https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Selinux_mit_Rocky
Selinux mit Rocky - Versionsgeschichte
2026-06-28T18:33:32Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Selinux_mit_Rocky&diff=70285&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= SELinux = SELinux (Security-Enhanced Linux) ist ein Sicherheitsmodul im Linux-Kernel das eine zusätzliche Zugriffssteuerung über die klassischen Unix-Rech…“
2026-05-20T11:28:41Z
<p>Die Seite wurde neu angelegt: „= SELinux = SELinux (Security-Enhanced Linux) ist ein Sicherheitsmodul im Linux-Kernel das eine zusätzliche Zugriffssteuerung über die klassischen Unix-Rech…“</p>
<p><b>Neue Seite</b></p><div>= SELinux =<br />
<br />
SELinux (Security-Enhanced Linux) ist ein Sicherheitsmodul im Linux-Kernel das eine zusätzliche Zugriffssteuerung über die klassischen Unix-Rechte hinaus implementiert. Es wurde ursprünglich von der NSA entwickelt und ist unter Rocky Linux standardmäßig aktiv.<br />
<br />
Der entscheidende Unterschied zu klassischen Dateiberechtigungen: Selbst wenn ein Prozess die nötigen Unix-Rechte hat, kann SELinux den Zugriff trotzdem verweigern. SELinux entscheidet anhand von Sicherheitskontexten wer auf was zugreifen darf – nicht anhand von Benutzer und Gruppe.<br />
<br />
= Modi =<br />
<br />
SELinux kennt drei Betriebsmodi:<br />
<br />
{| class="wikitable"<br />
! Modus !! Beschreibung<br />
|-<br />
| enforcing || SELinux ist aktiv und blockiert verbotene Zugriffe – Standard unter Rocky Linux<br />
|-<br />
| permissive || SELinux protokolliert Verstöße aber blockiert nichts – nützlich zur Fehlersuche<br />
|-<br />
| disabled || SELinux ist komplett deaktiviert – nicht empfohlen<br />
|}<br />
<br />
== Aktuellen Modus anzeigen ==<br />
* getenforce<br />
Enforcing<br />
* sestatus<br />
SELinux status: enabled<br />
SELinuxfs mount: /sys/fs/selinux<br />
SELinux mount point: /sys/fs/selinux<br />
Loaded policy name: targeted<br />
Current mode: enforcing<br />
Mode from config file: enforcing<br />
<br />
== Modus temporär wechseln ==<br />
;Gilt nur bis zum nächsten Reboot – nützlich zur schnellen Fehlersuche<br />
* setenforce 0<br />
# Wechsel zu permissive<br />
* setenforce 1<br />
# Zurück zu enforcing<br />
<br />
== Modus dauerhaft setzen ==<br />
;Die dauerhafte Konfiguration liegt in /etc/selinux/config<br />
* vi /etc/selinux/config<br />
<pre><br />
SELINUX=enforcing<br />
SELINUXTYPE=targeted<br />
</pre><br />
<br />
;Nach einer Änderung ist ein Reboot nötig<br />
<br />
= Sicherheitskontexte =<br />
<br />
Jede Datei, jeder Prozess und jeder Port hat unter SELinux einen Sicherheitskontext. Der Kontext besteht aus vier Teilen:<br />
<br />
system_u:object_r:httpd_sys_content_t:s0<br />
│ │ │ │<br />
│ │ │ └── Sensitivity Level<br />
│ │ └── Typ – das wichtigste Feld<br />
│ └── Rolle<br />
└── Benutzer<br />
<br />
;Der Typ ist entscheidend – SELinux entscheidet anhand des Typs ob ein Prozess auf eine Datei zugreifen darf. httpd darf nur auf Dateien mit dem Typ httpd_sys_content_t zugreifen.<br />
<br />
== Kontexte anzeigen ==<br />
;Dateien<br />
* ls -Z /var/www/html<br />
system_u:object_r:httpd_sys_content_t:s0 index.html<br />
;Prozesse<br />
* ps -eZ | grep httpd<br />
system_u:system_r:httpd_t:s0 httpd<br />
;Ports<br />
* semanage port -l | grep http<br />
http_port_t tcp 80, 443, 8008, 8009, 8443<br />
<br />
= Kontexte setzen und verwalten =<br />
<br />
== Kontext temporär ändern ==<br />
;Gilt bis zum nächsten restorecon oder Relabeling<br />
* chcon -t httpd_sys_content_t /var/www/meinseite/index.html<br />
;Rekursiv für ein Verzeichnis<br />
* chcon -Rt httpd_sys_content_t /var/www/meinseite<br />
<br />
== Kontext dauerhaft setzen ==<br />
;restorecon setzt den Kontext auf den in der Policy definierten Standardwert zurück<br />
;Damit chcon dauerhaft wirkt muss der Standardkontext in der Policy angepasst werden<br />
* semanage fcontext -a -t httpd_sys_content_t "/var/www/meinseite(/.*)?"<br />
* restorecon -Rv /var/www/meinseite<br />
<br />
== Kontext wiederherstellen ==<br />
;Setzt alle Kontexte auf die Policy-Standardwerte zurück<br />
* restorecon -Rv /var/www/html<br />
<br />
== Gesamtes System neu labeln ==<br />
;Nach dem Deaktivieren und Wiederaktivieren von SELinux müssen alle Kontexte neu gesetzt werden<br />
* touch /.autorelabel<br />
* reboot<br />
<br />
= Booleans =<br />
<br />
Booleans sind Ein/Aus-Schalter in der SELinux-Policy – sie erlauben es bestimmte Verhaltensweisen ohne Änderung der Policy zu aktivieren oder deaktivieren.<br />
<br />
== Booleans anzeigen ==<br />
;Alle Booleans<br />
* getsebool -a<br />
;Nur httpd-Booleans<br />
* getsebool -a | grep httpd<br />
<br />
== Boolean setzen ==<br />
;Temporär – bis zum nächsten Reboot<br />
* setsebool httpd_can_network_connect on<br />
;Dauerhaft<br />
* setsebool -P httpd_can_network_connect on<br />
<br />
== Wichtige Booleans ==<br />
<br />
{| class="wikitable"<br />
! Boolean !! Beschreibung<br />
|-<br />
| httpd_can_network_connect || Apache darf Netzwerkverbindungen aufbauen (z.B. für Proxying)<br />
|-<br />
| httpd_can_network_connect_db || Apache darf Datenbankverbindungen aufbauen<br />
|-<br />
| httpd_use_nfs || Apache darf auf NFS-Shares zugreifen<br />
|-<br />
| samba_enable_home_dirs || Samba darf Home-Verzeichnisse freigeben<br />
|-<br />
| ldap_can_access_certs || LDAP darf auf Zertifikate außerhalb seiner Verzeichnisse zugreifen<br />
|-<br />
| ssh_sysadm_login || SSH erlaubt Login als sysadm_r Rolle<br />
|}<br />
<br />
= Ports =<br />
<br />
;SELinux kontrolliert auch auf welchen Ports Dienste lauschen dürfen – ein Webserver darf standardmäßig nur auf http_port_t lauschen<br />
<br />
== Erlaubte Ports anzeigen ==<br />
* semanage port -l | grep http<br />
* semanage port -l | grep ssh<br />
<br />
== Port hinzufügen ==<br />
;Apache soll zusätzlich auf Port 8080 lauschen dürfen<br />
* semanage port -a -t http_port_t -p tcp 8080<br />
<br />
== Port entfernen ==<br />
* semanage port -d -t http_port_t -p tcp 8080<br />
<br />
= Fehlersuche =<br />
<br />
== Blockaden anzeigen ==<br />
;Alle SELinux-Blockaden seit dem letzten Boot<br />
* ausearch -m avc -ts recent<br />
;Live mitverfolgen<br />
* tail -f /var/log/audit/audit.log | grep AVC<br />
<br />
== sealert ==<br />
;sealert analysiert AVC-Meldungen und gibt konkrete Lösungsvorschläge<br />
* dnf install -y setroubleshoot-server<br />
* sealert -a /var/log/audit/audit.log<br />
<br />
== audit2allow ==<br />
;Generiert eine SELinux-Policy aus AVC-Meldungen – letztes Mittel wenn nichts anderes hilft<br />
* ausearch -m avc -ts recent | audit2allow -M meinmodul<br />
* semodule -i meinmodul.pp<br />
<br />
;Vorsicht: audit2allow erlaubt alles was in den AVC-Meldungen steht – nur verwenden wenn man weiß was man tut<br />
<br />
= Typische Fehler im Labor =<br />
<br />
{| class="wikitable"<br />
! Situation !! Problem !! Lösung<br />
|-<br />
| Apache liefert 403 obwohl Rechte stimmen || Falscher SELinux-Kontext auf dem Verzeichnis || chcon -Rt httpd_sys_content_t /var/www/...<br />
|-<br />
| slapd kann Zertifikat nicht lesen || SELinux blockiert Zugriff auf /etc/ssl/ || setsebool -P ldap_can_access_certs 1<br />
|-<br />
| named kann Zone nicht laden || Zonendatei liegt nicht unter /var/named || Datei nach /var/named verschieben<br />
|-<br />
| SSH lauscht nicht auf neuem Port || Port nicht in SELinux-Policy || semanage port -a -t ssh_port_t -p tcp XXXX<br />
|}</div>
Thomas.will