SELinux und LIDS: Meinungen/Erfahrungen

[Dennis Wronka]

Hi Leute.

Ich hab mal wieder ein diskussionwuerdiges Thema gefunden, und hoffe, dass es etwas Resonanz gibt.

Hat sich schon jemand mit SELinux auseinandergesetzt? Optimalerweise mehr als ich, denn ich hab bisher im Grunde nur entdeckt, dass ich es im Kernel aktivieren kann und vor kurzem die beiden folgenden Artikel (beide englisch) gelesen.
http://www.linuxsecurity.com/content/view/120567/49/
http://www.linuxsecurity.com/content/view/120622/49/

Mich wuerden ein paar Meinungen, und wenn moeglich auch Erfahrungen, interessieren.
Ich finde, dass sich das alles ganz gut anhoert, und es mich irgendwo an LIDS erinnert. Darum will ich auch LIDS mit in die Diskussion bringen.

Wuerde mich ueber einen regen Gedankenaustausch freuen, da ich mit dem Gedanken spiele mir SELinux bald mal anzusehen und vielleicht auch mal mit LIDS zu vergleichen, mit dem ich bisher auch nur sehr wenig gemacht hab.

 

[Arne Buchwald]

Hey Dennis,

na mal gucken, obs beim Dialog bleibt *stichel*

Zu SELinux kann ich gar nichts sagen, da es nativ nur für 2.6 unterstützt wird und ich den bisher nirgens aktiv laufen habe. Irgendwo hatte ich auch mal einen Port auf 2.4 gesehen, der mir aber reichlich un-supported erschienen war. Von daher hatte sich SELinux für mich recht bald erledigt.

Genauer hatte ich mir damals LIDS angesehen und war von den Möglichkeiten auch recht fasziniert. Allerdings gabs zuletzt einen entscheidenden Nachteil, warum ich es nicht produktiv auf Servern einsetzen würde. Leider ist das alles schon ein paar Tage her, so dass ich mich leider kaum erinnern kann. Mir schimmert gerade, dass es auch mit der Aktualität zusammenhing. Ich glaube mich zu erinnern, dass nur ein einziger das Projekt mehr oder weniger intensiv pflegte und von daher auch LIDS produktiv ausschied.

Wollte mir anschließend GRSecurity angucken, fehlte dann aber an Zeit und hatte auf der letzten Cebit dann A. Ott auf einem Stand gesehen, der der Hauptentwickler der Lösung RSBAC ist. Wenn ich mich noch in eine der Kernellösungen richtig einarbeite, dann wird es RSBAC sein. Der Umfang bzw. die Zeitdauer zum Einarbeiten sollte man allerdings nicht unterschätzen.

 

[Dennis Wronka]

Aus aktuellem Anlass hol ich diesen Thread mal wieder aus der Senke.

Ich steh jetzt quasi direkt davor mich nun endlich wirklich mal mit SELinux zu beschaeftigen, und zwar im Rahmen meines LFS-Automatisierungs-Projektes (davon werden hier sicher ein paar Leute gelesen haben ). Ich hatte halt vor dort optional SELinux-Unterstuetzung anzubieten und wollte halt nochmal nachhorchen ob denn bisher jemand mal damit rumgespielt hat, also es vielleicht in der Distribution mit dabei war und auch aktiv ist (wenn es jemand in der Distribution drin hat und es nicht aktiv ist zaehlt das ja wohl kaum als Erfahrung mit SELinux ) oder ob jemand es mal nachtraeglich in sein System geflanscht hat.