• Deutsch ←
• English

• Über Anoubis
• Neuigkeiten
• Dokumentation
• Downloads
• Support
• Impressum

Die folgende Abbildung veranschaulicht die Architektur des Anoubis Systems.

Ereignisse, die für Anoubis relevant sind, werden vom Betriebssystemkern (Kernel) abgefangen.

Die Ereignisse werden über eine eigens entwickelte Schnittstelle an ein spezielles Programm im Userland, den Anoubis Daemon weitergegeben. Dieser Daemon trifft dann anhand von Policies die eigentliche Entscheidung darüber, ob das Ereignis zugelassen werden soll oder nicht.

Bis diese Entscheidung getroffen ist, wird der Prozess, der das Ereignis ausgelöst hat, blockiert. Das bedeutet insbesondere, dass der Zugriff erst durchgeführt wird, nachdem der Anoubis Daemon dies zugelassen hat. Eine ablehnende Antwort führt bei dem zugreifenden Prozess zu einem Fehler des aktiven Systemaufrufs.

Die eigentliche Entscheidung über ein Ereignis, wird von der Policy Engine vorgenommen, die ausschließlich für die Auswertung von Policies zuständig ist.

Anoubis bietet in seinen Policies die Möglichkeit, ein bestimmtes Ereignis weder direkt zu erlauben oder zu verbieten. Statt dessen kann auch eine Rückfrage beim Anwender vorgesehen werden. Die Durchführung solcher interaktiven Rückfragen ist Aufgabe eines weiteren Anoubis Daemon Prozesses, der Session-Engine. Ereignisse, die interaktiv durch den Nutzer entschieden werden müssen, werden an die Session-Engine weitergegeben. Dort können sich auch User-Interfaces (ein GUI oder ein Kommandozeilentool) registrieren, die in der Lage sind, dem Nutzer diese Ereignisse zu präsentieren. Steht kein User-Interface zur Verfügung, oder reagieren die zur Verfügung stehenden nicht in angemessener Zeit, wird das Ereignis durch die Session Engine abgelehnt.

Sicherheit beschränkt sich nicht nur auf technische Aspekte. Man muss genauso den Benutzer und seine Arbeitsumgebung in Betracht ziehen. Dazu enthält Anoubis eine graphische Benutzerschnittstelle zur einfachen Konfiguration des Systems und zur interaktiven Kommunikation bei auftretenden Ereignissen, bei denen vom Benutzer eine qualifizierte Entscheidung benötigt wird oder dieser benachrichtigt werden will. Mit Hilfe des GUI können in komfortabler Weise Regelsätze erstellt und bestehende Regelsätze für alle Komponenten angepasst werden. Die Prüfsummen für Dateien können erstellt, signiert und gegebenenfalls überprüft werden. Das GUI sorgt für die Präsentation von Rückfragen beim Benutzer, die von der Session-Engine erzeugt wurden und erlaubt eine einfache Beantwortung. Dabei kann aus der Eskalation je nach Bedarf eine temporäre oder eine permanente Regel erzeugt werden, die dann in den Regelsatz des Nutzers übernommen wird.