"Trusted System"

Lesenswerte Artikel, Anleitungen und Diskussionen
enzymir
Posts: 16
Joined: 2002-10-06 03:39
Location: Ulm

"Trusted System"

Post by enzymir » 2004-05-01 20:30

Auf meinen HPUX kisten habe ich "Trusted System" aktiviert. Dies heisst dass aus der /etc/passwd der rootaccount verschwindet.
Gibt es so eine Möglichkeit auch bei linux?
Hat da jemand Erfahrung mit?
Und hat jemand Erfahrung damit, wo man einstellen kann, dass nicht jeder root werden kann? klar über Gruppenzuweisung, aber wo steht, welche Gruppe root werden darf?

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: "Trusted System"

Post by sascha » 2004-05-01 20:37

1. Was soll das bringen?

2. pam_wheel.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: "Trusted System"

Post by captaincrunch » 2004-05-01 20:39

Gibt es so eine Möglichkeit auch bei linux?
Jein: es gibt Software unter Linux, die dich diesem Ziel näher bringt (wobei sich HP-UX da definitiv nicht auf den "verschwundenen" root-Account beschränkt). Als Stichworte wären dabei zu nennen:

- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.

- GRSecurity
Auch die erweiterten GRSecurity-Optionen ermöglichen dir, die Allmacht von root etwas mehr einzuschränken.

- RSBAC
Das z.Zt. wohl mächtigste MAC-System.

Sämtliche Systeme haben aber gemein, dass man ein gerüttelt Maß an Hintergrundwissen und Zeit zur Einarbeitung mitbringen sollte, um das System seinen Bedürfnissen anpassen zu können.
Glücklicherweise gibt es mittlerweile bereits Distributionen, die einem einen Teil dieser Arbeit abnehmen:

- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.

- Das auf Debian basierende Adamantix setzt standardmäßig (u.a.) auf RSBAC, und bringt auch eine mittlerweile sogar recht nutzbare Defaultpolicy mit.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

enzymir
Posts: 16
Joined: 2002-10-06 03:39
Location: Ulm

Re: "Trusted System"

Post by enzymir » 2004-05-01 20:41

1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.

2. Thx.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: "Trusted System"

Post by captaincrunch » 2004-05-01 20:44

1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.
Dazu gibt's seit mittlerweile ziemlich langer Zeit die /etc/shadow...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: "Trusted System"

Post by andreask2 » 2004-06-02 15:50

Hallo!
CaptainCrunch wrote:- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.
Aber aus irgendeinem Grund scheint sich SELinux ja trotzdem durchzusetzen.

Ich könnte mir durchaus vorstellen dass es damit zusammenhängt, dass gerade großen Firmen wichtig ist, dass da "jemand Namenhaftes" hintersteht, so kommt http://www.nsa.gov/selinux/info/contrib.cfm sicher besser an, als
Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down[...] I began the summer in debt and had to borrow money from family to pay for food. [...] I am the sole developer and originator of ideas for the project. [...]
Nicht falsch verstehen, ich habe bisher eigentlich immer grsec favorisiert, und denke der Autor hat da wirklich einen guten Job gemacht. Und ja, es steht unter der GPL... aber gerade bei so Projekten wo im Prinzip nur eine Person die Entwicklung vorantreibt, kann sowas schnell passieren, und es ist nicht gesagt dass die Entwicklung überhaupt oder zeitnah forgesetzt wird. So z.B. auch beim Turck PHP-Cache, den ich für den besten PHP-Cache halte, aber leider enthält dieser ein paar Bugs und der Autor hat das GPL-Projekt vor 10 Monaten stillgelegt, und bis heute hat sich da nichts getan.

Mich würde mal interessieren was die Leute von SELinux konkret zu http://www.rsbac.org/lsm.htm und http://www.grsecurity.net/lsm.php sagen, aber hierzu konnte ich bisher nichts finden. Kennt da jemand was von Euch?
CaptainCrunch wrote:- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.
Ja, und auch Gentoo konzentriert sich in der letzten Zeit immer mehr auf SELinux, und bietet ebenfalls Policies: http://www.gentoo.org/proj/en/hardened/ ... /index.xml

Ebenfalls interessant finde ich das recht neue Server-Projekt: http://www.gentoo.org/proj/en/server/index.xml, mal schauen was es da in naher Zukunft so gibt ;-)

Was ich ganz interessant fand: http://www.nsa.gov/selinux/list-archive ... body35.cfm


Viele Grüße
Andreas