|
Mittwoch 28.04.2004 um 19:00 Uhr im Bürgerhaus-Süd in Herten
Rollenbasierte Rechteverwaltung unter Unix/Linux:
sudo, PowerBroker, RBAC, RSBAC im Einsatz
Ihre / Eure Links, Tipps, Ergänzungen, Korrekturen, Fragen, Diskussionen zu diesem Thema sind im
Webforum herzlich willkommen!
root-Rechte für alle???
Ohne weitere Hilfsmittel ist es unter Unix und damit auch unter Linux nicht möglich Administrationsrechte abgestuft zu vergeben. Das Rechtekonzept ist binär: Entweder Du bist root, dann liegt Dir die Welt zu Füßen und Du kannst ALLES oder Du bist eben nicht root und hast Pech gehabt, sieh zu, wie Du klar kommst oder such Dir einen dieser Halbgötter mit root-Rechten.
Schon lange ist dieses "Rechtekonzept" nicht mehr so ganz tragfähig: Es gibt Firmen, die betreiben Dutzende oder Hunderte von Unix/Linux-Systemen. Interne und externe System-, Datenbank- und Netzwerkadministratoren benötigen (zumindest gelegentlich) root-Rechte. Oder mal ein anderes Szenario: Der Admin will sich nicht um jeden Kleinkram kümmern müssen und bestimmte Anwender sollen festgelegte Aufgaben (mit root-Rechten) durchführen können, aber eben auch nur die!
Was kann man aber tun, wenn viele Beteiligte root-Rechten benötigen? Einfach allen, die irgendwann mal root-Rechte brauchen das root-Passwort aushändigen?
Oder gibt es da bessere Möglichkeiten?
Wir haben uns an diesem Abend mal einige Werkzeuge näher angeschaut, die diese Thematik ansprechen und eine rollenbasierte Rechteverwaltung unter Unix/Linux erlauben.
sudo - substitute user & do
Unter Linux am bekanntesten sein dürfte das Open Source Programm
sudo.
Hier kann in einer Datei names sudoers für einzelne Hosts festgelegt werden, welche Benutzer berechtigt sind, welche Kommandos auszuführen. Damit es bei konkurrierenden Änderungen an dieser Datei keine Probleme gibt, wird sie mittels eines speziellen Editors visudo bearbeitet.
Mehr zu sudo gibt es direkt an der Quelle:
www.courtesan.com/sudo/
RBAC (Role Based Access Control) von SUN
Ein ganz anderen Ansatz verfolgt RBAC (Role Based Access Control). Hierbei wird nicht mehr nur einfach zwischen "root" und "nicht root" unterschieden. Vielmehr gibt es eine Fülle von hierarchisch abgestuften Privilegien (beispielsweise Printer-Administration, Backup, ...), die bestimmten Rollen (Printer-Administrator, Backup-Operator, ...) zugewiesen werden können. Benutzer haben dann die Berechtigung bestimmte Rollen annehmen zu können.
Die von uns näher betrachtete RBAC-Implementierung wird von SUN seit der Version 8 des Betriebssystems Solaris mitgeliefert. Mehr hierzu bei SUN im folgenden Whitepaper:
wwws.sun.com/software/whitepapers/wp-rbac/
Und hier sind die Folien des Vortrags von Christoph Maethner als Powerpoint-Datei:
RBAC.ppt
PowerBroker von Symark
Hat man verschiedene Unix/Linux-Derivate im Einsatz und möchte die Rechteverwaltung zentral im Netz vornehmen, dann empfiehlt sich ein Blick auf PowerBroker von der Firma Symark:
www.symark.com/powerbroker.htm.
Auf den ersten Blick denkt man vielleicht; "Ach, eine kommerzielle Version von sudo!". Auf den zweiten Blick erschließt sich aber recht schnell, dass PowerBroker weit über die Möglichkeiten von sudo hinaus geht.
Der Ansatz ist nicht host-, sondern netzbasiert. Auf einem oder mehreren zentralen Servern ist eine Policy hinterlegt, die festhält, welcher Benutzer von welchem Host aus auf welcher Zielmaschine welches Kommando aufrufen kann. Der Benutzer muss dabei auf der Zielmaschine nichtmals ein Login haben! Für die Formulierung der Policy steht eine vollwertige C-ähnliche Skriptsprache zur Verfügung, mit der alle möglichen Überprüfungen (Zeit, Environment, zusätzliche Passwortabfrage, Aufrufparameter, etc.) vorgenommen werden können. Ebenso lässt sich kontrollieren, wie die Laufzeitumgebung auf der Zielmaschine beschaffen sein soll. Alle Aufrufe können im Netz zentral (und damit dem manipulierenden Zugriff des Benutzers entzogen) protokolliert werden.
Beeindruckend bei der Vorführung war u.a. die Möglichkeit, bei kritischen Aktionen komplette Sessions mitzuschneiden und wieder "abzuspielen".
PowerBroker steht für eine Vielzahl von Unix- und Linux-Systemen zur Verfügung und kommt völlig ohne Kernel-Modifikationen aus.
Einen Einblick in die Funktionsweise von PowerBroker im Netzwerk gibt folgende Übersichtsgrafik.
RSBAC (Rule Set Based Access Control)
Und last not least der "Newcomer" aus dem Linux-Bereich RSBAC (Rule Set Based Access Control).
"Newcomer" steht deshalb in Anführungszeichen, weil RSBAC eigentlich schon sehr lange existiert (Start 1996 an der Uni Hamburg), aber erst in letzter Zeit so richtig Beachtung findet ("SUN hat RBAC, gut! Gibt es da denn auch etwas im Open Source Bereich?").
Bei RSBAC handelt es sich u.a. um Erweiterungen des Kernels.
Mehr Infos zu RSBAC gibt es unter rsbac.org.
Für die schnelle Information vorab sei der CeBIT-Handout 2004 der rsbac.org empfohlen: http://www.rsbac.org/documentation/cebit2004-handout.pdf.
Für die intensivere Beschäftigung die Bücher zu RSBAC books.rsbac.org/.
Adamantix
Wer sich RSBAC näher anschauen will, kann ja auch mal einen Blick auf Adamantix (www.trusteddebian.org) werfen, ein Debian-basiertes Linux mit hohem Anspruch an Sicherheit (Zitat "Adamantix aims to be a distribution that is hard to crack, but not hard to use. In other words, highly-secure (our target is Common Criteria LSPP AEL 5 or higher) but usable.".
Was "Common Criteria" bedeutet und was ein "EAL 5" (sic!) ist, erfahren wir im
Mai-Termin des Hitforums!
Adamantix hat u.a. RSBAC implementiert. Infos hierzu im White Paper (PDF)
"RSBAC on Adamantix, how it works".
Kiloweise Technik
Im fliegenden Wechsel wurde zwischen einem Präsentations-Subnotebook, einem Notebook mit Linux und einer Sparc-Maschine hin- und hergeschaltet, um die Konzepte der Werkzeuge darzustellen und ihren Einsatz "live" vorzuführen. Bei so viel Technik war ja klar, dass dann diesmal auch noch zwei Beamer im Einsatz waren :-) .
Diesmal war es sogar noch etwas lebhafter als sonst, weil sich eine heiße, geradezu kontroverse Diskussion über die Vor- und Nachteile der verschiedenen Tools entwickelte! Auf diese Weise wurden uns die unterschiedlichen Herangehensweisen und Einsatzszenarien der einzelnen Werkzeuge sehr deutlich. War richtig gut!
eTrust Access Control von CA
In der Diskussion kam noch ein weiteres Tool zur Sprache, das auch hier nicht zu kurz kommen soll: eTrust Access Control von der Firma CA. Dieses Werkzeug implementiert (u.a.) sudo-ähnliche Funktionalitäten, bietet vor allem aber erheblich erweiterte Möglichkeiten zum "Access Control". In der Diskussion wurde der entscheidende Vorteil darin gesehen, dass es damit möglich ist, die Omnipotenz des root-Users wirkungsvoll einzuschränken, so dass beispielsweise der User root wirksam daran gehindert werden kann, Datenbankinhalte auszulesen. Vereinfacht dargestellt, wird das Betriebssystem mit all seinen System-Calls in einer zusätzlichen Schale eingekapselt, alle Zugriffe auf Ressourcen (Files, Prozesse, ...) werden abgefangen und auf Einhaltung der Policy kontrolliert.
Security Enhanced Linux (SELinux)
Ach ja, durch die Diskussion geisterte dann auch immer wieder das
Security Enhanced Linux (SELinux), das im Auftrag der amerikanischen "National Security Agency" (NSA) entwickelt worden ist (Heise-Meldung).
Für eine Sicherheitsbehörde, deren Existenz anfangs sogar geheimgehalten wurde
(No Such Agency), ist die Entwicklung eines Open Source Produkts für viele eine Überraschung, vermutet man doch landläufig eher, dass die NSA Hintertüren in kommerzielle Software einbauen lässt (wir erinnern uns an die Diskussion um den
NSA-Schlüssel in Windows.
Adamantix (s.o.) hat sich bewusst für RSBAC entschieden. Zitat: "Adamantix uses RSBAC and therefore does not provide support for SELinux. RSBAC provides everything SELinux has, and more, but without some of the disadvantages that SELinux has. People who have used both SELinux and RSBAC report that RSBAC is less complicated and also easier to use. "
Web-Diskussionsforum zum Thema
Ihre / Eure Links, Tipps, Ergänzungen, Korrekturen, Fragen, Diskussionen zu diesem Thema sind im
Webforum herzlich willkommen, nur Mut!
|
