Das Framework ist nur in wenigen Teilen "kompliziert". Zu 95% verstehen die Benutzer schlichtweg nicht das Design von SELinux. Welches aber nicht der Komplexität geschuldet ist, sondern eher dem Fehlen an gut übersetzten und knackigen Tutorials und auch der Benutzer selbst muß sich im Klaren sein, daß Security Frameworks kein Kinderspielzeug sind und einiges an Wissen erfordern.
Mit SELinux lassen sich diverse Sachen sogar sehr gut abschotten bzw. absichern. Für "sehr effektive" Regeln muß ich aber natürlich auch über entsprechendes Fachwissen verfügen.
Genauso wie bei einer Firewall auch. Ohne Wissen über TCP, UDP, ICMP, VPN, NAT, PAT brauche ich erst gar nicht anfangen eine richtige Firewall zu konfigurieren.
Die wirklich trügerische Sicherheit existiert nur dort, wo man dem Benutzer vorgauckelt, er könne mit 2 Mausklicks eine gute Konfiguration erhalten, ohne auch nur die geringste Ahnung über die Basics zu haben.
Scheinbar wurde der komplette Test ohne Wissen über SELinux bzw. den typischen und sinnvollen Zugriffsrechten eines Webservers durchgeführt.
Scheinbar wurde der komplette Test ohne Wissen über SELinux bzw. den typischen und sinnvollen Zugriffsrechten eines Webservers durchgeführt.
Das glaube ich nicht. Ich denke die wissen sehr genau wie Linux, Apache und SELinux arbeiten. Die wollen aber auch Ihre Studie verkaufen und die verkauft sich halt sehr viel besser, wenn man irgendein "Problem" gefunden hat. Stell Dir vor im Blog steht "Alles gut, wie erwartet.", wer kauft dann noch die Studie dazu.
Das kann ich dem Artikel nicht entnehmen. Ich würde das sogar stark bezweifeln, denn dann hätten die sicher nicht CentOS sondern das "original" RHEL getestet.
Die wirklich trügerische Sicherheit existiert nur dort, wo man dem Benutzer vorgauckelt, er könne mit 2 Mausklicks eine gute Konfiguration erhalten, ohne auch nur die geringste Ahnung über die Basics zu haben.
Genau das muss allerdings das Ziel sein. Also nicht die trügerische Sicherheit, sondern ein System so gut wie möglich absichern ohne sich eben viel Hintergrundwissen zu erarbeiten. Ob nun mit 2 Mausklicks oder mit 20 spielt zunächst einmal keine Rolle, dennoch muss man versuchen so etwas zu ermöglichen.
Natürlich ist das anspruchsvoll, aber dennoch erstrebenswert.
Das Framework ist nur in wenigen Teilen "kompliziert". Zu 95% verstehen die Benutzer schlichtweg nicht das Design von SELinux. Welches aber nicht der Komplexität geschuldet ist, sondern eher dem Fehlen an gut übersetzten und knackigen Tutorials und auch der Benutzer selbst muß sich im Klaren sein, daß Security Frameworks kein Kinderspielzeug sind und einiges an Wissen erfordern.
Mit SELinux lassen sich diverse Sachen sogar sehr gut abschotten bzw. absichern. Für "sehr effektive" Regeln muß ich aber natürlich auch über entsprechendes Fachwissen verfügen.
Genauso wie bei einer Firewall auch. Ohne Wissen über TCP, UDP, ICMP, VPN, NAT, PAT brauche ich erst gar nicht anfangen eine richtige Firewall zu konfigurieren.
Die wirklich trügerische Sicherheit existiert nur dort, wo man dem Benutzer vorgauckelt, er könne mit 2 Mausklicks eine gute Konfiguration erhalten, ohne auch nur die geringste Ahnung über die Basics zu haben.
Scheinbar wurde der komplette Test ohne Wissen über SELinux bzw. den typischen und sinnvollen Zugriffsrechten eines Webservers durchgeführt.
Grüße,
unreal
Das glaube ich nicht. Ich denke die wissen sehr genau wie Linux, Apache und SELinux arbeiten. Die wollen aber auch Ihre Studie verkaufen und die verkauft sich halt sehr viel besser, wenn man irgendein "Problem" gefunden hat. Stell Dir vor im Blog steht "Alles gut, wie erwartet.", wer kauft dann noch die Studie dazu.
Habe einige andere Blogeinträge des Autors gelesen: Du hast recht.
Das kann ich dem Artikel nicht entnehmen. Ich würde das sogar stark bezweifeln, denn dann hätten die sicher nicht CentOS sondern das "original" RHEL getestet.
Natürlich ist das anspruchsvoll, aber dennoch erstrebenswert.
Deshalb gibt es bei SELinux viele vorkonfigurierte Policies, welche mittels Parameter zur Laufzeit konfiguriert werden können.
Aber wie so oft: Es sind natürlich auch hier Verbesserungen möglich und erwünscht.