ACL Probleme mit shared?

Christian Boltz dovecot-jpb at cboltz.de
So Aug 23 16:08:29 CEST 2015


Hallo Klaus, hallo Leute,

Am Sonntag, 23. August 2015 schrieb Klaus Tachtler:
> Nun, ich muss gestehen SELINUX kommt bei mir noch nicht zu Einsatz,  
> aber wir werden sehen, wenn ich wieder etwas mehr Zeit haben... aber  
> AppArmor ist doch sehr ähnlich, oder nicht?

Naja, beide nutzen die LSM-Hooks im Kernel ;-)

Trotzdem sind die Unterschiede sehr deutlich:
- AppArmor ist wesentlich einfacher zu lernen und zu benutzen, SELinux
  ist deutlich komplexer
- Abdeckungsgrad: SELinux wacht über das ganze System, AppArmor kümmert 
  sich gezielt um einzelne Binaries. Klingt erstmal nach "AppArmor ist 
  schlechter" - aber wenn man die richtigen Binaries schützt (also 
  alles, was am Internet hängt), ist der Unterschied überschaubar.
  "Überwacht das ganze System" heißt übrigens auch "nervt mehr".
  (Wer unbedingt will, kann auch mit AppArmor das komplette System
  incl. Initsystem absichern - das ist vermutlich immer noch einfacher
  als SELinux.)

Soweit die Kurzfassung - wahrscheinlich habe ich diverse Punkte 
vergessen ;-)

BTW: Falls jemand einen Einstieg in AppArmor braucht - es gibt gerade 
ein frisches Video mit meinem Vortrag auf der DebConf:
http://meetings-archive.debian.net/pub/debian-meetings/2015/debconf15/AppArmor_Crash_Course.webm



Gruß

Christian Boltz
-- 
It's the goldmaster - there're no bugs ;-)
[Andreas Jäger about SuSE 9.3]



Mehr Informationen über die Mailingliste Dovecot