Definition

Multicategory Security (MCS)

Was ist Multicategory Security (MCS)?

Multicategory Security (MCS) ist als Zugriffskontrollmechanismus ein Teil von SELinux (Security Enhanced Linux). Dieses System ist nicht-hierarchisch und soll die Geheimhaltung von Daten innerhalb SELinux sicherstellen. Dazu werden Dateien oder Prozessen Kategorien zugewiesen und nur Prozesse oder Nutzer, die der gleichen Kategorie wie die betreffende Datei angehören, haben Zugriff. Wenn Benutzer ihre eigene Kategorie haben, können sie diese auch zur Kennzeichnung ihrer Dateien verwenden.

Diese Kategorien sind als c0 bis c1023 definiert, das c steht für Kategorie (category). Allerdings können diese Werte durch beliebige Textbezeichnungen ersetzt werden. Der Übersetzungsdienst mcstrans ersetzt dann den jeweiligen Kategoriewert durch die gewünschte Bezeichnung und der Benutzer kann diese dann im Systemeingang beziehungsweise -ausgang verwenden. An der Funktionsweise von MCS ändert sich nichts, wenn Sie nur mit den Kategoriewerten ohne Bezeichnung arbeiten.

Die Prüfung auf die Kategorie erfolgt erst nach der Linux Discretionary Access Control (DAC) und dem Linux Type Enforcement (TE). Konfigurationen, die also bereits innerhalb Ihres Unternehmens Bestand haben, werden nicht außer Kraft gesetzt, sondern durch die Kategorien weiter eingeschränkt und die Sicherheit erhöht.

Kombination mit Multilevel Security

Multicategory Security ist allein nutzbar, Sie können die Funktion aber auch in Kombination mit Multilevel Security (MLS) einsetzten. MLS ist im Gegensatz zu MCS hierarchisch aufgebaut, es gibt verschiedene Sicherheitsstufen. In so einem Fall ist es also nicht ausreichend, wenn der Benutzer der gleichen Kategorie wie die Datei zugeteilt ist, er muss auch die richtige Sicherheitsfreigabe besitzen.

Nacheinander wird jetzt also Folgendes bei dem versuchten Zugriff auf eine Datei oder einen Prozess abgefragt:

  • SELinux-Benutzer (user)
  • SELinux-Rolle (role)
  • SELinux-Typ (type)
  • MLS-Stufe
  • MCS-Kategorie

Konfiguration der MCS

In den SELinux-Richtlinien mls und targeted ist MCS aktiv, allerdings ist es noch nicht für Benutzer konfiguriert. Innerhalb der targeted-Richtlinie ist MCS für OpenShift, virt, Sandbox, Netzwerkkennzeichnung und Container (container-selinux) konfiguriert.

Um Benutzer in Kategorien einzuteilen, erstellen Sie ein lokales SELinux-Modell mit einer Regel. Dadurch wird nicht nur der SELinux-Typ user_t überprüft, sondern auch die hinzugefügten MCS-Regeln.

Zur Überprüfung lassen Sie sich in jedem Benutzerbereich für alle Komponenten die Details anzeigen und Ihre neu hinzugefügten Regeln sollten dort zu sehen sein.

Kategoriebezeichnungen definieren

Um Bezeichnungen für Ihre MCS-Kategorien zu verwalten, bearbeiten Sie die setrans.conf-Datei. SELinux ordnet hier unter anderem die internen Kategoriestufen den für Sie lesbaren Bezeichnungen zu.

Sie können neue Kategorien erstellen oder bereits existierende verändern. In der setrans.conf-Datei zu Ihrer Richtlinie definieren Sie die Kombination Ihrer Kategorien für Ihren Anwendungsfall. Wahlweise können Sie in der gleichen Datei auch direkt die MLS-Sicherheitsstufen kennzeichnen.

Um Änderungen zu aktivieren, müssen Sie den Übersetzungsdienst neu starten. Lassen Sie sich die aktuellen Kategorien anzeigen und prüfen Sie so, ob die Änderungen funktioniert haben.

Benutzern eine Kategorie zuweisen

Mithilfe der Kategorien können Sie den Zugriff eines Benutzers in Linux weiter einschränken. Um einen Benutzer einer Kategorie zuzuweisen, benötigen Sie administrative Rechte. Hat ein Benutzer zugewiesene Kategorien, kann er innerhalb dieser alle Dateien öffnen und bearbeiten. Ebenso kann er seinen eigenen Dateien seine Kategorien zuweisen. Aber ein Benutzer kann nicht einer Kategorie zugewiesen werden, für deren Sicherheitsstufe er keine Freigabe hat.

Wenn Sie einem Benutzer MCS-Kategorien zuweisen, können Sie entweder den kompletten für den Nutzer freigegebenen Bereich auswählen oder nur einen Teilbereich. Da der Zugriff auf die Kategorien beim Login geprüft wird, müssen sich Benutzer nach geänderten Kategorien neu anmelden, damit die Änderungen aktiv werden.

Dateien eine Kategorie zuweisen

Benutzer können eine Datei nur einer Kategorie zuweisen, wenn sie Zugriffsrecht auf diese Datei haben und nur Kategorien zu, denen sie selbst angehören. Sie benötigen alle vorgegebenen Berechtigungen und das Zugriffsrecht und müssen der Zielkategorie zugehören.

Um zu überprüfen, ob die Zuordnung funktioniert hat, lassen Sie sich die aktuellen Sicherheitskonfigurationen der Datei anzeigen. Alternativ nutzen Sie den Zugang eines Benutzers, der nicht der Kategorie der Datei zugeordnet ist und versuchen die Datei zu öffnen. Der Zugriff sollte Ihnen verwehrt bleiben.

Diese Definition wurde zuletzt im Januar 2024 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management