SELinux: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''SELinux''' - | '''SELinux''' - Security-Enhanced Linux | ||
== Beschreibung == | == Beschreibung == | ||
; Security-Enhanced Linux | |||
* „sicherheitsverbessertes Linux“ | |||
* ist eine Erweiterung des [[Linux (Kernel)|Linux-Kernels]] | |||
* die den ersten Versuch darstellt, das [[FLASK]]-Konzept („Flux Advanced Security Kernel“) des US-amerikanischen Geheimdienstes [[National Security Agency|NSA]] umzusetzen | |||
* Es implementiert die [[Zugriffskontrolle]]n auf Ressourcen im Sinne von [[Mandatory Access Control]] | * Es implementiert die [[Zugriffskontrolle]]n auf Ressourcen im Sinne von [[Mandatory Access Control]] | ||
''SELinux'' wurde maßgeblich von der NSA und von dem [[Linux-Distribution|Linux-Distributor]] [[Red Hat]] entwickelt | ''SELinux'' wurde maßgeblich von der NSA und von dem [[Linux-Distribution|Linux-Distributor]] [[Red Hat]] entwickelt | ||
* Unternehmen wie Network Associates, [[Secure Computing|Secure Computing Corporation]] und Tresys sind bzw. waren ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernahm vermehrt Aufgaben am Projekt | * Unternehmen wie Network Associates, [[Secure Computing|Secure Computing Corporation]] und Tresys sind bzw. waren ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernahm vermehrt Aufgaben am Projekt | ||
SELinux ist [[Open Source|Open-Source]]-Software | SELinux ist [[Open Source|Open-Source]]-Software | ||
* setzt sich aus einem Kernel-Patch und aus zahlreichen Erweiterungen für Systemprogramme sowie den [[Policy#Weitere Bedeutung|SELinux-Policies]] zusammen | |||
* Für das Festlegen dieser Regeln, die Zugriffskontrolle auf Ressourcen, bieten einige, nicht alle Linux-Distributionen spezielle SELinux-Policy-Pakete für ihre Distribution an | * Für das Festlegen dieser Regeln, die Zugriffskontrolle auf Ressourcen, bieten einige, nicht alle Linux-Distributionen spezielle SELinux-Policy-Pakete für ihre Distribution an | ||
| Zeile 14: | Zeile 19: | ||
* Die Linux-Distribution ''[[Fedora (Linux-Distribution)|Fedora]]'' (ein durch ''[[Red Hat]]'' gesponsertes Projekt) war die erste Distribution, die standardmäßig SELinux-Unterstützung mitliefert. ''Fedora Core 3'' und ''Red Hat Enterprise Linux 4'' wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert | * Die Linux-Distribution ''[[Fedora (Linux-Distribution)|Fedora]]'' (ein durch ''[[Red Hat]]'' gesponsertes Projekt) war die erste Distribution, die standardmäßig SELinux-Unterstützung mitliefert. ''Fedora Core 3'' und ''Red Hat Enterprise Linux 4'' wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert | ||
* Mittlerweile ist es ebenfalls fester Bestandteil von ''[[AlmaLinux]]'', ''[[Rocky Linux]]'', ''[[Oracle Linux]]'' sowie ''[[CentOS]]'' und ''Hardened [[Gentoo Linux|Gentoo]]'' | * Mittlerweile ist es ebenfalls fester Bestandteil von ''[[AlmaLinux]]'', ''[[Rocky Linux]]'', ''[[Oracle Linux]]'' sowie ''[[CentOS]]'' und ''Hardened [[Gentoo Linux|Gentoo]]'' | ||
* Bei ''[[Ubuntu (Betriebssystem)|Ubuntu]]'', ''[[Debian]]'' und ''[[openSUSE]]'' bzw. ''[[SUSE Linux Enterprise Server|SLES]]'' sind die SELinux-Tools sowie stellenweise auch SELinux-Policies über die Paketverwaltung nachinstallierbar.<ref>{{Internetquelle |url=https://wiki.ubuntu.com/SpecSELinux |titel=SpecSELinux - Ubuntu Wiki |zugriff=2019-01-06}}</ref><ref>{{Internetquelle |url=https://wiki.ubuntu.com/HardySELinux |titel=HardySELinux - Ubuntu Wiki |zugriff=2019-01-06}}</ref> Jedoch kann man nicht immer ausgefeilte Policies wie bei den RHEL-basierten Distributionen erwarten.<ref>{{Internetquelle|url=https://documentation.suse.com/sles/15/html/SLES-all/cha-selinux.html|titel=SUSE Linux Enterprise Server Documentation / Security and Hardening Guide / SELinux / Configuring SELinux|zugriff=2025-02-07}}</ref> Die Implementierung für ''[[Slackware]]'' ist noch in Arbeit | * Bei ''[[Ubuntu (Betriebssystem)|Ubuntu]]'', ''[[Debian]]'' und ''[[openSUSE]]'' bzw. ''[[SUSE Linux Enterprise Server|SLES]]'' sind die SELinux-Tools sowie stellenweise auch SELinux-Policies über die Paketverwaltung nachinstallierbar. | ||
* Mit Einführung von [[Android (Betriebssystem)|Android]] 4.3 wurde auch offiziell der auf dem Linux-Kernel basierende Android-Kernel um SELinux erweitert. | <ref>{{Internetquelle |url=https://wiki.ubuntu.com/SpecSELinux |titel=SpecSELinux - Ubuntu Wiki |zugriff=2019-01-06}}</ref> | ||
<ref>{{Internetquelle |url=https://wiki.ubuntu.com/HardySELinux |titel=HardySELinux - Ubuntu Wiki |zugriff=2019-01-06}}</ref> | |||
Jedoch kann man nicht immer ausgefeilte Policies wie bei den RHEL-basierten Distributionen erwarten. | |||
<ref>{{Internetquelle|url=https://documentation.suse.com/sles/15/html/SLES-all/cha-selinux.html|titel=SUSE Linux Enterprise Server Documentation / Security and Hardening Guide / SELinux / Configuring SELinux|zugriff=2025-02-07}}</ref> Die Implementierung für ''[[Slackware]]'' ist noch in Arbeit | |||
* Mit Einführung von [[Android (Betriebssystem)|Android]] 4.3 wurde auch offiziell der auf dem Linux-Kernel basierende Android-Kernel um SELinux erweitert. | |||
* Zuvor haben bereits Hersteller wie [[HTC Corporation|HTC]] und [[Samsung]] in ihren Smartphone-Modellen die Kernelerweiterung eingesetzt, um erweiterte Sicherheitsfunktionen zu implementieren. | |||
== Werkzeuge == | == Werkzeuge == | ||
Version vom 19. März 2026, 09:31 Uhr
SELinux - Security-Enhanced Linux
Beschreibung
- Security-Enhanced Linux
- „sicherheitsverbessertes Linux“
- ist eine Erweiterung des Linux-Kernels
- die den ersten Versuch darstellt, das FLASK-Konzept („Flux Advanced Security Kernel“) des US-amerikanischen Geheimdienstes NSA umzusetzen
- Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control
SELinux wurde maßgeblich von der NSA und von dem Linux-Distributor Red Hat entwickelt
- Unternehmen wie Network Associates, Secure Computing Corporation und Tresys sind bzw. waren ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernahm vermehrt Aufgaben am Projekt
SELinux ist Open-Source-Software
- setzt sich aus einem Kernel-Patch und aus zahlreichen Erweiterungen für Systemprogramme sowie den SELinux-Policies zusammen
- Für das Festlegen dieser Regeln, die Zugriffskontrolle auf Ressourcen, bieten einige, nicht alle Linux-Distributionen spezielle SELinux-Policy-Pakete für ihre Distribution an
Integration in Linux-Kernel und -Distributionen
SELinux ist seit Linux-2.6.x im Kernel integriert
- Die Linux-Distribution Fedora (ein durch Red Hat gesponsertes Projekt) war die erste Distribution, die standardmäßig SELinux-Unterstützung mitliefert. Fedora Core 3 und Red Hat Enterprise Linux 4 wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert
- Mittlerweile ist es ebenfalls fester Bestandteil von AlmaLinux, Rocky Linux, Oracle Linux sowie CentOS und Hardened Gentoo
- Bei Ubuntu, Debian und openSUSE bzw. SLES sind die SELinux-Tools sowie stellenweise auch SELinux-Policies über die Paketverwaltung nachinstallierbar.
[1] [2] Jedoch kann man nicht immer ausgefeilte Policies wie bei den RHEL-basierten Distributionen erwarten. [3] Die Implementierung für Slackware ist noch in Arbeit
- Mit Einführung von Android 4.3 wurde auch offiziell der auf dem Linux-Kernel basierende Android-Kernel um SELinux erweitert.
- Zuvor haben bereits Hersteller wie HTC und Samsung in ihren Smartphone-Modellen die Kernelerweiterung eingesetzt, um erweiterte Sicherheitsfunktionen zu implementieren.
Werkzeuge
Neben den offiziellen SELinux-Werkzeugen existieren zahlreiche nützliche Werkzeuge, die das Arbeiten mit SELinux erleichtern
Setroubleshoot benachrichtigt über ein Task-Symbol über durchgesetzte Beschränkungen von Programmen und stellt auf Anfrage zusätzliche Informationen wie auch mögliche Lösungsvorschläge bereit, um das Problem zu beheben. SLIDE ist eine IDE für die Entwicklung der Richtlinie, die in Form einer Eclipse-Erweiterung veröffentlicht wird
- Das Programm apol ist für die Analyse von Richtlinien zuständig