Sie sind nicht angemeldet.

1

01.10.2015, 19:58

GrSecuritys RBAC installieren / konfigurieren

Hallöchen allerseits,

aus Spaß an der Freude habe ich meinem Gentoo ein hardened Profil genehmigt X( . Habe jetzt gemäß einiger Internet-Anleitungen (Gentoo-Wiki, etc, pp.) Pax (XT) und die anderen GrSecurity-Features installiert. (Hammer, mein Desktop mit Xfce geht noch 8o und paxtest zeigt das es aktiv ist).

Was ich noch nicht gemacht habe, ist das RBAC-System zu aktiveren. Das deshalb, weil ich einfach nicht raffe, was das ganze so richtig macht ;( . (Trotz Googlen, Gentoo Wiki und GrSecurity Wiki-Book)

Meine wesentlichen Fragen sind (Hoffentlich ermöglicht mein mangelndes Verständnis überhaupt vernünftige Fragen)
1) Warum zum Henker gibt es Passwörter für mehrere Rollen? (admin, shutdown, Masterpasswort)
2) Warum aktiviert man RBAC mit "gradm -E" und schaltet es mit "gradm -D" ab. Gibt es da keinen Dämon? Wie schafft man es, dass RBAC beim booten startet und beim Runterfahren abschaltet? Benötigt hier "gradm -E" ein Passwort?
3) Offenbar reglementiert RBAC auch root oder nicht? Was bedeutet das? Gibt es dann noch so was wie root, also eine Möglichkeit alles zu machen?

Und vielleicht am Rande: Wäre es eine Alternative, RBAC abzuschalten (also nur den Rest von GrSecurity nutzen) und statt RBAC AppArmor zu nehmen oder verliert man dabei was?

Hat jemand irgendwie einen Plan
GOS

2

13.10.2015, 23:47

Zum Henker - wer "aus Spaß an der Freude" schnell mal grsecurity probieren möchte wird dafür büssen müssen ;)

Ad1 ) Die Rollen sind dafür gedacht, dass auch administrative Tätigkeiten jeweils mit kleinstmöglichen Rechten ausgeführt werden. Passwörter verhindern, dass ein Virus die Rolle übernehmen kann.

Ad 2) Muss man selber schreiben. gradm -E benötigt kein Passwort.

Ad 3) Ja. Man legt eben Rollen für die verschiedenen Tätigkeitsprofile an. Alles machen kann man nach gradm -D.

RBAC ist äusserst leistungsfähig und dementsprechend schwierig. Es ausgeschaltet drin zu haben scheint mir nicht sinnvoll. Da fährt man mit PAX allein besser.

AppArmor ist um Längen weniger restriktiv als grsecurity.

Ich habe den Eindruck, dass nur wenige sehr professionelle Anwender grsecurity verwenden, vermutlich für Support bezahlen und dann ihr KnowHow geheim halten.

Die Tatsache, dass diese Anfrage 12 Tage ohne Antwort geblieben ist, erklärt einiges über die Nutzung von grsecurity. Ich bin hier gelandet, weil irgend ein Erfahrungsbericht vermuten/hoffen liess, dass es bei Gentoo eine Lösung für "hardened kernel" gäbe...

LinAdmin

3

19.10.2015, 12:59

Danke für die Antwort, hatte nicht mehr dran geglaubt ;)
Büßen müssen, naja so schlimm ist es nicht. Habe zwar immer noch kein RBAC an, aber der Rest (Pax und so weiter) ist aktiviert und es funzt gut. Alles geht soweit.

Einzige Ausnahme: War bisher immer ein Fan von VirtualBox, aber das will nicht mehr so richtig (Rechner säuft einfach heftig ab, wenn man ne VM bootet.). Eventuell bekomme ich das ja noch hin.

Danke für die Antwort zu gradm -E. Ist das bei gradm -D auch so? Kann doch eigentlich nicht oder?
Von daher ist mein Stand jetzt: Einschalten von gradm während des booten: Kein Problem! Ausschalten beim Runterfahren :wacko: gradm -D wird doch wohl ein Passwort benötigen. Oder fährt man runter ohne abzuschalten?

Grüße
GOS

PS: Habe gesehen, dass es auf der Seite des Wikibooks auch ein pdf zum Download gibt. Das ist ganz gut; mir scheint, da steht etwas mehr drin.