NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Fazit

Tomoyo Linux macht es mit seinem Lernmodus sehr einfach, per Mandatory Access Control (MAC) einen Prozess in seine Schranken zu verweisen. Die dabei von Tomoyo protokollierten Aktionen helfen zudem Softwareentwicklern, Fehlverhalten in ihren Programmen aufzuspüren. Aber auch eigene Regeln sind mit wenigen Tastendrücken hinzugefügt – vorausgesetzt man hat sich mit der etwas gewöhnungsbedürftigen Tomoyo-Terminologie und den Konzepten angefreundet.

Der einzige Haken sind die vielen Tomoyo-Versionen mit ihren unterschiedlichen Fähigkeiten und Konfigurationen. Gerade wer mehrere Linux-Rechner mit unterschiedlichen Distributionen betreut, dürfte bei der Einrichtung von Tomoyo mehr als einmal fluchen.

Hilfe gibt es zudem nur auf einer Mailingliste [8] sowie in der etwas merkwürdig strukturierten Dokumentation [9] . Zu allem Überfluss arbeiten die Tomoyo-Entwickler auch noch an einem weiteren System namens Akari, das auf Tomoyo-Linux basiert und als (nach-)ladbares Kernel-Modul konzipiert ist [10] . Die Arbeit geht an allen Tomoyo-Versionen sowie Akari gleichberechtigt weiter, eine Empfehlung der Entwickler für ein System gibt derzeit es nicht. So muss man als Administrator selbst entscheiden, ob und wenn ja welches man davon einsetzt. (ofr)

Trockenübungen

Die ersten Gehversuche mit Tomoyo Linux sollte man in einem Testsystem wagen, das man am besten in einer virtuellen Maschine aufsetzt. Damit konfiguriert man nicht versehentlich einen produktiven Server kaputt und spürt schneller Fehler auf. In unseren Tests blieb beispielsweise der Kernel in der zweiten Beta-Version von Ubuntu 12.04 nach der Aktivierung von Tomoyo einfach stehen, das System ließ sich gar nicht erst booten. In derart hartnäckigen Fällen hängt man dem Kernel am Bootprompt den Parameter »security=none« an. Damit startet das System ohne Tomoyo.

Infos

  1. Tomoyo Linux: http://tomoyo.sourceforge.jp
  2. Wikipedia-Eintrag zur LSM-Schnittstelle: http://en.wikipedia.org/wiki/Linux_Security_Modules
  3. Vergleich der unterschiedlichen Tomoyo-Versionen: http://tomoyo.sourceforge.jp/comparison.html.en
  4. LiveCDs mit aktiviertem Tomoyo Linux: http://tomoyo.sourceforge.jp/download.html.en
  5. Systemd-Konfigurationsdatei für tomoyo-auditd: http://tomoyo.sourceforge.jp/2.5/chapter-4.html.en
  6. Policy Specification von Tomoyo Linux 2.5: http://tomoyo.sourceforge.jp/2.5/policy-specification/index.html.en
  7. Policy Specification von Tomoyo Linux 2.3: http://tomoyo.sourceforge.jp/2.3/policy-specification/index.html.en
  8. Tomoyo-Linux-Mailingliste: http://lists.sourceforge.jp/mailman/listinfo/tomoyo-users-en
  9. Offizielle Dokumentation zu Tomoyo Linux: http://tomoyo.sourceforge.jp/documentation.html.en
  10. Akari: http://akari.sourceforge.jp

Der Autor

Tim Schürmann ist selbstständiger Diplom-Informatiker und derzeit hauptsächlich als freier Autor unterwegs. Zu seinen Büchern gesellen sich zahlreiche Artikel, die in Zeitschriften und auf Internetseiten in mehreren Ländern veröffentlicht wurden.

comments powered by Disqus
Mehr zum Thema

Systemsicherheit erhöhen mit Grsecurity

Sicherheitsbewusste ziehen um ihr Haus einen tiefen Wassergraben mit Krokodilen, verstecken ihr Mobiliar in Hinterzimmern und lassen Besucher nur nach der Nennung eines geheimen Codewortes ins Bad. Nach einem ähnlichen radikalen Prinzip baut Grsecurity Linux-Systeme zu einer Festung aus.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023