Du bist nicht angemeldet.

#1 23.09.2020 11:15:40

tapsiturtle
Mitglied

SELinux - Minimale Installation

Moin,

ich würde mich gerne mal an SELinux rantasten. Jetzt werde ich nur nicht so ganz Schlau aus dem Wiki Eintrag: https://wiki.archlinux.org/index.php/SE … ng_SELinux
Der Standard Kernel hat die nötigen Konfigurationsoptionen, muss aber beim Booten noch "selinux=1 security=selinux" übergeben bekommen. Muss ich dann all die  Pakete aus dem AUR auch gleich installieren oder reicht es im ersten Schritt den Kernel mit den Paramtern zu booten? Ich würde dann gerne ein Programm nach dem anderen testen ob das dann noch läuft bevor ich gleiche alle Pakete ersetze.

Offline

#2 23.09.2020 13:06:09

frostschutz
Mitglied

Re: SELinux - Minimale Installation

Wenn du SELinux lernen möchtest, setz dir ein eigenes Testsystem dafür auf. Datenverlust möglich.

Beitrag geändert von frostschutz (23.09.2020 13:06:43)

Offline

#3 23.09.2020 14:06:22

schard
Moderator

Re: SELinux - Minimale Installation

Ich wage mal die Aussage, dass es fürs Antesten von SELinux vielleicht am besten ist, CentOS in einer VM aufzusetzen, da dies standardmäßig damit kommt.
Als ehemaliger CentOS Nutzer kann ich aber sagen, dass SELinux meiner Erfahrung nach ein Negativbeispiel dafür ist, dass akzeptable Sicherheit Usability nicht beeinträchtigen sollte.
Obgleich CentOS bereits sehr gut vorkonfigurierte Policies mitliefert, musste ich früher oft ellenlang Fehler analysieren um dann festzustellen, dass irgendeine Policy fehlte oder falsch konfiguriert war.
Ob der damit einhergehende zusätzliche Wartungsaufwand und die Fehleranfälligkeit bei Paketupdates (nach welchen nicht selten SELinux Policy und Program nicht mehr Kompatibel sind) die erhöhte Sicherheit rechtfertigen ist sicher streitbar und vom Kontext abhängig.
Im Privatbereich und bei nicht-KRITIS Unternehmen würde ich dies aber aus meiner Erfahrung verneinen.

Offline

#4 23.09.2020 16:01:49

tapsiturtle
Mitglied

Re: SELinux - Minimale Installation

Danke für die Rückmeldungen. Ich werde das dann mal über eine VM machen. Ob nun Arch oder CentOS schaue ich mal aber testen bzw. damit "rumspielen" möchte ich auf jeden Fall mal.

Offline

#5 23.09.2020 17:13:42

Gerry_Ghetto
Mitglied

Re: SELinux - Minimale Installation

Bei CentOS sind die Pakete schon mal richtig konfiguriert. Spannend wird es dann, wenn die Speicherorte eines Programms vom Standard abweichen (beispielsweise die Datenbankdaten auf einer separaten Festplatte sind).

Am Anfang würde ich mit dem "Permissive" Modus arbeiten und schön fleissig die Logdateien durchforsten.

Es kann auch sein, dass beispielsweise rsync funktioniert, wenn du es in der Konsole ausführst, aber dann später als Dienst mit systemd nicht mehr. Und den einzigen Hinweis findest du in den audit logs (, wenn ich mich richtig entsinne).

Offline

#6 23.09.2020 19:00:08

chepaz
Mitglied

Re: SELinux - Minimale Installation

Gerry_Ghetto schrieb:

Am Anfang würde ich mit dem "Permissive" Modus arbeiten und schön fleissig die Logdateien durchforsten.

IIRC gab/gibt es auch irgendwelche grafischen Helper die einem direkt zur Laufzeit irgendwelche Notifications auf den Desktop knallen. Das kann vielleicht zum Spielen auch ganz interessant sein, ist ja erstmal nur eine Spielwiese, da stört ein laufendes X keinen.
Ich schliesse mich bei SELinux schard an. SE kann eine richtige Bi§$% sein. Allerdings war das m.W. nie für Normalanwender gedacht, nur für besonders paranoide Umgebungen. Darum würde ich ebenfalls zu CentOS greifen - wenn du SE richtig einsetzen willst kaufst du i.d.R. auch ein RedHat mit Support.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums