HOME     

LVA - Name

LVA - Nummer:

LVA - Typ:

Wochenstunden pro Sem.:

Vortragende(r):

Max. Teilnehmerzahl:

Anmeldemodus:

Termine:

• Vorbesprechung:
  Dienstag, 12. Oktober 2010 um 18:30 Uhr im HS11

Ort:

Inhalt der LVA:

Zugriffskontrolle ist ein wesentlicher Aspekt von Computer-Sicherheit der regeln soll, welche Benutzer/innen überhaupt berechtigt sind ein Computer-System zu nutzen und vor allem welche Aktionen von diesen Benutzer/innen durchgeführt werden können.

Im Rahmen des Seminars "Zugriffskontrolle in Betriebssystemen" sollen dabei Zugriffskontrollmechanismen konkret am Beispiel des quelloffenen Linux Betriebssystems betrachtet und erörtert werden.

In einem ersten Vorlesungsteil werden die grundlegenden Sicherheitskontrollmechanismen von Linux/Unix vorgestellt und die Studenten/innen somit an die Thematik herangeführt:

• Was ist Zugriffskontrolle: Anwendungsgebiete und Grenzen
• (Wiederholung) Theoretische Modelle: DAC, MAC, RBAC
• Welche Ressourcen muss ein Zugriffskontrollsystem konkret im Kontext eines Betriebssystems absichern?
• Kurzüberblick über die für Zugriffskontrolle wesentlichen Datenstrukturen im Linux Kernel
• Linux Discretionary Access Control (DAC)
  • Standard Unix Dateizugriff
  • Setuid-Bit
• Linux Access Control Lists (ACL)
• Linux Capabilities: Partitionierung des allmächtigen root Benutzers, oder "Ich bin root - ich darf das NICHT"
• Sudo

Der 2. wesentliche Teil des Seminars besteht aus der aktiven Ausarbeitung von Seminararbeiten, welche die Teilnehmer/innen unter anderem zu folgenden Themen erstellen können:

• Linux Security Modules (LSM)
• In Kernel Anwendungen von LSM: SELinux, SMACK, Tomoyo (, AppArmor)
• Linux Sicherheitsframeworks außerhalb des Main-Kernels (d. h. nicht LSM basiert), wie z. B. Grsecurity, RSBAC
• Sudo / gksudo (Vertiefend, Sicherheitsanalyse anhand von Beispielen/Source Code)
• Linux ACLs
  Was sind die wesentlichen Unterschiede zu Windows ACLs?
  Ist eine Abbildung von Linux auf Windows ACLs möglich (Stichwort: SAMBA (Linux CIFS Server) und ACLs)?
• Zugriffskontrolle in modernen auf mobile Anwendungsfälle (Stichwort "Cloud Computing") spezialisierte Linux Varianten:
  • Google Android Security
  • Google Chromium/Chrome OS Security

LVA - Modus:

SE, Präsentation und Paperausarbeitung

Prüfung:

Literatur:

• Linux Capabilities
  • Hallyn, Serge E. und Andrew G. Morgan: Linux Capabilities: making them work. In: Proceedings of the Linux Symposium, Seiten 163 - 172, 2008.
    http://ols.fedoraproject.org/OLS/Reprints-2008/hallyn-reprint.pdf
  • Chris Friedhoff, POSIX Capabilities & File POSIX Capabilities: http://www.friedhoff.org/posixfilecaps.html
  • Linux Capability User Space Tools: http://www.kernel.org/pub/linux/libs/security/linux-privs/libcap2/


• Linux ACLs:
  • Grünbacher Andreas: POSIX Access Control Lists on Linux. In: USENIX Annual Technical Conference, San Antonio, Texas, June 2003.
    http://www.suse.de/~agruen/acl/linux-acls/linux-acls-final.pdf
  • http://www.suse.de/~agruen/acl/chapter/fs_acl-en.pdf


• Linux Security Modules
  • Wright, Chris, Crispin Cowan, James Morris und Greg Kroah-Hartman: Linux Security Modules: General Security Support for the Linux Kernel, 2002.
    http://www.kroah.com/linux/talks/usenix_security_2002_lsm_paper/lsm.pdf
  • Wright, Chris, Crispin Cowan, Stephen Smalley, James Morris und Greg Kroah-Hartman: Linux Security Module Framework. In: 11th Ottawa Linux Symposium, Seiten 604 - 617.
  • Using the Kernel Security Module Interface: http://www.linuxjournal.com/article/6279


• LSM basiert in-Kernel Security Frameworks:
  • SELinux
    • Spenneberg Ralf: SELinux & AppArmor, 2008, ISBN-10: 3827327644, online: http://www.os-t.de/buecher_new.php
    • http://www.nsa.gov/research/selinux/
    • http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/
    • http://fedoraproject.org/wiki/SELinux
    • http://wiki.centos.org/HowTos/SELinux
  • Tomoyo: http://tomoyo.sourceforge.jp/
  • SMACK: http://www.schaufler-ca.com/
  • AppArmor (nicht im mainline Kernel, aber LSM basiert): https://apparmor.wiki.kernel.org/index.php/Main_Page


• Security Frameworks als Kernel Patches (nicht im mainline Kernel, nicht LSM basiert):
  • RSBAC: http://www.rsbac.org/
  • Grsecurity: http://grsecurity.net/


• Sudo http://www.sudo.ws/


• Android & Chromium OS:
  • Android: http://developer.android.com/index.htm
  • Chromium OS: http://www.chromium.org/chromium-os


• Weitere
  • Chen, Hao und Wagner, David und Dean, Drew: Setuid Demystified. In: 11th USENIX Security Symposium, 2002
    http://www.eecs.berkeley.edu/~daw/papers/setuid-usenix02.pdf
  • Linux Kernel Dokumentation, und Quellen: http://www.kernel.org; Vor allem: Documentation/credentials.txt
  • Man Pages der jeweiligen Tools ...

Sonstige Informationen:

Weitere Auskünfte:

Links zu anderen Semestern: