.  So profitieren Sie von einem Wissensvorsprung, mit dem Sie heute schon Lösungen mit konkreten wirtschaftlichen und technologischen Vorteilen realisieren und vorstellen.  Vielen Dank für Ihre Teilnahme.  Ihr Michael Döderlein Projekt: Webinar-Reihe der inoXtech University Referent: Martin Zehetmayer | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 4
  • 5. Einführung  Intention . Begriffserklärung . Zusatz Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 5
  • 6. Intention  Klassische Linux Security – Diskrete AC  Weitergehende Security – Verpflichtende AC  Security-Enhanced Linux (SELinux) – Red Hat Spezialität  Oftmals ungenutzt – Deaktiviert  Einführung in die SELinux Architektur Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 6
  • 7. Begriffserklärung - Zugriffschemata Discretionary Access Control (DAC) Klassische Unix-Zugangskontrolle Prozesstrennung nach Usern und Gruppen Sicherheitserweiterungen auf Applikationsebene Mandatory Access Control (MAC) – SELIinux Definiert den Umgang von Prozessen mit anderen Objekten Kein Ersatz für DAC – Ergänzung Expliziter Zugriff auf Dateien, Schnittstellen, etc. Verhindert die Zugriffserweiterung über den eigenen Kontext Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 7
  • 8. Begriffserklärung – Verwundbarer Webserver Abbildung: Ohne SELinux Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 8
  • 9. Begriffserklärung – Verwundbarer Webserver Abbildung: Mit SELinux Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 9
  • 10. Zusatz – … aber hilfreich  Geschützte Prozesse können nicht aus ihrem Kontext ausbrechen  Kontext definiert minimale Rechte für die Prozesse  Remote Exploits – Sehr starker Schutz  Local Exploits - Konfigurationssache  Kernel Exploits – Oftmals nicht – Steht auf der selben Stufe Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 10
  • 11. Die Architektur von Security-Enhanced Linux  Geschichte . Einführung . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 11
  • 12. Geschichte  Ursprünglich durch die NSA entwickelt  Umsetzung einer MAC – Sicherheitsarchitektur: - Type enforcement - Role based access control - Multi-layer security  SELinux ist Teil des Kernels – Seit 2.6.0 (als LSM)  SELinux Information – Erweiterte Attribute des Dateisystems  Andere: AppArmor, grsecurity, Trusted {BSD, Solaris, Darwin}, Mic, … Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 12
  • 13. Bestehende Architektur  Unix hat nur Admin-Nutzer und Nicht-Admin-Nutzer  Lösungen:  sudo  ACL  setuid/setgid  chroot  Applikationsintegrierte Lösungen Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 13
  • 14. Verbesserung durch SELinux  Systemweite Lösung im Kernel  Besser dosierbare Rechte  Geschützte Prozesse haben nur die notwendigsten Rechte  Bessere Trennung von Systembestandteilen Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 14
  • 15. SELinux Festlegungen  Definition des Zugriffs von Prozessen (Subjects) auf Teile des Systems (Objects)  Man achtet auf den Kontext – Alle verfügbaren Informationen  Jede Datei, Netzwerkport, Netzwerkinterface, User bekommt einen Kontext (Labels)  Komplett freigegebene Daten sind geschützt – Außer das Subject darf anhand der Richtlinien (Policies)  Kernel + Policies sind sicherheitsrelevant – Nicht mehr Kernel + Alle Applikationen + Konfigurationen Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 15
  • 16. Funktionsweise von Security-Enhanced Linux  Kontext . Policy . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 16
  • 17. Security Context system_u : object_r : httpd_sys_content_t : s0 : c0 user_identity : role : type : sensitivity : category Bestandteile: • User identity • Role • Type / Domain • Sensitivity & Category (optional) Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 17
  • 18. Beispiele  system_u : object_r : etc_t : s0  system_u : object_r : httpd_config_t : s0  system_u : object_r : httpd_exec_t : s0  system_u : system_r : httpd_t : s0  system_u : object_r : httpd_sys_content_t : s0 : c0 Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 18
  • 19. Umsetzung in Red Hat Enterprise Linux  Policies Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 19
  • 20. Policy  Legt Kontexte für bestimmte Dateien fest  Rules für Übergänge  Definiert wie Domains auf Types zugreifen dürfen  Arbeitsgrundlage für SELinux  Modular erweiterbar Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 20
  • 21. Policies - Übersicht  Targeted – Die Standard-Policy  MLS – Multi-Layer-Security  Minimum - Startpunkt  sVirt – Erweiterung für Virtualisierung  Category wird in sVirt verwendet – Schutz vor Virtualisierungs-Exploits Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 21
  • 22. Targeted  Zielt nur auf bestimmte Dienste/Services ab  Shells, Xorg laufen ohne SELinux – unconfined_t  Es muss nicht für jede Application eine Policy vorhanden sein  Apache httpd, Bind, Sendmail, Samba …  Userspace läuft größtenteils ohne SELinux  Systemdienste jedoch schon Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 22
  • 23. MLS  Ziel ist die EAL4+/LSPP1 Zertifizierung  Zielt stärker auf Dateien ab – Sensitivity labels  Behandlung von Sensitiven Dateien – Behörden und Militär  „write up, read down“ 1 Labeled Security Protection Profile Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 23
  • 24. Zusammenfassung  Schlussbemerkung . Fazit . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 24
  • 25. Schlussbemerkungen  Kein Code-Audit, Keine Verschlüsselung, Kein Update- Ersatz  Geschulte Administratoren  In den meisten Fällen kommt man mit den Standardregeln sehr weit  MLS ist interessant für hochsichere Umgebungen  Virtualisierungssicherung ist mit sVirt möglich Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 25
  • 26. Schlussbemerkungen  Idealerweise Systeme mit wenigen funktionalen Änderungen  Für sehr exponierte Systeme bzw. mit sehr hohen Sicherheitsanforderungen  Sinnvolle Policy-Erstellung für neue zu schützende Prozesse Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 26
  • 27. Schlussbemerkungen  Schutz vor Rechteausweitung  Schutz vor unautorisierter Daten- und Programmmanipulation  Logging von Sicherheitsbrüchen  Feingranulare Zugriffskontrolle  Sandboxen für Applikationen (Domains)  Rollenbasierte Zugriffskontrolle Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 27
  • 28. Fazit  Security-Enhanced Linux erweitert die Sicherheit von RHEL  Erhöhter administrativer Aufwand bei non-standard Services  Targeted Policy ist ausgewogene Basis – deshalb Standard Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 28
  • 29. Danke! Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 29
  • 30.  RHS429 Course Book  Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide  http://selinuxproject.org/page/Main_Page  http://www.nsa.gov/research/selinux/index.shtml  http://en.wikipedia.org/wiki/Security-Enhanced_Linux Projekt: Webinar-Reihe der inoXtech University Referent: Martin Zehetmayer | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 30
  • 31. inoX-tech GmbH / Gutenbergstr. 8 94036 Passau / Deutschland Mail: event@inox-tech.de Fon: +49 (0)851 / 98 77 97 50 Fax: +49 (0)851 / 98 77 97 99 www.xing.de/inoxtech www.plus.google.com/inoxtech www.facebook.com/inoxtech www.twitter.com/inoxtech www.inox-tech.de