https://wiki.ixheim.de/index.php?action=history&feed=atom&title=SELinux_EinleitungSELinux Einleitung - Versionsgeschichte2026-06-28T19:44:44ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=SELinux_Einleitung&diff=69410&oldid=prevThomas.will: Die Seite wurde neu angelegt: „= SELinux = SELinux (Security-Enhanced Linux) ist ein Sicherheitssystem, das den Linux-Kernel um eine zusätzliche Kontrollschicht erweitert. Es wurde ursprü…“2026-05-04T04:26:02Z<p>Die Seite wurde neu angelegt: „= SELinux = SELinux (Security-Enhanced Linux) ist ein Sicherheitssystem, das den Linux-Kernel um eine zusätzliche Kontrollschicht erweitert. Es wurde ursprü…“</p>
<p><b>Neue Seite</b></p><div>= SELinux =<br />
<br />
SELinux (Security-Enhanced Linux) ist ein Sicherheitssystem, das den Linux-Kernel um eine zusätzliche Kontrollschicht erweitert. Es wurde ursprünglich von der NSA entwickelt und ist heute fester Bestandteil von RHEL-basierten Distributionen wie Rocky Linux.<br />
<br />
== Wozu braucht man SELinux? ==<br />
<br />
Normalerweise entscheidet Linux anhand von Besitzer, Gruppe und Berechtigungen, ob ein Prozess auf eine Datei zugreifen darf – das klassische rwx-Modell. Das reicht in vielen Fällen aus, hat aber eine Schwachstelle: Wird ein Dienst kompromittiert, darf der Angreifer alles, was der Dienst auch darf.<br />
<br />
SELinux geht einen Schritt weiter. Es legt fest, '''welcher Prozess auf welche Ressource zugreifen darf''' – unabhängig vom Dateisystembesitzer. Ein kompromittierter Webserver kann damit zum Beispiel nicht einfach auf die Passwortdatenbank zugreifen, selbst wenn er als root läuft.<br />
<br />
Dieses Prinzip nennt sich '''Mandatory Access Control (MAC)'''.<br />
<br />
== Wie funktioniert das? ==<br />
<br />
SELinux weist jedem Objekt im System einen '''Kontext''' zu – Dateien, Prozessen, Ports und Sockets bekommen ein Etikett. Dieser Kontext hat die Form:<br />
<br />
<syntaxhighlight lang="bash"><br />
user:role:type:level<br />
</syntaxhighlight><br />
<br />
In der Praxis ist vor allem der '''Typ''' entscheidend, z. B. <code>httpd_sys_content_t</code> für Webserver-Inhalte oder <code>sshd_exec_t</code> für den SSH-Daemon.<br />
<br />
Eine zentrale Richtlinie (Policy) definiert dann, welche Typen miteinander kommunizieren dürfen. Alles, was nicht explizit erlaubt ist, wird blockiert.<br />
<br />
== Die drei Modi ==<br />
<br />
SELinux kennt drei Betriebsmodi:<br />
<br />
{| class="wikitable"<br />
! Modus !! Verhalten<br />
|-<br />
| '''Enforcing''' || SELinux ist aktiv. Verstöße werden blockiert und protokolliert.<br />
|-<br />
| '''Permissive''' || SELinux ist passiv. Verstöße werden nur protokolliert, aber nicht blockiert. Nützlich zur Fehlersuche.<br />
|-<br />
| '''Disabled''' || SELinux ist vollständig deaktiviert. Nicht empfohlen.<br />
|}<br />
<br />
Den aktuellen Modus zeigt:<br />
<br />
<syntaxhighlight lang="bash"><br />
getenforce<br />
</syntaxhighlight><br />
<br />
== Wichtig zu wissen ==<br />
<br />
SELinux ist kein Ersatz für klassische Linux-Berechtigungen – beide Systeme greifen gleichzeitig. Eine Datei muss also sowohl die normalen Dateiberechtigungen als auch den passenden SELinux-Kontext haben, damit ein Prozess darauf zugreifen kann.<br />
<br />
Viele Probleme mit Diensten unter Rocky Linux haben SELinux als Ursache. Der erste Schritt bei der Fehlersuche ist daher immer ein Blick in die SELinux-Logs:<br />
<br />
<syntaxhighlight lang="bash"><br />
ausearch -m avc -ts recent<br />
</syntaxhighlight><br />
<br />
== Siehe auch ==<br />
<br />
* [[SELinux Cheat Sheet]]<br />
* [[Rocky Linux 10]]<br />
* [[Firewall (nftables)]]<br />
<br />
[[Kategorie:Rocky Linux]]<br />
[[Kategorie:Sicherheit]]<br />
[[Kategorie:SELinux]]</div>Thomas.will