Hinter der Maske das gewünschte Bildmotiv platzieren                                                            Sicherheit...
Inhaltsverzeichnis         1.Vier gute Gründe         2.Ihr Wissensvorsprung für morgen         3.Webinar „Sicherheit mir ...
Vier gute Gründe   In der Webinar-Reihe der inoXtech University erfahren Sie:     Lebendiger Austausch von Wissen in der...
Ihr Wissensvorsprung für morgen   Die inoXtech University möchte einen fruchtbaren Dialog für den aktiven,    branchenübe...
Einführung   Intention . Begriffserklärung . Zusatz    Projekt:   Webinar-Reihe der inoXtech University    Referent: Geor...
Intention Klassische Linux Security – Diskrete AC Weitergehende Security – Verpflichtende AC Security-Enhanced Linux (S...
Begriffserklärung - ZugriffschemataDiscretionary Access Control (DAC)Klassische Unix-ZugangskontrolleProzesstrennung nac...
Begriffserklärung – Verwundbarer Webserver                                                   Abbildung: Ohne SELinuxProjek...
Begriffserklärung – Verwundbarer Webserver                                                   Abbildung: Mit SELinuxProjekt...
Zusatz – … aber hilfreich                                 Geschützte Prozesse können nicht aus ihrem Kontext             ...
Die Architektur von Security-Enhanced Linux   Geschichte . Einführung .    Projekt:   Webinar-Reihe der inoXtech Universi...
Geschichte                                 Ursprünglich durch die NSA entwickelt                                 Umsetzu...
Bestehende Architektur                                 Unix hat nur Admin-Nutzer und Nicht-Admin-Nutzer                  ...
Verbesserung durch SELinux                                 Systemweite Lösung im Kernel                                 ...
SELinux Festlegungen                                   Definition des Zugriffs von Prozessen (Subjects) auf Teile        ...
Funktionsweise von Security-Enhanced Linux   Kontext . Policy .    Projekt:   Webinar-Reihe der inoXtech University    Re...
Security Context                         system_u : object_r : httpd_sys_content_t : s0 : c0                        user_i...
Beispiele                                   system_u : object_r : etc_t : s0                                   system_u ...
Umsetzung in Red Hat Enterprise Linux   Policies    Projekt:   Webinar-Reihe der inoXtech University    Referent: Georg V...
Policy                                   Legt Kontexte für bestimmte Dateien fest                                   Rule...
Policies - Übersicht                                   Targeted – Die Standard-Policy                                   ...
Targeted                                   Zielt nur auf bestimmte Dienste/Services ab                                  ...
MLS                                   Ziel ist die EAL4+/LSPP1 Zertifizierung                                   Zielt st...
Zusammenfassung   Schlussbemerkung . Fazit .    Projekt:   Webinar-Reihe der inoXtech University    Referent: Georg Voget...
Schlussbemerkungen                                   Kein Code-Audit, Keine Verschlüsselung, Kein Update-                ...
Schlussbemerkungen                                   Idealerweise Systeme mit wenigen funktionalen                       ...
Schlussbemerkungen                                   Schutz vor Rechteausweitung                                   Schut...
Fazit                                   Security-Enhanced Linux erweitert die Sicherheit von RHEL                        ...
Danke!Projekt:   Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum:    0...
 RHS429 Course Book Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide http://selinuxproject.org/page/Main_P...
inoX-tech GmbH / Gutenbergstr. 894036 Passau / DeutschlandMail: event@inox-tech.deFon: +49 (0)851 / 98 77 97 50Fax: +49 (0...
Upcoming SlideShare
Loading in...5
×

Sicherheit mit Red Hat Enterprise Linux

576

Published on

Funktionsweise und Architektur von Security-Enhanced Linux und deren Umsetzung mit Red Hat Enterprise Linux.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
576
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sicherheit mit Red Hat Enterprise Linux

  1. 1. Hinter der Maske das gewünschte Bildmotiv platzieren Sicherheit mit Red Hat Enterprise Linux Funktionsweise und Architektur von Security-Enhanced Linux und deren Umsetzungmit Red Hat EnterpriseLinuxProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 1
  2. 2. Inhaltsverzeichnis 1.Vier gute Gründe 2.Ihr Wissensvorsprung für morgen 3.Webinar „Sicherheit mir Red Hat Enterprise Linux“ / 15.05.2012 Einführung Die Architektur von Security-Enhanced Linux Funktionsweise von Security-Enhanced Linux Umsetzung in Red Hat Enterprise Linux 4.Zusammenfassung 5. KontaktProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 2
  3. 3. Vier gute Gründe In der Webinar-Reihe der inoXtech University erfahren Sie:  Lebendiger Austausch von Wissen in der IT Community  Trends im Bereich Open Source, Virtualisierung und Cloud erkennen und weiterentwickeln  Seien Sie vorne mit dabei wenn Innovationen geschaffen werden!  Treffen Sie unsere Fachleute auch persönlich auf Get-Together- Veranstaltungen zu angeregten Fachgesprächen Die Idee hinter den inoXtech-Webinaren: Wir möchten Sie schon heute fit machen für die Technologien, die in naher Zukunft Arbeitsprozesse maßgeblich bestimmen werden. Nutzen Sie unser Webinar-Angebot. Projekt: Webinar-Reihe der inoXtech University Referent: Martin Zehetmayer | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 3
  4. 4. Ihr Wissensvorsprung für morgen Die inoXtech University möchte einen fruchtbaren Dialog für den aktiven, branchenübergreifenden Wissenstransfer in einer lebendigen IT-Community fördern. Regelmäßige Veranstaltungen, Webinare und unser Videoportal bieten Fachleuten und Neulingen gleichermaßen die Möglichkeit, ausgewiesenen Experten auf Augenhöhe zu begegnen und erfolgversprechende IT-Modelle für morgen zu diskutieren. So profitieren Sie von einem Wissensvorsprung, mit dem Sie heute schon Lösungen mit konkreten wirtschaftlichen und technologischen Vorteilen realisieren und vorstellen. Vielen Dank für Ihre Teilnahme. Ihr Michael Döderlein Projekt: Webinar-Reihe der inoXtech University Referent: Martin Zehetmayer | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 4
  5. 5. Einführung Intention . Begriffserklärung . Zusatz Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 5
  6. 6. Intention Klassische Linux Security – Diskrete AC Weitergehende Security – Verpflichtende AC Security-Enhanced Linux (SELinux) – Red Hat Spezialität Oftmals ungenutzt – Deaktiviert Einführung in die SELinux ArchitekturProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 6
  7. 7. Begriffserklärung - ZugriffschemataDiscretionary Access Control (DAC)Klassische Unix-ZugangskontrolleProzesstrennung nach Usern und GruppenSicherheitserweiterungen auf ApplikationsebeneMandatory Access Control (MAC) – SELIinuxDefiniert den Umgang von Prozessen mit anderen ObjektenKein Ersatz für DAC – ErgänzungExpliziter Zugriff auf Dateien, Schnittstellen, etc.Verhindert die Zugriffserweiterung über den eigenen KontextProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 7
  8. 8. Begriffserklärung – Verwundbarer Webserver Abbildung: Ohne SELinuxProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 8
  9. 9. Begriffserklärung – Verwundbarer Webserver Abbildung: Mit SELinuxProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 9
  10. 10. Zusatz – … aber hilfreich  Geschützte Prozesse können nicht aus ihrem Kontext ausbrechen  Kontext definiert minimale Rechte für die Prozesse  Remote Exploits – Sehr starker Schutz  Local Exploits - Konfigurationssache  Kernel Exploits – Oftmals nicht – Steht auf der selben StufeProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 10
  11. 11. Die Architektur von Security-Enhanced Linux Geschichte . Einführung . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 11
  12. 12. Geschichte  Ursprünglich durch die NSA entwickelt  Umsetzung einer MAC – Sicherheitsarchitektur: - Type enforcement - Role based access control - Multi-layer security  SELinux ist Teil des Kernels – Seit 2.6.0 (als LSM)  SELinux Information – Erweiterte Attribute des Dateisystems  Andere: AppArmor, grsecurity, Trusted {BSD, Solaris, Darwin}, Mic, …Projekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 12
  13. 13. Bestehende Architektur  Unix hat nur Admin-Nutzer und Nicht-Admin-Nutzer  Lösungen:  sudo  ACL  setuid/setgid  chroot  Applikationsintegrierte LösungenProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 13
  14. 14. Verbesserung durch SELinux  Systemweite Lösung im Kernel  Besser dosierbare Rechte  Geschützte Prozesse haben nur die notwendigsten Rechte  Bessere Trennung von SystembestandteilenProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 14
  15. 15. SELinux Festlegungen  Definition des Zugriffs von Prozessen (Subjects) auf Teile des Systems (Objects)  Man achtet auf den Kontext – Alle verfügbaren Informationen  Jede Datei, Netzwerkport, Netzwerkinterface, User bekommt einen Kontext (Labels)  Komplett freigegebene Daten sind geschützt – Außer das Subject darf anhand der Richtlinien (Policies)  Kernel + Policies sind sicherheitsrelevant – Nicht mehr Kernel + Alle Applikationen + KonfigurationenProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 15
  16. 16. Funktionsweise von Security-Enhanced Linux Kontext . Policy . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 16
  17. 17. Security Context system_u : object_r : httpd_sys_content_t : s0 : c0 user_identity : role : type : sensitivity : category Bestandteile: • User identity • Role • Type / Domain • Sensitivity & Category (optional)Projekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 17
  18. 18. Beispiele  system_u : object_r : etc_t : s0  system_u : object_r : httpd_config_t : s0  system_u : object_r : httpd_exec_t : s0  system_u : system_r : httpd_t : s0  system_u : object_r : httpd_sys_content_t : s0 : c0Projekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 18
  19. 19. Umsetzung in Red Hat Enterprise Linux Policies Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 19
  20. 20. Policy  Legt Kontexte für bestimmte Dateien fest  Rules für Übergänge  Definiert wie Domains auf Types zugreifen dürfen  Arbeitsgrundlage für SELinux  Modular erweiterbarProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 20
  21. 21. Policies - Übersicht  Targeted – Die Standard-Policy  MLS – Multi-Layer-Security  Minimum - Startpunkt  sVirt – Erweiterung für Virtualisierung  Category wird in sVirt verwendet – Schutz vor Virtualisierungs-ExploitsProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 21
  22. 22. Targeted  Zielt nur auf bestimmte Dienste/Services ab  Shells, Xorg laufen ohne SELinux – unconfined_t  Es muss nicht für jede Application eine Policy vorhanden sein  Apache httpd, Bind, Sendmail, Samba …  Userspace läuft größtenteils ohne SELinux  Systemdienste jedoch schonProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 22
  23. 23. MLS  Ziel ist die EAL4+/LSPP1 Zertifizierung  Zielt stärker auf Dateien ab – Sensitivity labels  Behandlung von Sensitiven Dateien – Behörden und Militär  „write up, read down“ 1 Labeled Security Protection ProfileProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 23
  24. 24. Zusammenfassung Schlussbemerkung . Fazit . Projekt: Webinar-Reihe der inoXtech University Referent: Georg Vogetseder | Systems Engineer | inoX-tech Datum: 06.06.12 Seite: 24
  25. 25. Schlussbemerkungen  Kein Code-Audit, Keine Verschlüsselung, Kein Update- Ersatz  Geschulte Administratoren  In den meisten Fällen kommt man mit den Standardregeln sehr weit  MLS ist interessant für hochsichere Umgebungen  Virtualisierungssicherung ist mit sVirt möglichProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 25
  26. 26. Schlussbemerkungen  Idealerweise Systeme mit wenigen funktionalen Änderungen  Für sehr exponierte Systeme bzw. mit sehr hohen Sicherheitsanforderungen  Sinnvolle Policy-Erstellung für neue zu schützende ProzesseProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 26
  27. 27. Schlussbemerkungen  Schutz vor Rechteausweitung  Schutz vor unautorisierter Daten- und Programmmanipulation  Logging von Sicherheitsbrüchen  Feingranulare Zugriffskontrolle  Sandboxen für Applikationen (Domains)  Rollenbasierte ZugriffskontrolleProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 27
  28. 28. Fazit  Security-Enhanced Linux erweitert die Sicherheit von RHEL  Erhöhter administrativer Aufwand bei non-standard Services  Targeted Policy ist ausgewogene Basis – deshalb StandardProjekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 28
  29. 29. Danke!Projekt: Webinar-Reihe der inoXtech UniversityReferent: Georg Vogetseder | Systems Engineer | inoX-techDatum: 06.06.12Seite: 29
  30. 30.  RHS429 Course Book Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide http://selinuxproject.org/page/Main_Page http://www.nsa.gov/research/selinux/index.shtml http://en.wikipedia.org/wiki/Security-Enhanced_LinuxProjekt: Webinar-Reihe der inoXtech UniversityReferent: Martin Zehetmayer | Systems Engineer | inoX-techDatum: 06.06.12Seite: 30
  31. 31. inoX-tech GmbH / Gutenbergstr. 894036 Passau / DeutschlandMail: event@inox-tech.deFon: +49 (0)851 / 98 77 97 50Fax: +49 (0)851 / 98 77 97 99 www.xing.de/inoxtech www.plus.google.com/inoxtech www.facebook.com/inoxtech www.twitter.com/inoxtech www.inox-tech.de

×