Teilnahmeanfrage

Dieses Training baut auf SELinux 1 – Grundlagen und Administration auf und vertieft das Wissen zur praktischen Arbeit mit SELinux. Sie lernen, wie man SELinux im Alltag sicher einsetzt, Policies versteht und gezielt anpasst. Ein Schwerpunkt liegt dabei auf dem praktischen Umgang mit Diagnose- und Analysetools, mit denen sich das Policy-Regelwerk nachvollziehen, erweitern und auf eigene Anforderungen abstimmen lässt.

Das Seminar wird auf einem aktuellen RHEL- bzw. Rocky-Linux-System durchgeführt.

Arbeiten mit Security Contexts

• Interpretation von SELinux Context Types
• Standardverhalten beim Verschieben/Kopieren von Dateien (mv, cp)
• restorecond und Label-Management
• SELinux-Optionen bei mv, cp, mkdir, tar, rsync

Extended Attributes (xattr)

• Namespaces: security, system, trusted, user
• Verwaltung mit getfattr / setfattr
• Analyse mit strace (stat, fstat, getxattr …)
• Backup & Restore von Extended Attributes mit tar
• Kopieren von xattr mit rsync

Verwaltung von Security & File Contexts

• Context setzen mit chcon und chcat
• Verhalten bei Dateisystemen ohne xattr-Unterstützung
• Mount-Optionen für SELinux
• Aufbau und Regeln von File Contexts (Regex, Klassen, Labels)
• Kontextanalyse mit matchpathcon
• Unterschiede: chcon vs. semanage
• restorecon, setfiles, fixfiles zur Fehlerkorrektur
• Export/Import lokaler Anpassungen mit semanage
• Named File Transition Rules und restorecond-Konfiguration

SELinux und Systemdienste

• Systemd und temporäre Verzeichnisse (tmpfiles)
• Kontextvergabe durch Systemd
• Analyse von Prozessanfragen mit strace

Benutzer- und Rollenverwaltung

• SELinux User- und Role-Mapping
• seinfo zur Analyse von Rollen und Prozessen
• Rollen in der Targeted Policy (Aufgaben, Berechtigungen)
• Linux-User ? SELinux-User Mapping
• Eigene SELinux-User erstellen
• Rollenwechsel mit newrole
• sudo und runcon im Zusammenspiel mit SELinux

Kategorien (MCS)

• Planung und Definition eigener Kategorien
• Übersetzungen mit setrans / mcstransd
• Verwaltung mit chcon und chcat

Arbeiten mit Rollen und Policies

• Standardrollen definieren
• Default Contexts verwalten
• Boolean-Anpassungen für Rollen
• Policy capabilities, Constraints, NNP (No New Privileges)
• Kontrolle von Domain-Transitions und Memory Protection

PAM-Integration

• Überblick PAM-Architektur
• Einsatz relevanter Module: pam_selinux.so, pam_sepermit.so, pam_namespace.so, pam_oddjob_mkhomedir.so

Automatisierung mit Ansible & Salt

• Basis-Setups für SELinux mit Ansible & Salt
• Kontextverwaltung im Dateisystem
• Verteilen von Custom Policies
• Überblick nativer SELinux-Module

SELinux und Container

• Podman mit SELinux im Testeinsatz
• MCS-Verhalten bei Containern und Volumes
• Korrekte Label für Shared Volumes
• Container Domain Transitions analysieren
• Policies für Container mit udica erstellen
• Unterschiede: unconfined_t vs. spc_t