SELinux richtig nutzen

Sicherheit geht vor

Viele Linux-Tutorials im Internet beginnen mit dem Satz "Schalten Sie SELinux aus" – doch genau das sollten Administratoren auf produktiven Systemen besser nicht. Wir stellen das Linux-Security-Framework vor und verraten Ihnen, wie Ihre Anwendungen gesichert und zuverlässig mit aktiviertem SELinux laufen.
Die Rechner der Mitarbeiter stehen an vorderster Front in Sachen IT-Security. Im Oktober-Heft befassen wir uns deshalb mit dem Schwerpunkt "Endpoint Security". ... (mehr)

Zugegeben, es kann einem ganz schön auf den Geist gehen, wenn ein frisch konfigurierter Dienst nicht so läuft, wie er es sollte, und sich erst nach langer Suche herausstellt, dass ein Fehler in der SELinux-Konfiguration dafür verantwortlich war. Viele Administratoren greifen daher gleich von Vornherein zum eigentlich letzten Mittel: SELinux ausschalten. Immer wieder stellen sie die Frage: Wozu braucht es das überhaupt?

Wenn UGO nicht mehr genügt

Das grundlegende Sicherheitssystem von Linux weist jeder Datei, jedem Verzeichnis und allen Geräten gewisse Basisattribute zu: Wem gehört die Entität und wie dürfen andere Nutzer darauf zugreifen? Für "User", "Group" und "Other" kann der Eigentümer die Attribute "Read", "Write" und "Execute" vergeben. Nur Dateien mit dem Execute-Flag dürfen als Programme ausgeführt werden. Zudem gibt es die Sonderregel: Nutzer können nur in ein Verzeichnis mit "Execute"-Flag wechseln. Wer kein "X" am Directory sieht, kommt nicht rein. Zudem gibt es weitere Sonder-attribute wie das "SUDO"-Flag, das ausgewählten Nutzern oder Gruppenmitgliedern erlaubt, einen "S"-markierten Dienst mit Root-Rechten auszuführen.

Das simple, alte Sicherheitssystem alleine reicht schon lange nicht mehr für komplexere Aufgaben. Wenn mehr als nur eine Gruppe auf eine Datei zugreifen sollen, verwenden Linux-Dateisysteme sogenannte "Extended Attributes". Mit deren Hilfe können Administratoren Dateien und Verzeichnisse mehreren Usern oder Gruppen zuweisen. Ein Beispiel:

touch test1.txt
getfacl test1.txt
# file: test1.txt
# owner: ast
# group: ast
user::rw-
group::rw-
 ...
                

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021