Jump to section

Was ist SELinux?

URL kopieren

Migrieren Sie von CentOS Linux zu einem cloudfähigen Betriebssystem

Die Einstellung von CentOS Linux bietet die Möglichkeit, zu einem Betriebssystem zu wechseln, das Ihre Cloud-Initiativen heute und in der Zukunft besser unterstützt. Mit Red Hat Enterprise Linux (RHEL) erhalten Sie eine intelligente, produktionsgerechte Betriebsbasis für Hybrid Cloud- und Multi-Cloud-Umgebungen.

Security-Enhanced Linux (SELinux) ist eine Sicherheitsarchitektur für Linux®-Systeme, die Administrationsteams noch mehr Kontrolle darüber bietet, wer auf das System zugreifen darf. Es wurde ursprünglich von der US-amerikanischen NSA (National Security Agency) in mehreren Patches entwickelt, die mit LSMs (Linux Security Modules) auf den Linux-Kernel angewendet wurden.  

SELinux wurde im Jahr 2000 für die Open Source Community freigegeben und 2003 in den Linux-Upstream-Kernel integriert.

Traditionell wird für Linux- und UNIX-Systeme DAC verwendet. SELinux ist ein Beispiel eines MAC-Systems für Linux. 

Mit DAC werden den Dateien und Prozessen Eigentümer zugeordnet. Das können Nutzende, Gruppen oder andere Personen sein. Nutzende können die Berechtigungen für ihre eigenen Dateien konfigurieren.

Der Root-Nutzende besitzt in einem DAC-System die vollständige Zugriffskontrolle. Wenn Sie Root-Zugriff haben, können Sie auf die Dateien anderer zugreifen und im System beliebige Aktionen ausführen. 

Bei MAC-Systemen wie SELinux aber werden Zugriffe über vom Administrationsteam konfigurierte Richtlinien geregelt. Und auch wenn die DAC-Einstellungen Ihres Home-Verzeichnisses geändert werden, verhindert dann eine vorhandene SELinux-Richtlinie, dass andere Benutzerinnen und Benutzer oder Prozesse auf das Verzeichnis zugreifen können, und das System bleibt geschützt. 

Mit SELinux-Richtlinien können Sie spezifische Einstellungen konfigurieren und eine große Anzahl von Prozessen abdecken. So können Sie Änderungen mit SELinux vornehmen, die Zugriffe zwischen verschiedenen Nutzenden, Dateien, Verzeichnissen usw. beschränken.

Wenn SELinux einen Fehler meldet, gibt es dafür einen Grund. Höchstwahrscheinlich ist es einer der vier Folgenden:

  1. Die Labels sind falsch: Ist ein Label falsch, können Sie dies mithilfe der Tools korrigieren.
  2. Eine Richtlinie muss korrigiert werden: Das kann bedeuten, dass Sie SELinux über vorgenommene Änderungen informieren oder eine Richtlinie anpassen müssen. Dies kann mit Booleans oder Richtlinienmodulen erfolgen.
  3. In der Richtlinie ist ein Bug vorhanden: Die Richtlinie enthält möglicherweise einen Bug, der behoben werden muss.
  4. Es liegt ein unerlaubter Systemzugriff vor: Auch wenn SELinux Ihre Systeme in vielerlei Szenarien schützt, lassen sich unerlaubte Zugriffe nie hundertprozentig ausschließen. Wenn Sie einen unerlaubten Zugriff vermuten, müssen Sie sofort handeln.

Was sind Booleans?

Darunter versteht man die Einstellungen für die Aktivierung/Deaktivierung von SELinux-Funktionen. Davon gibt es Hunderte, die zum Großteil vordefiniert sind. Sie können herausfinden, welche das sind, indem Sie den Befehl getsebool -a ausführen.

Red Hat Enterprise Linux ist eine weltweit führende Open Source Linux-Plattform, mit der Sie Risiken minimieren, Sicherheitskonfigurationen und -richtlinien durchsetzen und Ihre Compliance-Strategie optimieren können.

Red Hat Enterprise Linux Systemrollen sind eine Sammlung von unterstützten Ansible Rollen, die konsistente Workflows gewährleisten und die Ausführung manueller Aufgaben optimieren. Mithilfe von Systemrollen können Teams Sicherheitsabläufe automatisieren, skalieren und langfristig mit minimalem Aufwand verwalten. Weiterhin unterstützen sie die Optimierung von Governance- und Compliance-Anforderungen. Mit der SELinux-Systemrolle kann die Bereitstellung und Verwaltung von SELinux automatisiert werden. Dies beinhaltet:

  • Aktivieren von SELinux im erzwungenen oder zulässigem Modus, um die Konsistenz der Kontrollen zu gewährleisten.
  • Anpassen der Booleans für SELinux-Richtlinien, der Dateikontexte, der Ports und der Logins, um Ihre Anforderungen zu erfüllen.
  • Verwenden der Systemrolle zum Abgleich von Dateikontexten für bestimmte Dateien oder Verzeichnisse.

Weiterlesen

Artikel

Was ist Linux?

Linux ist ein Open Source-Betriebssystem, das aus einer Grundkomponente, dem Kernel, und aus mehreren Tools, Apps und Services besteht.

Artikel

Was ist SELinux?

Security-Enhanced Linux (SELinux) ist eine Sicherheitsarchitektur für Linux®-Systeme, die Administratoren noch mehr Kontrolle darüber bietet, wer auf das System zugreifen darf.

Artikel

Was ist der Linux-Kernel?

Der Linux-Kernel ist die Hauptkomponente eines Linux-Betriebssystems und die zentrale Schnittstelle zwischen der Hardware eines Computers und seinen Prozessen.