Skip to content

New Debian Project Wants To Hardened Debian For Desktop Users

The aim is to have an encrypted root file system and using virtualization technology to put each program in a sandbox.

Furthermore, they want to educate the user by giving warnings or guides how to securely life in the digital world.

mempo site.
An easier approach is doing the gentoo community by offering the hardened gentoo project.

An other but "looking like it is working" project is the qubes os. Basically, they are putting everything in a virtual application on top of a xen hypervisor. With some nice ideas, they are dealing with the speed als well as the consumed space of each "app". Qubes os is based on fedora.

Gedanken bezüglich der massiven Anzahl an "die NSA kann alles knacken"-Nachrichten

In den letzten Tagen wird eine immer größer werdende Anzahl an Nachrichten durch die digitalen (und wohl auch analogen) Kanäle geprügelt, die alle den gleichen O-Ton tragen. "Die NSA kann alles knacken und hat überall Backdoors eingebaut". Ich habe das Gefühl, dass man hier vor allem Resignation erzeugen möchte. Betrachtet man die Kommentare auf einigen Seiten, trifft man häufig Sätze wie "es bringt alles nichts" an. Mich deucht, dass dies der eigentliche Grund hinter dieser Torpedierung an Meldungen steckt.

Was einem klar sein sollte ist, dass die NSA und andere Schattenregierungen oder "Vereine", viel Macht in der Wirtschaft besitzen, sei es durch Firmenmitarbeiter die ein zweites Gehalt beziehen und die Forschung und Entwicklung in "die richtigen Bahnen" lenken, oder durch Gesetze und Geheimverträge über die niemand sprechen darf.

Aber wo Schatten ist, ist auch immer Licht. Freie Software kann euch schützen. Natürlich ist alles knackbar, aber auch eine NSA mit ihren Supercomputern braucht im Moment noch etwas Zeit um alles zu knacken. Da stellt sich dann immer die Frage wie wichtig eure Daten sind. Sobald die Quantencomputer von den Geheimdiensten und "little NSA aka elgoog" laufen, kann sich all dies relativieren, aber bis dahin ist noch etwas Zeit.

Was könnt ihr tun?

  • Haltet das Betriebssystem aktuell
  • Nutzte freie Betriebssysteme
  • Nutzt freie Verschlüsslungssoftware
  • Haltet wichtige Daten lokal, ihr braucht nicht alles auf einem Webserver oder in der Cloud
  • Nutzte eigene Zertifikate (solange man das Root Zertifikat hat, kann man alle weiteren Entschüsseln)
  • Speichert wichtige Passwörter nicht im Klartext auf dem PC (dann doch lieber der gute alte Zettel)
  • Verschlüsselt E-Mails, GnuPGP ist erlernbar
  • Nutzte Passwörter mit statischen und dynamischen Anteilen
  • Gebt keine wichtigen Informationen auf Internetseiten (und wenn, dann doch lieber nur wenn ein https davor steht)
  • Wählt die richtigen Parteien
  • Lasst euch nicht einschüchtern

meetup - attraktor - selinux

Just arrived at home from back to hack selinux. I tried my best to keep up the speed of slides. Nevertheless, there are some gaps in between.

Big thanks to the presenter. I turned my fear into anticipation for using it!

History

  • 1976 LaPadula paper released
  • DTMach as construction idea released
  • Based on FLASK, first patches to linux kernel
  • 2002 implemented as linux security module (LSM)
  • Since 2003 part of the mainline kernel
  • Fedora core was first distribution (shipped with policy)
  • Since 2007 shipped with RHEL5 EAL4+

Bell LaPadula

  • MAC
  • TE
  • RBAC
  • No read up, no write down

Features

  • Extends DAC (directory access control)
  • mode at runtime changeable (enforcing vs permissive)
  • flexible policy
  • AVC (access vector cache)
  • root is not god anymore
  • process running in own security domain

Discretionary Access Control

  • classical security concept
  • object based access control
  • unflexible
  • rights per user
  • user can ship rights
  • uid can be changed by using suid

MAC

  • access control by using policy

TE - Type Enforcement

  • all resources have a typ/domain
  • whitelisting ruleset

Security Context

  • securityarea
  • object (user:role:domain:level)
  • subject

Policy

  • heart of selinux
  • common policis are targeted, strict and MLS
  • defines rules for access from subject of object
  • defines domain transition of a subject (when can a subject change its domain)

Policies

Targeted

  • default policy
  • contains a understandable complexity
  • well choosen processes running in own domain
  • you can tweak the policy by using booleans
  • this policy should be enough for daily work
  • if you use the filesystem hirachy standard you are quite save
  • Unknown software is stored in context "unconfined"

Multi Level Security (mls)

  • everything is running under selinux policies
  • tweakable by booleans
  • only for high risk security aspects

Booleans

  • enables tweaking the policy without reload
  • no knowledge about policy needed
  • booleans can set permanent
  • semanage boolean -l lists a lot of informations

Userlandtools

  • -Z is selinux switch (ls -Z, netstat -Z)
  • cp, mkdir and so on are linked against selinux to support setting needed bytes
  • getenforec/setenforce - switching selinux mode
  • restorecon/fixfiles/chcon - changing context of subjects
  • sestatus - status
  • avcstat - status about avc
  • libselinux - the selinux
  • libsepol - all binaries linked against

Policy Management

  • setsebool/getsebool - show and set of selinux booleans
  • semanage - policy management
  • semodule -

Policy Development

  • audit2allow - builds selinux rules based on audit log
  • checkmodule - transforms rulse into binary
  • semodule_package -
  • audit2why - analyse selinux

Linux Audit Framework (LAF)

  • should be used for logging

Backup

  • you are loosing the context if your backup software does
  • tar and rsync supports :)