SELinux 1 - Grundlagen und Administration

SELinux (Security-Enhanced Linux) ist eine Sicherheitsarchitektur des Linux-Kernels, die ein deutlich erweitertes Sicherheitsmodell bereitstellt. Anders als die klassischen Dateirechte (Discretionary Access Control, DAC) folgt SELinux dem Prinzip: "Alles, was nicht ausdrücklich erlaubt ist, ist verboten." Dadurch kann selbst ein Angreifer mit Root-Rechten daran gehindert werden, das System nachhaltig zu kompromittieren.

Entwickelt wurde SELinux von der National Security Agency (NSA) in Zusammenarbeit mit Red Hat. Es gilt als das älteste und zugleich ausgereifteste Mandatory-Access-Control-System (MAC), das fest im Linux-Kernel verankert ist. Viele Sicherheitsstandards und Zertifizierungen verlangen mittlerweile, dass ein gehärtetes Linux-System nicht nur auf DAC, sondern zusätzlich auf ein MAC-System setzt.

Aus diesem Grund liefern zahlreiche Linux-Distributionen – darunter Red Hat Enterprise Linux, CentOS, Rocky Linux, Fedora sowie SUSE Linux Enterprise Server 16 – SELinux bereits standardmäßig aktiviert aus. Für Administratoren von Linux- und Android-Systemen gehören fundierte Kenntnisse im Umgang mit SELinux daher zum unverzichtbaren Grundlagenwissen.

Dieser Kurs wird auf einem aktuellen RHEL-/Rocky-System durchgeführt.

Kursinhalte

• Überblick Linux Access Control Systeme
  
  • Discretionary Access Control (DAC) System
  • Mandatory Access Control (MAC) System
  • Multi Level Security (MLS) System
  • Role Based Access Control (RBAC) System
  • Schwachstellen von DAC geschützten Systemen
  • Vorteile von MAC geschützten Systemen
• Linux Kernel Security Modules (LSM) Framework
  
  • Arbeitsweise des LSM-Hooks
  • Überblick Major und Minor LSM Module (SELinux, AppArmor, BPF, Capabilities, ...)
  • Auswahl der gewünschten LSM-Module beim Systemstart
• Überblick Mandatory Access Control (MAC) Systeme
  
  • Vorteile eines Mandatory Access Control Systems
  • LSM - Multi-Level Security (MLS)
  • LSM - Multi-Category Security (MCS)
  • LSM - Linux Capabilities (CAP_*)
  • Funktionsunterschiede der MAC Systeme SELinux und AppArmor
• Linux Capabilities (CAP_*)
  
  • Prozesse und ihre Capabilities Bitmaps (Einstellungen)
  • Aufgaben der ~20 wichtigsten Linux Capabilities
  • Verwalten der Capabilities (setcap, getcap, pscap, netcap, pam_cap ...)
• Security-Enhanced Linux (SELinux) Sicherheitsmodelle
  • Sicherheitsvorteile durch SELinux
  • FLASK Security Architecture (Label, Object Manager, Security Server, AVC)
  • Grundlagen SELinux Security Context (user:role:type:level)
  • Arbeitsweise des Type Enforcements (TE)
  • Probleme des Type Enforcements
  • Arbeitsweise des Multi-Category Security (MCS) Enforcements
  • Bell-LaPadula Modell
  • Arbeitsweise des Multi-Level Security (MLS) Enforcements
  • Einsatzgebiete von MLS und MCS
• SELinux Grundlagen
  • Verfügbare Software Pakete auf RHEL
  • Verzeichnisstruktur und Konfigurationsdateien
  • SELinux Policy Dokumentation
  • Modul Ablagestruktur und Prioritäten
  • SELinux Betriebsmodi (enforcing, permissive)
  • Gängige Kommandos (seinfo, sestatus, getenforce, setenforce, ...)
  • Access Vector Cache (AVC)
  • SELinux Users, Roles und Prozess Domains
  • Domain Transition und Domain Vererbung
• Überblick Grafische Verwaltungswerkzeuge
  • system-config-selinux
  • sealert -b
  • apol
• Überblick Kommandozeilen basierende Verwaltung
  • semanage (lgin, user, port, fcontext, boolean, ...)
  • sestatus
  • sesearch
  • chcon
  • restorecon
  • seinfo
  • getenforce
• SELinux Security Context im Detail
  • SELinux User
  • SELinux Role
  • SELinux Type
  • SELinux Level (sensitivity:category)
  • Domaintransition
  • Security Contexte für Prozesse und Benutzer
  • Aufbau von allow Rules (source, destination, class, permission
  • Verwalten von MCS Kategorien mit chcat
  • Übersetzen von Kategorien mit mcstransd
  • Nachträgliches aktivieren von SELinux
• Grundlagen Targeted Policy
  • Manipulieren des SELinux Status
  • Policy Module mit semodule Verwalten
  • Lokale Anpassungen mit semanage exportieren und importieren
  • Verwalten von Service Einstellungen mit Booleans
  • Security Context (fcontext) einer Datei ändern
  • Reparieren von falschen Labeln mit restorecon
  • Reparieren von falschen Labeln mit fixfiles
  • Aufbau und Analyse von Zugriffsverletzungen im Audit Log
  • Arbeiten mit dontaudit Rules
  • Boolean Regeln analysieren mit sesearch
• Praktische Konfigurationsbeispiele
  • Beispiel: Targeted Policy Confined Processes
  • Beispiel: Targeted Policy Unconfined Processes
  • Beispiel: Targeted Policy Permissive Mode einer Domain
  • Beispiel: Targeted Policy und erlaubte Ports
  • Beispiel: Targeted Policy Confined & Unconfined Users
  • Beispiel: Targeted Policy und Apache Einstellungen
  • Beispiel: Targeted Policy und vsftpd Einstellungen
  • Beispiel: Targeted Policy und rsyslog Einstellungen

Empfohlene Vorkenntnisse

Diese Schulung richtet sich an alle Teilnehmer mit Administrationserfahrungen im Linux Bereich, wie sie in unserem Kurs "Linux 2 - System Administration" vermittelt werden.

Details zu diesem Open Source Training

Den Kurstermin 16.04.26 - 17.04.26 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

Kurspreis

EUR 1.590,00

Kursart

Classroom (Präsenztraining) Live (Videokonferenz)

Firmenname

UID

Bestellnummer

Bestellername

Aktionscode

Rechnungsadresse

PLZ

Ort

Land

Teilnehmername

Anrede

Herr Frau

Telefon

eMail

Anmerkung

AGB

Hiermit bestätige ich das ich die AGB gelesen und akzeptiert habe

1 Kursvariante

2 Anmeldedetails

Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema