March 7, 2026

SELinux aktivieren und verstehen: Setup für mehr Sicherheit

SELinux (Security-Enhanced Linux) ist ein Mandatory Access Control (MAC)-System, das Linux-Servern eine zusätzliche Sicherheitsebene bietet. Im Gegensatz zu klassischen Discretionary Access Controls (DAC) erzwingt SELinux Richtlinien, die den Zugriff auf Dateien, Prozesse und Netzwerkressourcen strikt regeln. Ein korrekt konfigurierter SELinux-Modus schützt vor Fehlkonfigurationen, Malware und unautorisierten Zugriffen und ist insbesondere in Unternehmens- und Telco-Umgebungen essenziell.

Grundlagen von SELinux

SELinux basiert auf drei zentralen Komponenten: Policies, Contexts und Modes. Policies definieren die Regeln, welche Aktionen erlaubt oder verboten sind. Jeder Prozess und jede Datei besitzt einen Security Context, der aus Benutzer, Rolle und Typ besteht. Der Modus bestimmt, wie SELinux diese Regeln durchsetzt.

  • Type Enforcement (TE): Hauptmechanismus zur Zugriffskontrolle auf Dateien und Prozesse
  • Role-Based Access Control (RBAC): Zuweisung von Rollen an Benutzer, um deren Rechte einzuschränken
  • Multi-Level Security (MLS): Optionale Klassifizierung von Daten mit Sensitivitätsstufen

SELinux-Modi

SELinux kann in drei Modi betrieben werden:

  • Enforcing: SELinux-Regeln werden strikt durchgesetzt. Nicht erlaubte Aktionen werden blockiert.
  • Permissive: SELinux protokolliert Verstöße, blockiert sie jedoch nicht. Ideal für Test und Debugging.
  • Disabled: SELinux ist komplett deaktiviert. Keine Zugriffskontrolle erfolgt.

Prüfen des SELinux-Status

Vor der Aktivierung sollte der aktuelle Status geprüft werden, um sicherzustellen, dass Policies und Tools korrekt installiert sind.

# SELinux-Status prüfen
sestatus

Alternativ


getenforce

SELinux aktivieren

Auf den meisten Enterprise-Linux-Distributionen ist SELinux bereits installiert. Die Aktivierung erfolgt über die Konfigurationsdatei /etc/selinux/config:

sudo nano /etc/selinux/config

Konfiguration


SELINUX=enforcing

SELINUXTYPE=targeted


Speichern und Neustart


sudo reboot

Die Option SELINUXTYPE=targeted aktiviert die Standard-Policy, die kritische Dienste wie SSH, HTTP und Datenbanken absichert.

SELinux-Kontexte verstehen

Jede Datei und jeder Prozess besitzt einen Security Context. Typische Kontextkomponenten:

  • user: SELinux-Benutzer (z. B. system_u, unconfined_u)
  • role: Rolle des Prozesses (z. B. system_r, object_r)
  • type: Typ, der den Zugriff definiert (z. B. sshd_t, httpd_sys_content_t)

Kontext eines Prozesses oder einer Datei anzeigen:

# Datei-Kontext
ls -Z /etc/ssh/sshd_config

Prozess-Kontext


ps -eZ | grep sshd

Typische SELinux-Policies

Die wichtigsten Policies im Serverbetrieb umfassen:

  • targeted: Standardpolicy, schützt kritische Dienste
  • mls: Mandatory Multi-Level Security, geeignet für hochsensible Daten
  • minimum: Minimalinstallation, wenige Regeln

Die Auswahl richtet sich nach Sicherheitsanforderungen und Komplexität der Umgebung.

Fehleranalyse und Troubleshooting

Fehler oder Zugriffsprobleme werden in /var/log/audit/audit.log protokolliert. Tools zum Debuggen:

# Audit Logs analysieren
ausearch -m avc -ts today

Verstöße zusammenfassen


sealert -a /var/log/audit/audit.log

Bei notwendigen Ausnahmen können Booleans aktiviert werden:

# HTTPD darf Netzwerkzugriff erhalten
sudo setsebool -P httpd_can_network_connect 1

Best Practices für SELinux

  • Im Enforcing-Modus betreiben, sobald die Umgebung getestet wurde
  • Regelmäßig Audit-Logs prüfen und bei Fehlkonfigurationen Booleans anpassen
  • Nur notwendige Ausnahmen definieren, um die Angriffsfläche minimal zu halten
  • Policies versionieren und dokumentieren
  • Neue Dienste zunächst im Permissive-Modus testen

Fazit

SELinux bietet eine robuste Sicherheitsarchitektur für Linux-Server, die über klassische Benutzerrechte hinausgeht. Durch das Verständnis von Modi, Policies und Kontexten lässt sich ein sicherer Betrieb gewährleisten, Fehlkonfigurationen vermeiden und die Angriffsfläche reduzieren. Ein systematisches Vorgehen – prüfen, aktivieren, testen, Auditieren – sorgt dafür, dass SELinux effektiv schützt, ohne den Serverbetrieb zu beeinträchtigen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host