Thomas.will: Die Seite wurde neu angelegt: „= SELinux Cheat Sheet = == Status & Modus == {| class="wikitable" ! Befehl !! Beschreibung |- | `getenforce` || Aktuellen Modus anzeigen (Enforcin…“

2026-05-04T04:23:49Z

Die Seite wurde neu angelegt: „= SELinux Cheat Sheet = == Status & Modus == {| class="wikitable" ! Befehl !! Beschreibung |- | <code>getenforce</code> || Aktuellen Modus anzeigen (Enforcin…“

Neue Seite

= SELinux Cheat Sheet =

== Status & Modus ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>getenforce</code> || Aktuellen Modus anzeigen (Enforcing / Permissive / Disabled)
|-
| <code>sestatus</code> || Detaillierter SELinux-Status
|-
| <code>sestatus -v</code> || Verbose-Status mit Kontexten
|}

=== Modus temporär ändern (bis zum Reboot) ===

<syntaxhighlight lang="bash">
setenforce 0 # Permissive (nur loggen, nicht blockieren)
setenforce 1 # Enforcing (aktiv blockieren)
</syntaxhighlight>

=== Modus dauerhaft ändern ===

In <code>/etc/selinux/config</code>:

<syntaxhighlight lang="bash">
SELINUX=enforcing # aktiv
SELINUX=permissive # nur Logging
SELINUX=disabled # deaktiviert (Reboot nötig)
</syntaxhighlight>

== Kontexte anzeigen ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>ls -Z</code> || Datei-Kontext anzeigen
|-
| <code>ps -eZ</code> || Prozess-Kontext anzeigen
|-
| <code>id -Z</code> || Eigenen Benutzer-Kontext anzeigen
|-
| <code>netstat -tnlpZ</code> || Netzwerk-Kontext anzeigen
|}

Ein Kontext hat die Form: <code>user:role:type:level</code>, z. B.:
<syntaxhighlight lang="bash">
system_u:object_r:httpd_sys_content_t:s0
</syntaxhighlight>

== Kontexte setzen & wiederherstellen ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>chcon -t httpd_sys_content_t /var/www/html/index.html</code> || Typ temporär setzen
|-
| <code>chcon -R -t httpd_sys_content_t /var/www/html/</code> || Rekursiv setzen
|-
| <code>restorecon -v /var/www/html/index.html</code> || Kontext auf Standard zurücksetzen
|-
| <code>restorecon -Rv /var/www/html/</code> || Rekursiv zurücksetzen
|}

=== Standard-Kontext dauerhaft anpassen ===

<syntaxhighlight lang="bash">
# Regel hinzufügen
semanage fcontext -a -t httpd_sys_content_t "/srv/web(/.*)?"

# Danach anwenden
restorecon -Rv /srv/web/
</syntaxhighlight>

== Boolesche Werte (Booleans) ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>getsebool -a</code> || Alle Booleans anzeigen
|-
| <code>getsebool httpd_can_network_connect</code> || Einzelnen Boolean anzeigen
|-
| <code>setsebool httpd_can_network_connect on</code> || Temporär aktivieren
|-
| <code>setsebool -P httpd_can_network_connect on</code> || Dauerhaft aktivieren (<code>-P</code> = persistent)
|}

Nützliche Booleans:

{| class="wikitable"
! Boolean !! Zweck
|-
| <code>httpd_can_network_connect</code> || Apache darf Netzwerkverbindungen aufbauen
|-
| <code>httpd_can_sendmail</code> || Apache darf Mails senden
|-
| <code>httpd_use_nfs</code> || Apache darf NFS-Shares nutzen
|-
| <code>samba_export_all_rw</code> || Samba darf beliebige Verzeichnisse exportieren
|-
| <code>ftpd_anon_write</code> || FTP-Anon darf schreiben
|}

== Ports verwalten ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>semanage port -l</code> || Alle erlaubten Ports auflisten
|-
| <code>semanage port -l | grep http</code> || Ports für HTTP anzeigen
|-
| <code>semanage port -a -t http_port_t -p tcp 8080</code> || Port 8080 für HTTP freigeben
|-
| <code>semanage port -d -t http_port_t -p tcp 8080</code> || Port-Regel löschen
|}

== AVC-Logs & Fehleranalyse ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>ausearch -m avc -ts recent</code> || Aktuelle AVC-Denials anzeigen
|-
| <code>ausearch -m avc -ts today</code> || Denials von heute
|-
| <code>journalctl -t setroubleshoot</code> || SELinux-Troubleshoot-Meldungen
|-
| <code>sealert -a /var/log/audit/audit.log</code> || Alle Alerts mit Erklärung anzeigen
|}

=== audit2why – Ursache erklären ===

<syntaxhighlight lang="bash">
ausearch -m avc -ts recent | audit2why
</syntaxhighlight>

=== audit2allow – Regel generieren ===

<syntaxhighlight lang="bash">
# Regel anzeigen
ausearch -m avc -ts recent | audit2allow

# Eigenes Modul erstellen und laden
ausearch -m avc -ts recent | audit2allow -M meinmodul
semodule -i meinmodul.pp
</syntaxhighlight>

== Module verwalten ==

{| class="wikitable"
! Befehl !! Beschreibung
|-
| <code>semodule -l</code> || Alle geladenen Module auflisten
|-
| <code>semodule -i meinmodul.pp</code> || Modul installieren
|-
| <code>semodule -r meinmodul</code> || Modul entfernen
|-
| <code>semodule -d meinmodul</code> || Modul deaktivieren
|-
| <code>semodule -e meinmodul</code> || Modul aktivieren
|}

== Typische Szenarien ==

=== Webserver: eigenes DocumentRoot ===

<syntaxhighlight lang="bash">
semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?"
restorecon -Rv /srv/www/
</syntaxhighlight>

=== Samba: Verzeichnis freigeben ===

<syntaxhighlight lang="bash">
setsebool -P samba_export_all_rw on
# oder gezielt mit Kontext:
semanage fcontext -a -t samba_share_t "/srv/samba(/.*)?"
restorecon -Rv /srv/samba/
</syntaxhighlight>

=== SSH: anderen Port verwenden ===

<syntaxhighlight lang="bash">
semanage port -a -t ssh_port_t -p tcp 2222
</syntaxhighlight>

=== Dienst läuft nicht an – schnell debuggen ===

<syntaxhighlight lang="bash">
# 1. Modus prüfen
getenforce

# 2. Auf Permissive stellen (testen)
setenforce 0
systemctl restart <dienst>

# 3. Logs sichten
ausearch -m avc -ts recent | audit2why

# 4. Gezielt beheben, dann zurück auf Enforcing
setenforce 1
</syntaxhighlight>

== Siehe auch ==

* [[Rocky Linux 10]]
* [[Firewall (nftables)]]
* [[BIND9 DNS]]

[[Kategorie:Rocky Linux]]
[[Kategorie:Sicherheit]]
[[Kategorie:SELinux]]

SELinux Cheat-Sheet - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= SELinux Cheat Sheet = == Status & Modus == {| class="wikitable" ! Befehl !! Beschreibung |- | getenforce || Aktuellen Modus anzeigen (Enforcin…“

Thomas.will: Die Seite wurde neu angelegt: „= SELinux Cheat Sheet = == Status & Modus == {| class="wikitable" ! Befehl !! Beschreibung |- | `getenforce` || Aktuellen Modus anzeigen (Enforcin…“