SELinux (Security-Enhanced Linux) ist ein mächtiges Mandatory Access Control (MAC)-System, das Linux-Server gegen unautorisierte Zugriffe und Missbrauch absichert. Der Einsatz im Enforcing-Modus bietet maximalen Schutz, birgt jedoch das Risiko, dass Dienste blockiert werden, wenn Policies nicht korrekt konfiguriert sind. In diesem Tutorial zeigen wir praxisnahe Strategien, um SELinux von Anfang an korrekt einzurichten, ohne dass Produktivität verloren geht.

Grundlagen von SELinux

SELinux operiert mit kontextbasierten Labels, Regeln und Rollen, die den Zugriff auf Dateien, Prozesse und Netzwerkdienste steuern. Die Hauptmodi sind:

• Enforcing: Richtlinien werden strikt durchgesetzt.
• Permissive: Verstöße werden protokolliert, aber nicht blockiert.
• Disabled: SELinux ist deaktiviert.

Für Produktionssysteme sollte Enforcing das Ziel sein, während Permissive als Übergangsmodus dient.

SELinux Installation und Statusprüfung

Moderne Linux-Distributionen wie RHEL, CentOS oder Fedora haben SELinux bereits installiert. Prüfen Sie den Status mit:

sestatus
getenforce

Die Ausgabe zeigt, ob SELinux aktiv ist und welcher Modus aktuell gilt.

Policy-Management

SELinux verwendet Policies, die definieren, welche Aktionen Prozesse auf welche Ressourcen ausführen dürfen. Die wichtigsten Policy-Typen sind:

• Targeted: Standardrichtlinie, schützt kritische Dienste wie HTTPD, SSH und MySQL.
• MLS / MCS: Multi-Level-Policies für hochsensible Umgebungen.

Policy-Module verwalten

# Liste aller installierten Module
semodule -l
Modul hinzufügen
semodule -i mymodule.pp
Modul entfernen
semodule -r mymodule

Schrittweise Enforcing-Einführung

Ein direktes Umschalten auf Enforcing kann Dienste blockieren. Empfohlen wird folgender Ansatz:

• System im Permissive-Modus starten:

setenforce 0

Alle Verstöße protokollieren und analysieren:

ausearch -m avc -ts today

Benötigte Booleans und Policy-Anpassungen vornehmen:

# HTTPD Zugriff auf Home-Verzeichnisse erlauben
setsebool -P httpd_enable_homedirs on

Nach Bereinigung auf Enforcing wechseln:

setenforce 1

SELinux Booleans für flexible Anpassungen

Booleans erlauben temporäre Anpassungen von SELinux-Richtlinien ohne die Notwendigkeit, Policies zu kompilieren. Beispiele:

• httpd_can_network_connect: Erlaubt HTTPD ausgehende Verbindungen.
• ftp_home_dir: FTP-Zugriff auf Home-Verzeichnisse erlauben.

getsebool -a          # Alle Booleans anzeigen
setsebool -P boolean_name on/off  # Persistent setzen

Fehlersuche und Audit-Logs

AVC-Meldungen (Access Vector Cache) liefern Informationen zu blockierten Aktionen:

ausearch -m avc -ts today
journalctl -t setroubleshoot

Tools wie sealert bieten detaillierte Hinweise zur Behebung von Policy-Verstößen.

Custom Policies erstellen

Für eigene Anwendungen oder Dienste, die nicht standardmäßig abgedeckt sind, sollten maßgeschneiderte Module erstellt werden.

# Policy aus Audit-Log generieren
audit2allow -a -M my_custom_module
Modul laden
semodule -i my_custom_module.pp

Integration in Setup-Pipeline

Um Enforcing von Anfang an produktiv zu nutzen:

• Systeminstallation mit Permissive starten.
• Automatisches Auslesen von AVC-Verstößen in den ersten Stunden/Tagen.
• Automatisierte Policy-Generierung via audit2allow für bekannte Dienste.
• Booleans zentral über Konfigurationsmanagement setzen (Ansible, Puppet).
• Schrittweise auf Enforcing umschalten und Monitoring aktivieren.

Best Practices

• Immer Permissive-Testphase einplanen, bevor Enforcing aktiviert wird.
• Regelmäßig Audit-Logs prüfen und Policies anpassen.
• Booleans nur gezielt einsetzen, um Sicherheitsniveau nicht zu reduzieren.
• Custom Policies versionieren und automatisiert deployen.
• Monitoring und Alerting für SELinux-Verstöße aktiv betreiben.

Fazit

SELinux Enforcing erhöht die Sicherheit signifikant, wenn es sorgfältig geplant und integriert wird. Durch den Einsatz von Permissive-Testphasen, Booleans, Custom Policies und systematischer Überwachung lassen sich Produktivitätseinbußen vermeiden, während Compliance und Schutz der Serverinfrastruktur gewährleistet sind.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.