Spielwiese für Admins

Sicheres Linux

Der Sicherheitsmechanismus SELinux wurde von den Red-Hat-Entwicklern noch einmal gründlich erweitert. SELinux implementiert so genannte rollenbasierte Sicherheit, was wesentlich feinere Zugriffssteuerung ermöglicht als das bekannte Unix-Schema von Benutzern, Gruppen und Rechten. Damit lässt sich ein Linux-System beispielsweise so einrichten, dass nicht einmal Root bestimmte Dateien verändern darf. Ein solches Verhalten kann jeder auf einem Rechner des SELinux-Entwicklers Russell Coker ausprobieren, der öffentlich zugänglich ist [5].

Fedora Core 4 bringt über 80 fertige SELinux-Profile für spezifische Dienste mit, von Bluetooth über den Cups-Druckdienst bis zum Samba-Netzdateisystem. Die Komplexitität von SELinux macht es einfach, sich aus dem eigenen System auszusperren. Den einzigen Ausweg bietet dann ein Neustart mit abgeschaltetem SELinux. Einsteigern steht deshalb Fedora Core 4 die praktische Möglichkeit offen, SELinux zunächst in einem Modus zu betreiben, in dem es Verstöße gegen die Sicherheitsrichtlinien nur protokolliert. Wer SELinux verstanden hat und sich kompetent genug fühlt, schaltet sein System später einfach mit dem Enforcing Mode ( auf Deutsch: Durchsetzen) scharf (Abbildung 4).

Abbildung 4: Die "Sicherheitsstufen-Konfiguration" stellt SELinux ein. Nicht alle Textfelder sind richtig lokalisiert.

Entwickler-Tools

Red Hat liefert Fedora Core mit dem GNU Compiler 4.0 aus. Das schließt auch den Java-Compiler GCJ ein, der Java-Code in ein direkt ausführbares Format übersetzt, nicht etwa in den sonst üblichen Bytecode. Prominentes Beispiel dafür ist die ebenfalls enthaltene Entwicklungsumgebung Eclipse in Version 3.1M6, die Red Hat mit dem GCJ übersetzt hat.

Wer Java-Programme entwickeln möchte, sollte das JDK von Sun herunterladen – der GCJ-Interpreter kann nämlich nicht alle Java-Programme ausführen. So scheitert er beispielsweise auch der Bytecode-Version von Eclipse. Die Fedora Release Notes empfehlen, nicht das RPM-Paket von Sun zu verwenden, da es mit den Abhängigkeiten des Fedora-Systems kollidiert. Besser eignet sich der ausführbare Installer von Sun oder die Pakete von http://jpackage.org.

Es ist unklar, ob Red Hat aus unternehmenspolitischen Gründe das vornehmlich von Novell entwickelte Mono-Framework nicht mitliefert, das die .NET-Umgebung von Microsoft nachahmt. Es gibt jedoch immer mehr interessante, auf Mono basierende Gnome-Anwendungen, die Red Hat nun nicht in die Distribution aufnehmen kann, zum Beispiel Beagle oder F-Spot (siehe Artikel auf S. 54). Stattdessen setzt die Firma auf Java, eine Sprache, in der leider nur wenige für Desktop-User interessante Anwendungen geschrieben sind. Zumindest für Gnome-Entwickler ist diese Option aber interessant, da sie mit GCJ und den entsprechenden Bibliotheken richtige Gnome-Anwendungen in Java schreiben können.