SELinux-cheat-sheet

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Allgemeines

SELinux (Security-Enhanced Linux) implementiert Mandatory Access Control (MAC). Es isoliert Prozesse in Sicherheitskontexten, um das Schadenspotenzial bei Kompromittierungen zu minimieren.

Status und Modi prüfen

  • sestatus
  • getenforce

Modi temporär umschalten

Wechsel zu Permissive
  • setenforce 0
Wechsel zu Enforcing
  • setenforce 1

Modus dauerhaft setzen

Konfiguration in der Datei: /etc/selinux/config

  • SELINUX=enforcing
  • SELINUX=permissive

Dateikontexte verwalten

Kontexte anzeigen

zeigt alle Prozesse mit Kontexten

  • ps -eZ
  • ls -Z /pfad/zur/datei
Kontext temporär ändern

wird durch restorecon oder Relabel überschrieben

  • chcon -t httpd_sys_content_t /var/www/html/index.html
Kontext dauerhaft definieren und anwenden
  • semanage fcontext -a -t httpd_sys_content_t "/custom/www(/.*)?"
  • restorecon -Rv /custom/www

Booleans verwenden

Alle Booleans anzeigen
  • getsebool -a
Spezifischen Wert prüfen
  • getsebool httpd_can_network_connect
Boolean dauerhaft aktivieren
  • setsebool -P httpd_can_network_connect on

Ports verwalten

Erlaubte Ports für einen Typ anzeigen
  • semanage port -l | grep http_port_t
Port zu einem Typ hinzufügen
  • semanage port -a -t http_port_t -p tcp 8080

falls bereits vorhanden:

  • semanage port -m -t http_port_t -p tcp 8080

Fehlersuche und Analyse

Logs nach aktuellen Blockaden (AVC) durchsuchen
  • ausearch -m avc -ts recent

zeigt die Ursache der Blockade verständlich

  • ausearch -m avc -ts recent | audit2why
  • journalctl -t setroubleshoot
Analyse der Log-Einträge

Paket ggf. erforderlich: setroubleshoot-server

  • sealert -a /var/log/audit/audit.log
Eigene Policy-Module aus Logs erstellen

nur nach Prüfung verwenden – kann Sicherheitsregeln aufweichen

  • grep "denied" /var/log/audit/audit.log | audit2allow -M mycustommodule
  • semodule -i mycustommodule.pp

Best Practices

  • Betrieb im Modus 'enforcing' sicherstellen.
  • Modus 'permissive' nur zur Fehlersuche nutzen.
  • 'semanage fcontext' gegenüber 'chcon' bevorzugen.
  • Vor Erstellung eigener Module prüfen, ob ein passender Boolean existiert.
  • Relabeling des Dateisystems bei Bedarf: touch /.autorelabel
Abgerufen von „http://wiki.ixheim.de/index.php?title=SELinux-cheat-sheet&oldid=67824