Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R SELinux – kort intro Lars Strand 18. oktober 2007.

PublisertMartha Håkonsen Endret for 7 år siden

Liknende presentasjoner

Presentasjon om: "R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R SELinux – kort intro Lars Strand 18. oktober 2007."— Utskrift av presentasjonen:

1 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R SELinux – kort intro Lars Strand 18. oktober 2007

2 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20162 STORM

3 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20163 Bare på Windows - ikkesant? FEIL! (Men MEST på Windows)

4 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20164 Sårbarheter ● Problem: Sårbarhet i applikasjoner. – (Vellykkede) angrep. – Bugs. Mye dårlig skrevet programvare! ● Konfigurasjonsfeil (oftere enn du tror). ● Begrense skadeomfanget/handlingsrommet til angriper! ● Hvordan?

5 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20165 Begrense aksess? SELinux! Men først: Litt teori:

6 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20166 1. Tradisjonell UNIX (og Linux) Subjektet avgjør/bestemmer aksess til sine objekter. Eks: En bruker kan selv bestemme hvem som kan aksessere hans filer. Ofte kalt: “Discretionary access control” (DAC): “If an individual user can set an access control mechanism to allow or deny access to an object, that mechanism is a discretionary access control (DAC), also called identity-based access control (IBAC).” -- M. Bishop, computer security (2003).

7 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20167 2. Mandatory access control Når systemet (sentralt) bestemmer aksesskontroll, som subjektet (brukeren) ikke selv kan overstyre. Dvs: Brukeren ikke lengre (full) kontroll over sine filer/prosesser. Systemet (OS) agjøre og håndhever sikkerhetspolicy. “When a system mechanism controls access to and an individual user cannot alter that access, that control is a mandatory access control (MAC), occasionally called a rule-based access control.” -- M. Bishop, computer security (2003).

8 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20168 Sikkerhetsmodell ● Eks: Prosess 31337 lov å lese /etc/passwd? ● Nøkkelegenskap = supplerer tradisjonell DAC med MAC:

9 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.20169 Security Enhanced Linux ● Security-Enhanced Linux = SELinux. ● Opprinnlig utviklet av NSA. ● NSA overrasket alle ved å gjøre SELinux fri programvare. ● I det offisielle kjernetreet fra 2.6. ● Benytter “Linux Security Modules” (LSM). ● I dag: Fedora og Redhat. ● Runner-up: Debian, Gentoo, (Ubuntu).

10 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201610 SELinux komponenter 1. Kernel – en del av standard kjernetreet. 2. SELinux bibliotek 'libselinux' (ls, ps, id,..) 3. SELinux administrasjonsverktøy 4. Policy

11 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201611 SELinux MAC ● SELinux introduserer MAC vha: – SELinux user identities. – Role Based Access Control (RBAC) – Type Enforcement (TE)

12 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201612 SELinux – Type Enforcement

13 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201613 Sikkerhetsmodell ● Subjekt og objekter grupperes i ulike klasser. ● Eks: Alt som har med apache i en “klasse”/”gruppe”. ● Konstrueres vha. “security attributes”. ● Fire attributter: 1.brukeridentitet 2.rolle 3.type / domain 4.nivå og/eller kategori

14 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201614 Security context ● Bygges opp av : : : ● Eks: system_u:system_r:unconfined_t:s0:c0 ● Disse attributtene danner en “security context”:

15 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201615 SELinux ● SELinux kan kjøre i – Enforcing – sikkerhetspolicy håndhevet. – Permissive – sikkerhetspolicy aktiv, men ikke håndhevet. – Disabled – ingen SELinux aktivert. ● Hva er beskyttet av SELinux' policy?

16 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201616 Targeted policy ● Et sett med daemoner omfavnet av policy: – RHEL4, 15 programmer: dhcpd, apache, named, nscd, ntpd, portmap, squid,.. – RHEL5, ~200 programmer. – Dvs. disse har skreddersydd policy. – Mål – fuldekkende policy! ● Resten har “full aksess”. – Puttet i en “unconfined” domain. – 'unconfined_t' eller 'initrc_t' – Samme aksess som om SELinux var skrudd av.

17 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201617 SELinux – avgjørelsesprosess

18 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201618 Munin: AVC overvåkning

19 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201619

20 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201620 SELinux fremover ● Policy optimeres og øker i omfang. – dvs. flere tjenester skal beskyttes av policy. ● Økt fokus på brukervennlighet! – flere (grafiske) verktøy. ● RHEL legger grunnlaget for videre sikkerhetsmodellering. – MLS og MCS. – For å oppnå sertifiseringer (EAL4+, LSPP,..) – For tappe DoD og US Gov markedene?

21 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201621 AppArmor ● AppArmor er en konkurrerende teknologi. ● Primær utvikler: Novell Suse ● AppArmor benytter også LSM og tilbyr MAC. ● Enklere? ● Medfølger Ubuntu 7.10 som kommer i dag.

22 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201622 FBI/CSI rapport (2006)

23 R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R 22.09.201623 Spørsmål?

Laste ned ppt "R Å D G I V N I N G U T V I K L I N G D R I F T K U R S S U P P O R T P R O D U K T E R SELinux – kort intro Lars Strand 18. oktober 2007."

Liknende presentasjoner

Unix Amir Maqbool Ahmed

Unix Amir Maqbool Ahmed
Linux.

Linux.
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Unix Eller hacking 101. Hva er Unix? Unix er et operativsystem = et stort og komplisert program som styrer en datamaskin. Mange varianter: Linux, Solaris,

Unix Eller hacking 101. Hva er Unix? Unix er et operativsystem = et stort og komplisert program som styrer en datamaskin. Mange varianter: Linux, Solaris,
Hvordan betrakter Vroom & Yetton lederstilten?

Hvordan betrakter Vroom & Yetton lederstilten?
Aksess kontroll None shall pass.

Aksess kontroll None shall pass.
Jæger: Robuste og sikre systemer INF150 Programmering torsdag 31.8 Kapittel 3: Grunnlag for programmering i Visual Basic.

Jæger: Robuste og sikre systemer INF150 Programmering torsdag 31.8 Kapittel 3: Grunnlag for programmering i Visual Basic.
Mohammad Ali Koteich Danial Siddiq Sheikh. Hva skal vi snakke om? Directory LDAP The Apache Directory Project.

Mohammad Ali Koteich Danial Siddiq Sheikh. Hva skal vi snakke om? Directory LDAP The Apache Directory Project.
Administrasjon av SQL Server 2008 Av: Ole Kristian Bangås Fagansvarlig SQL Server.

Administrasjon av SQL Server 2008 Av: Ole Kristian Bangås Fagansvarlig SQL Server.
Hjelp! Jeg skal undervise i IT 2!

Hjelp! Jeg skal undervise i IT 2!
Intro til php - Uke3.2 - Ronny Mandal Introduksjon til PHP.

Intro til php - Uke3.2 - Ronny Mandal Introduksjon til PHP.
Skrevet av Harald Tronstad Aquastructures AS www.aquastructures.no.

Skrevet av Harald Tronstad Aquastructures AS
PARLAY/OSA Referanser: Referanser Foredraget er i all hovedsak basert på to artikler. Disse kan finnes på:

PARLAY/OSA Referanser: Referanser Foredraget er i all hovedsak basert på to artikler. Disse kan finnes på:
Group Policy Objects Petter Haavin, KIA 10. desember 2014.

Group Policy Objects Petter Haavin, KIA 10. desember 2014.
Kerberos System som kan brukes til å sette opp en sikker forbindelse med en server Bruker delte hemmelige nøkler Basert på Needham-Schroeder autentifikasjonsprotokoll.

Kerberos System som kan brukes til å sette opp en sikker forbindelse med en server Bruker delte hemmelige nøkler Basert på Needham-Schroeder autentifikasjonsprotokoll.
Hovedprosjekt 29E Distribuering og overvåking med Group Policy.

Hovedprosjekt 29E Distribuering og overvåking med Group Policy.
UiO Programkiosk: Ny portal og tilgang fra Mac og Linux

UiO Programkiosk: Ny portal og tilgang fra Mac og Linux
Operativsystem IKT for lærere 15. november 2010. Hvorfor lære om dette? Kanskje den mest brukte programvaren i løpet av en (arbeids)dag Forskjellige operativsystem.

Operativsystem IKT for lærere 15. november Hvorfor lære om dette? Kanskje den mest brukte programvaren i løpet av en (arbeids)dag Forskjellige operativsystem.
Tema Programmer som vil lure deg Personer som vil lure deg Statistikker Hva du bør tenke på Det er hjelp å få!

Tema Programmer som vil lure deg Personer som vil lure deg Statistikker Hva du bør tenke på Det er hjelp å få!
03.01.13 1 Kap. 25 – Simpler Software Development for Niche Companies How Information Technology Is Conquering the World: Workplace, Private Life, and.

Kap. 25 – Simpler Software Development for Niche Companies How Information Technology Is Conquering the World: Workplace, Private Life, and.

Liknende presentasjoner

Annonser fra Google