... darzustellen[*]
Falls Sie anderer Meinung sind, eine Anregung haben oder einen Fehler gefunden haben, würde ich mich über eine E-Mail an ralf@spenneberg.net freuen. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... VPN[*]
VPN mit Linux, Addison-Wesley 2004 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Firewall[*]
Linux Firewalls mit Iptables & Co., Addison-Wesley 2006 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Einbrecher[*]
Intrusion Detection und Prevention mit Snort & Co., Addison-Wesley 2005 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Discretionary-Access-Control[*]
Eine Übersetzung ist kaum möglich. Am nächsten kommt wahrscheinlich ``benutzerbestimmbares Zugriffskontrollsystem''. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Mandatory-Access-Control[*]
Eine sinngemäße deutsche Übersetzung ist: ``verpflichtendes Zugriffskontrollsystem''. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Systeme[*]
Was das ist, wird in Kapitel 2 erklärt. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... verzichtet[*]
http://www.securecomputing.com/pdf/Statement_of_Assurance.pdf 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Hallyn[*]
Ein alternativer Ansatz von wurde Olaf Dietsche veröffentlicht (http://www.olafdietsche.de/linux/capability/). 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... veröffentlicht[*]
http://marc.info/?l=linux-security-module&m=116287121812676&w=2 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... LMBench[*]
http://www.bitmover.com/lmbench/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... UNIXbench[*]
http://www.tux.org/pub/tux/benchmarks/System/unixbench/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... SELinux-Unterstützung[*]
Bei dem Booten wurde selinux=1 angegeben. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... defekt[*]
https://bugzilla.novell.com/show_bug.cgi?id=177039 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Datei!usr.bin.nmap@usr.bin.nmap[*]
Diese Namenskonvention ist gebräuchlich, aber nicht zwingend. Die Dateien dürfen jeden beliebigen Namen aufweisen. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... File-Globbings[*]
Als Globbing bezeichnet man die Verwendung von Wildcards bei der Angabe von Dateinamen. AppArmor erlaubt die Verwendung von ?, * und **. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... zu[*]
Der Secure-Shell-Server benötigt die Root-Rechte, da er nach der Anmeldung des Benutzers einen entsprechenden Prozess mit den Rechten des angemeldeten Benutzers starten soll. Lediglich der Benutzer Root ist in der Lage, seine Identität beliebig zu ändern. Diese Funktion benötigt der Secure-Shell-Server. Aus diesem Grunde benötigt auch der IMAP-Server Root-Privilegien, wenn die E-Mails in dem Dateisystem abgelegt werden. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Datei!/proc@/proc[*]
Wirklich sinnvoll wäre natürlich nur ein Zugriff auf /proc/[0-9]*, denn in dem Verzeichnis /proc befinden sich noch viele weitere Dateien, deren Zugriff meist nicht gewünscht wird. Obwohl AppArmor das unterstützt wird es hier nicht genutzt. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... werden[*]
Achtung: Nicht alle Optionen stehen überall zur Verfügung. Px, Ux und m sind noch sehr neu. Möglicherweise existieren diese nicht auf Ihrer Plattform. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... CGI[*]
Common-Gateway-Interface 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Datei!/usr/src/packages/SOURCES@/usr/src/packages/SOURCES[*]
Auf Red Hat Linux basierenden Systemen ersetzen Sie /packages/ im Pfad durch /redhat/. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Listing[*]
Auf der CD in dem Verzeichnis /Listings 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Books[*]
Der eigentliche Titel lautet: Trusted Computer System Evaluation Criteria (TCSEC). Es wird aber allgemein als Orange Book bezeichnet. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...DTOS[*]
http://www.cs.utah.edu/flux/dtos/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Flask[*]
http://www.cs.utah.edu/flux/flask/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... BSD[*]
SEBSD: http://www.trustedbsd.org/sebsd.html 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Darwin[*]
SEDarwin: http://www.trustedbsd.org/sedarwin.html 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... beschäftigt[*]
http://www.cs.utah.edu/flux/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Targeted-Policy[*]
Neben der Targeted-Policy gibt es auch noch eine Strict- und eine MLS-Policy. Die Unterschiede werden später im Buch erläutert. Die Targeted-Policy ist der Default und zunächst hier im Buch vorausgesetzt. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...create_dir_perms[*]
Dies ist ein Makro und enthält die Rechte, die zum Erzeugen von Verzeichnissen erforderlich sind: create read getattr lock setattr ioctl link unlink rename search add_name remove_name reparent write rmdir. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... verschlüsselten[*]
Das ist nicht ganz korrekt. Die Kennwörter werden nicht verschlüsselt, sondern gehasht. Es soll nicht möglich sein, die Kennwörter zu entschlüsseln. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...john@john[*]
http://www.openwall.com/john 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... werden[*]
Fedora Core 5 bietet MCS an, jedoch kann jeder Benutzer und jeder Prozess momentan auf alle Kategorien zugreifen. FC5 implementiert mit MCS also bisher keinen Schutz. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... anmelden[*]
Möglicherweise funktioniert die grafische Anmeldung nicht. Wechseln Sie dann mit Strg-Alt-F1-6 auf eine Konsole und melden Sie sich dort an. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... erforderlich[*]
Üblicherweise genügt es eine Datei /.autorelabel vor dem Reboot anzulegen. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...dm-3[*]
Dies ist ein Logical Volume, welches von dem Device-Mapper erzeugt wurde. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Fcron-Daemon[*]
http://fcron.free.fr/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Security-Context[*]
Wenn dies bei Ihnen nicht funktioniert, lesen Sie bitte auch den nächsten Abschnitt 22.4! 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... durchsuchen[*]
Unter Debian müssen Sie die Datei /var/log/syslog mit der Option -i angeben. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... sehen[*]
Wenn bei Ihnen dieser Unterschied nicht zu erkennen ist, prüfen Sie, ob SELinux sich im Enforcing-Modus befindet. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Inc.[*]
http://www.trustedcs.com 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Protokolldateien[*]
Für Debian müssen Sie die Datei /var/log/syslog angeben. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Stylesheet[*]
/usr/share/setools/seaudit-report.css 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Datei!/boot/grub/menu.lst@/boot/grub/menu.lst[*]
Hier genügt die Angabe von selinux=0 auf der Kernel-Zeile. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Homepage[*]
http://people.redhat.com/drepper/textrelocs.html 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Mapping[*]
Programme können Dateien in den Speicher ``mappen''. Hierzu dient der Funktionsaufruf mmap. Wenn allgemein Speicher benötigt wird, ohne dass eine spezielle Datei genutzt wird, kann als Flag bei dem Aufruf MAP_ANONYMOUS angegeben werden. Dann wird lediglich eine bestimmte Menge Speicher zur Verfügung gestellt. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Tresys[*]
http://www.tresys.com 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... wiederholen[*]
Bevor das Relabeling beginnt, werden bereits einige Prozesse gestartet. Die entsprechenden Binärdateien wiesen noch nicht den richtigen Security-Context auf. Daher verfügen diese Prozesse erst nach dem nächsten Reboot über die richtige Domäne 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Prozess[*]
Das Interface domain_dyntrans_type erlaubt einer Domäne, die Domäne zu wechseln. Der Bibliotheksaufruf setcon(3) erlaubt das Setzen des Context des Prozesses. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... SELinux-Richtlinien[*]
Das wollen wir am Ende dieses Kapitels erreichen! 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... übersetzt[*]
Dies ist bei den Paketen von Fedora Core 6 (php-cli) und Debian Etch (php5-cgi) der Fall. Sie können das aber auch testen, indem Sie den folgenden Befehl ausführen: /usr/bin/php-cgi -i | grep Fast. Wenn Ihnen hier CGI/FastCGI angezeigt wird, können Sie das PHP-Paket verwenden. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...SuExec[*]
Dieses ist bei den meisten Distributionen im Apache-Paket enthalten. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Dokumentation[*]
http://httpd.apache.org/docs/2.2/suexec.html#model 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... PHP-Skript[*]
Um für jedes PHP-Skript einen eigenen FCGIWrapper zu definieren, können Sie die <files>-Container verwenden. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...Datei!/usr/share/selinux/devel/include/kernel/domain.if@/usr/share/selinux/devel/include/kernel/domain.if[*]
Wie sie weitere Schnittstellen finden und zuordnen, zeige ich Ihnen weiter unten 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... wechseln[*]
newrole -r sysadm_r 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... aus[*]
Die optional_policy-Container sind dort verschwunden. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... laden[*]
Denken Sie daran die Versionnummer zu inkrementieren! 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... nicht[*]
Aktuell arbeitet man an der Unterstützung von SELinux durch nfs. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Attribute[*]
Dies setzt voraus, dass die Dateisysteme auch tatsächlich über erweiterte Attribute verfügen. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...setfilecon(3)@setfilecon(3)[*]
Die (3) deutet an, dass die Manpage des Befehls im Kapitel 3 der Manpages zu finden ist. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Systems[*]
Sie relabeln das gesamte System, indem Sie die Datei /.autorelabel erzeugen und das System neu booten. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... möglich[*]
Diese Angabe entspricht auch der Angabe bei dem Befehl find. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...(3)-Bibliotheksaufruf[*]
Die 3 in Klammern zeigt an, dass die Funktion im Kapitel 3 der Man-Pages erläutert wird. Da es hier auch einen Befehl im Kapitel 8 gibt, müssen Sie die Man-Page wie folgt anzeigen: man 3 matchpathcon. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... SLIDE-Homepage[*]
http://oss.tresys.com/projects/slide 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...New[*]
Dieser ist bei Fedora als Icon mit einem kleinen Plus oben versteckt. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... entwickelt[*]
http://hitachisoft.jp/Products/secure-linux/ 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... (SPDL)[*]
http://seedit.sourceforge.net/doc/2.1/spdl_spec.pdf 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Domäne[*]
Dies ist bei SELinux normalerweise nicht so! 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Ereignis[*]
Achtung: Der Auditd beginnt bei jedem Neustart wieder mit Eins. 
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.