006
21.07.2009, 23:33 Uhr
0xdeadbeef
Gott
(Operator)
|
Slackware kann ich nicht empfehlen (extrem holprig, gerade für Anfänger absolut tödlich), ArchLinux kenne ich nicht.
Was Ubuntu angeht, ubuntu und kubuntu unterscheiden sich im wesentlichen in der Default-GUI und darin, wo welche GUI auf den Installationsmedien zu finden ist. Ubuntu hat gnome auf der ersten CD, kubuntu halt KDE, aber am Ende kannst du dir beides (oder irgendeine andere GUI) aus dem universe-Repository nachladen.
AppArmor ist eine Art mandatory access control system. Es ist etwas schwer in zwei Sätzen zu erklären; im Grunde läuft es auf eine sehr viel feinkörnigere Begrenzung der Rechte eines Programms, Prozesses oder Benutzers hinaus. AppArmor macht das lediglich für ausgewählte Prozesse, selinux prinzipiell für alles. Zum Beispiel ist es auf die Art möglich, Programme, die bestimmte Fähigkeiten des Superusers benötigen (wie etwa /bin/ping) in ihren Rechten so einzuschränken, dass sie dessen andere Fähigkeiten nicht ausüben können (beispielsweise /etc/shadow auszulesen) oder nur bestimmten Benutzern selbst bei Kenntnis des Passworts (oder root-exploits in suid-Programmen) den Wechsel zur Rolle des Systemadministrators (oder Administrators eines bestimmten Services) zu ermöglichen.
Einschub: Natürlich bringt auch das keine absolute Sicherheit; wenn der Kernel Mist baut, kann ein Angreifer auch daran vorbeikommen. Es gab gerade letztens einen 0day-exploit, der genau das machte. Allerdings erschwert es die Ausnutzung von Sicherheitslücken in den meisten Fällen doch stark.
Da Novell AppArmor entwickelt und SuSE Novell gehört, ist davon auszugehen, dass die Distribution auf den Betrieb mit AppArmor für die meisten Services zugeschnitten ist. Es sollte mich nicht wundern, wenn z.B. apache out-of-the-box in AppArmor läuft.
Mit mehr Politur meine ich diese Art der Integration und die Aufbereitung derselbigen. Du wirst schöne GUIs für Firewalls, AppAmor und die Grundkonfiguration des Systems finden. Das hat den Vorteil, dass es, solange du in den Grenzen dessen, was sich die Distributoren dabei gedacht haben, schön einfach ist, und den Nachteil, dass es sehr dreckig wird, sobald du dich davon entfernst. SuSE lieferte seinerzeit beispielsweise ein sehr einfach bedienbares Tool zur Konfiguration der Firewall mit, das es selbst Leuten, die von Firewalls eigentlich nicht wirklich viel verstanden, erlaubte, eine einigermaßen brauchbare aufzusetzen. Problematisch war nur, dass dir das Ding dauernd dazwischenfunkte, wenn die vorgegebenen Möglichkeiten nicht ausreichten - eine Art goldener Käfig, wenn man so will.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
Dieser Post wurde am 21.07.2009 um 23:36 Uhr von 0xdeadbeef editiert. |
