32.18 Sichere Derivate und Distributionen
Die Absicherung eines Unix-Systems kann sehr aufwendig werden, wenn man alle Pakete modifiziert, das Dateisystem härtet, den Kernel patchen und vielleicht noch weitere Userspace-Absicherungen durchführen möchte. [Fn. Im Gegensatz zu Windows haben Sie hier allerdings überhaupt erst die Möglichkeit, dies alles zu tun.]
Damit man als Administrator um diese Aufgaben herumkommt (bedenken Sie, wie lange es alleine dauert, den Kernel zu patchen und mit Sicherheits-Patches neu zu kompilieren!), haben Trusted Solaris, einige BSD-Derivate und noch mehr Linux-Distributionen diesen Schutz bereits integriert. Im Folgenden werden wir die wichtigsten dieser Systeme sowie eine Eigenentwicklung vorstellen.
Um Sie nicht mit immer gleichen Inhalten der jeweiligen Systeme zu langweilen, sei vorab gesagt, dass natürlich alle genannten Systeme über die üblichen Sicherheitsmerkmale (Shadow-Passwörter etc.) verfügen und die meisten auch zusätzlich PAM, Kerberos, chroot/Jailing, One-Time-Passwörter usw. unterstützen sowie mit Paketen wie OpenSSH oder OpenSSL ausgeliefert werden.
32.18.1 Trusted Solaris (jetzt Teil von Solaris)
Trusted Solaris war vor Solaris Version 10 eine Extension für Solaris-Systeme, mit der einige Features wie Mandatory Access Control, Accounting- und Auditing-Features implementiert wurden.
Zusätzlich sind die standardmäßigen Sicherheits-Features des Solaris-Systems implementiert, wie etwa Access Control Lists oder das Basic Security Module (BSM), das für das Auditing verwendet wird.
32.18.2 OpenBSD
OpenBSD gilt als extrem sicheres System. Die Entwickler bemühen sich sehr darum, den Code des Systems immer wieder unter die Lupe zu nehmen und zu verbessern.
Das OpenBSD-Projekt pflegt eigene, modifizierte Versionen diverser Softwarepakete wie des GNU C Compilers (gcc-local), des Webservers Apache und weiterer Pakete. Zudem gehören Stack Protection im gcc sowie kernelseitig durch W^X und integrierter Support für kryptografische Hardware zur Ausstattung. Außerdem unterstützt OpenBSD systrace-Policies und beinhaltet das von NetBSD stammende Dateisystem-IDS mtree.
Das OpenBSD-Projekt entwickelt übrigens auch OpenSSH, den SSH-Dienst jeder Linux-Distribution und der meisten kommerziellen Unix-Systeme sowie aller anderen BSD-Derivate. Die Webseite des Projekts finden Sie unter http://www.openbsd.org.
32.18.3 TrustedBSD
TrustedBSD basiert auf dem FreeBSD-System. Es implementiert Access Control Lists, zusätzliche Schutzattribute im UFS2-Dateisystem, einen Open-Source-Nachbau des BSM von Solaris (OpenBSM), das freie PAM OpenPAM sowie die BSD-Variante von SELinux (für Mandatory Access Control Policies) namens SEBSD. Die Webseite des Projekts finden Sie unter http://www.trustedbsd.org/home.html.
32.18.4 Hardened Gentoo
Wie der Name bereits verrät, handelt es sich hierbei um eine gehärtete Version der Gentoo-Distribution. Hardened Gentoo beinhaltet die Stack Smashing Protection des GCC und zudem diverse Kernel-Patches: SELinux, Rule Set Based Access Control (RSBAC) [Fn. Hiermit lassen sich diverse Zugriffsmodelle für alle möglichen Anwendungen erstellen.] sowie grsecurity (inklusive PaX). Die Webseite des Projekts finden Sie unter http://www.gentoo.org/proj/en/hardened/.
32.18.5 Openwall
Openwall (kurz OWL) basiert auf den bereits in Abschnitt OWL_Features besprochenen, gleichnamigen Absicherungen. Die Webseite des Projekts finden Sie unter http://openwall.com/Owl/de/.
32.18.6 Fedora Core
Fedora Linux beinhaltet kernelseitigen Speicherschutz durch ExecShield. Außerdem sind SELinux und GCC mit ProPolice im Projekt enthalten. Die Webseite des Projekts finden Sie unter http://www.fedoraproject.org/.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.
