Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von Cordess » 08.03.2021 01:03:51

eggy hat geschrieben: ↑ zum Beitrag ↑
08.03.2021 00:31:13
Seh ich auch so. Ich hatte sogar schon angefangen, Belege für meine Argumente zusammen zu suchen, aber wenn Du (@Cordess) auf Sachen, die Du nicht hören willst, so reagierst,
Du schreibst viel Halbwissen und Wunschdenken, die Diskussion ist hier doch Perlen vor die Säue.


So gefällt es dir zu diskutieren? Na dann wohl bekommst. 8O

Was Du vorschlägst, ist aus Usersicht ne Zumutung: stellt Dir mal Oma Irmtraud vor, wie Karl Klammer sie fragt, ob die SHA Summe für die Register reinitialisiert werden dürfen oder die Photonenkanonen steuerboardseitig nachgeladen werden sollen ... so kommt sowas nämlich beim Enduser an, und das dann im Sekundentakt. Juchyuu.
Warum sollte das passieren, und warum im Sekundentakt?

Die Regel wird EINMAL angelegt, man wird EINMAL gefragt wenn es nicht das Paket gleich mitliefert. Dann kommt dass in die Datenbank und man wird nie wieder danach gefragt.
Das passiert dann auch nicht im Sekundentakt.
Und auch aus Systemsicht ne Katastrophe. Zähl mal wie viele, wirklich teure, Kontextswitche so ein Ansatz benötigt.
Die Konfigurationsabfragen? Einmal, dann nie wieder.

Und zum Rest, Guck dir doch mal an, wie es im Kernel Quellcode umgesetzt wurde. Da ist das performant und effizient und so bleibt das auch.
Schließlich geht's hier aus Usabilitysicht lediglich um die Konfiguration.

Der Perfomance Impact durch die Abschottung der einzelnen Prozesse untereinander hält sich in Grenzen, dafür gewinnt man an Sicherheit.
Auf die schnelle habe ich folgenden Benchmarkvergleich gefunden, leider etwas alt und da geht's noch um irgendeine Änderung, aber besser als nichts:
https://www.phoronix.com/scan.php?page= ... 5-72-Tests

Für mehr Sicherheit ist das akzeptabel. Auf Vielkernern wird das kaum ins Gewicht fallen.
Ich würde sagen, zieht man das konsequent durch .. 5% bis 10%, oder wenns ganz arg beschissen läuft vielleicht sogar bis 20% der Gesamtleistung des Systems - aller Systeme. Weltweit.
Nach obigem Benchmark sind es 5 %, also in den meisten Fällen kaum relevant.
Im normalen Alltag wird das nur selten relevant, da die meisten Rechner sowieso im IDLE laufen. Vor allem auf dem Desktop.
Lediglich die Gamerfraktion wird sich darüber ärgern und die Wissenschaftler können es auf ihren abgeschotteten Supercomputern auch abschalten. Die Gamer natürlich auch, Bootoption dann apparmor=0.
Aber wir haben's ja, weg mit der Energie, die nachfolgenden Generationen werden das schon irgendwie fixen.
Sieh es mal so, das sind dann ein paar Bitcoinminer weniger, die die Ahnungslosigkeit der Nutzer ausnutzen können.
Also spart man auch Energie und solange auf der Welt gemined wird, ist das ohnehin kein Thema.
Polemik, ja klar. Aber wie war das bei Spectre und Meltdown? Gleiche Größenordnung. Minimum.
Die Welt dreht sich weiter. Die Sensibilisierung für Sicherheitslücken stieg.
Also bitte, nicht gleich einschnappen, wenn Dir jemand das mal offen sagt.
Das hat er nicht. Er ist nicht auf der Sachebene eingestiegen, sondern er hat auf der persönlichen Ebene angegriffen und sich somit von der Diskussion selbst disqualifiziert.
Denn er hat nichtmal kapiert, dass man im Brainstorming Hypothesen ans schwarze Brett schreiben darf und derjenige, der dann den, der es aufs schwarze Brett geschrieben hat, angreift, sich selbst disqualifiziert.
Als Einstieg: versuchs mal mit den Büchern von A. Tanenbaum.
Habe ich schon vor 20 Jahren gelesen. Kenne ich in und auswendig. Nichts neues für mich, aber ich wünsche dir natürlich viel Spaß bei nächsten Kapitel.

Zum Letzten Satz, ja, das ist doch die Form des Diskussionsstil nach dem du gebeten hast und du und irgendwas so gerne verteidigen. Toll oder, macht gleich Lust auf mehr. Also viel Spaß mit Kapitel 2 im Tanenbaum Buch.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von eggy » 08.03.2021 04:55:35

Cordess hat geschrieben: ↑ zum Beitrag ↑
08.03.2021 01:03:51
Du schreibst viel Halbwissen und Wunschdenken
Wo?

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von irgendwas » 08.03.2021 05:40:42

Cordess hat geschrieben: ↑ zum Beitrag ↑
07.03.2021 23:51:21
Rückendeckung wäre nett gewesen
Bei deiner sehr aggressiven Schreibweise? Nein danke.

Ich finde in fossonly's Beiträgen keine Beleidigungen oder persönliche Angriffe. Keine Ahnung wo deine persönliche Schmerzgrenze liegt, aber anscheinend sehr weit unten. Vielleicht interpretierst du auch etwas hinein, dass fossonly gar nicht geschrieben/gemeint hat? Ich weiß es nicht und es ist mir inzwischen eigentlich auch völlig egal.

Entspann dich und lies die Beiträge nochmal ganz in Ruhe. Wenn du dann von jemanden Quellenangaben/Belege möchtest, dann bitte freundlich darum.

Vorschlag an die Moderation:
Diese Beiträge löschen
viewtopic.php?p=1266501#p1266501
viewtopic.php?p=1266502#p1266502
viewtopic.php?p=1266505#p1266505
viewtopic.php?p=1266506#p1266506
viewtopic.php?p=1266507#p1266507
viewtopic.php?p=1266512#p1266512

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von debianoli » 08.03.2021 06:51:03

Sagt mal, muss das Theater sein?

Man kann auch dezent zurückschießen, ohne gleich in die Volleskalation zu gehen.

Normalerweise würde ich den Ratschlag "tief durchatmen, ein Bier in der Kneipe trinken und dann am nächsten Tag antworten" geben. Aber das geht ja gerade leider nicht.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von novalix » 08.03.2021 14:27:19

Erstaunlich, dass hier SELinux noch nicht zur Sprache gekommen ist. Das ermöglicht doch mal einen Blick über den Zaun auf das Nachbargehöft RPM-basierter Distros.
Red Hat hat ja schon Mitte der 0-er Jahre begonnen aktivierte rule sets per default aus zu rollen, zunächst in Fedora. Novell/Suse hat damals mit AppArmor dagegen gehalten. [*]

Die Diskussion und die Bemühungen zur Umsetzung sind also locker schon 15 Jahre alt.

Wer jemals ein z.B. CentOS administriert hat, ist mit an Sicherheit grenzender Wahrscheinlichkeit schon mal in die Situation gekommen, dass eine installierte Software den Dienst verweigert hat, weil irgendwas in den rules geklemmt hat.
Solche Probleme zu lösen ist selbst für erfahrene Admins oft nicht trivial. Da wird ganz offensichtlich sehr viel copy and paste aus stackoverflow betrieben, um irgendwie weiter zu kommen.
Ich behaupte mal, dass auf RH-basierten Systemen das pauschale Abschalten der SELinux-Struktur der meist abgesetzte Einzelbefehl ever ist.

Sicherheit von Computersystemen findet man nicht ausschließlich auf Datenblättern. Entscheidend ist, was zur Anwendung kommt.

[*] Debian hatte damals mit etch ebenfalls SELinux standardmäßig installiert, allerdings ohne aktivierte rule sets.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

smiler
Beiträge: 117
Registriert: 31.03.2004 21:26:06

Re: Zukunft von AppArmor, firejail usw.? Prozesstrennung weiterhin explizit oder irgendwann implizit?

Beitrag von smiler » 08.03.2021 15:33:47

novalix hat geschrieben: ↑ zum Beitrag ↑
08.03.2021 14:27:19

Wer jemals ein z.B. CentOS administriert hat, ist mit an Sicherheit grenzender Wahrscheinlichkeit schon mal in die Situation gekommen, dass eine installierte Software den Dienst verweigert hat, weil irgendwas in den rules geklemmt hat.
Solche Probleme zu lösen ist selbst für erfahrene Admins oft nicht trivial. Da wird ganz offensichtlich sehr viel copy and paste aus stackoverflow betrieben, um irgendwie weiter zu kommen.
Ich behaupte mal, dass auf RH-basierten Systemen das pauschale Abschalten der SELinux-Struktur der meist abgesetzte Einzelbefehl ever ist.
haha, ja, kann ich so bestätigen aus meiner Erfahrung...
Wobei ich dazu sagen muss, dass es in den letzten Jahren um einiges besser geworden ist als noch zu rhel 5 Zeiten. Im Regelfall kommt man auch mit eingeschaltetem selinux heutzutage sehr weit. Das mitgelieferte Ruleset ist ziemlich gut geworden.
Nur bei sehr exotischen Pfaden und Applikationen ist noch Nacharbeit notwendig, die unter Umständen aber die betreffende Person in ziemliche Verzweiflung stürzen kann. Die helfenden Tools sind schon nicht schlecht, aber wenn man nicht täglich damit zu tun hat steht man relativ schnell hilflos da und es läuft auf stackoverflow hinaus...
Die zu findende Doku ist meiner Meinung nach definitv nicht ausreichend um da unterstützend zu sein.
Inzwischen ist selinux auf der überwiegenden Zahl der Server, die ich mit betreue aktiviert, bis auf einige Altlasten und besonders exotische Systeme/Applikationen.
Bin eigentlich ein Freund von selinux, aber im "realen Einsatz" gibt es bei der Usability noch Raum für Verbesserungen

Antworten