[lug-ld] Treffen vom 20.04.2023

Christian Boltz lug-ld at cboltz.de
Sa Mai 6 19:20:05 CEST 2023 

Hallo Heinz, hallo zusammen,

Am Samstag, 6. Mai 2023, 12:21:52 CEST schrieb Pahle Heinz:
> nur zu meinem Verständnis zu ACL (acces control list) die Frage:
> Gehört das nicht zu SE-Linux und zu jedem Windows? Die Rechtevergabe
> via ACL habe ich durch Lernen/Anwenden (bei Windows) förmlich im Blut
> und scheitere dann bei (Normal-)Linux. 
...
> Christian B. hat zum ACL-Thema irgend wann, irgend etwas von
> "apparmor" gemeint, wenn ich mich recht erinnere. Vielleicht gibt es
> da auch die Häkchen?

Die genannten Dinge haben zwar alle mit Zugriffsrechten auf Dateien und 
Verzeichnisse zu tun, sind aber doch (z. T. deutlich) unterschiedlich:

* die "normalen" Dateirechte mit User, Gruppe, Others

Das hat Volker schon ausführlich erklärt :-)

* ACLs

Damit kannst Du _zusätzliche_ Rechte vergeben, im Stil von
"außerdem darf Benutzer xyz diese Datei lesen"

(Wer weiterlesen will: man setfacl und man getfacl)


* AppArmor und SELinux

Diese beiden sind zwar recht unterschiedlich, haben aber das gleiche 
Ziel: Berechtigungen _einschränken_.

Bei AppArmor läuft das im Wesentlichen über das laufende Programm: 
"Firefox darf nur nach /home/cb/Downloads/ schreiben" (obwohll Firefox 
als Benutzer "cb" läuft und dieser Benutzer Schreibrechte im kompletten 
/home/cb/ hat)

SELinux nutzt Labels für Programme, Verzeichnisse und Dateien - also 
etwas im Stil von "als Browser markierte Programme dürfen in als 
Downloadordner gelabelte Verzeichnisse schreiben".

(Die Beschreibungen für AppArmor und SELinux sind hier deutlich 
vereinfacht - es geht ums Prinzip, nicht um die Details.)


Um dann tatsächlich Zugriff auf eine Datei zu bekommen, muss das von 
a) den "normalen" Berechtigungen (alternativ von den ACLs)   _und_
b) von AppArmor oder SELinux (falls eins davon aktiv ist)
erlaubt werden


Gruß

Christian Boltz
-- 
Computers are really easy. There is just Zero and One,
and it does not get any more complicated than that.
[https://blog.koehntopp.info/2022/05/03/fertig-gelesen-the-pattern-on-the-stone.html]

Mehr Informationen über die Mailingliste lug-ld