Titel - Kurzbescheibung

• Interaktiver Lehrvortrag
• Praktische Übungen
• Diskussion
• Wiederholungs-/Vertiefung-Tests

Notwendig

• keine

Hilfreich

• Informationssicherheit
• IT-Sicherheit
• Netzwerke
• ITIL
• Qualitätsmanagement
• ISO 27001

* mind. 24 Unterrichtseinheiten (je 60 min) + Prüfung

Foxwiki:Vorlage/Artikel/Seminar/Seminarzeiten

	Themenfeld	Beschreibung	Gewichtung
01	Einführung		1

Kapitel	Thema	Gewichtung
01	Einführung	1
02	Security Context auf Dateien und Verzeichnissen	1
03	Extended File Attributes	1
04	Security Context	1
05	File Context	1
06	Context Expressions	1
07	Security Context von Datei	1
08	Named File Transitions Rules	1
09	Systemd und Temporäre Verzeichnisse	1
10	strace context printing	1
11	Benutzer Login	1
12	Kategorien	1
13	Rollen	1
14	PAM	1
15	Prozess Context	1
16	SELinux und Ansible	1
17	SELinux und Salt	1
18	SELinux und Container	1

• IT-Grundschutz/Praktiker/BSI-Curriculum

Ziele

• Verstehen, wie SELinux funktioniert und wie Kontexte aufgebaut sind
• Aufbau von SELinux-Kontexten verstehen, lesen und interpretieren

Inhalte

• Einführung in SELinux – Nutzen und typische Einsatzszenarien
• Security Context auf Dateien und Verzeichnissen
• Interpretation des SELinux Context Types
• Extended (File) Attributes (xattr) – Namespaces, Verwaltung mit getfattr/setfattr
• Syscall-Analyse mit strace (stat, fstat, getxattr, …)
• Standardverhalten bei mv und cp
• Einfluss von restorecond auf Labels
• SELinux Optionen bei mv, cp, mkdir, tar, rsync

Verlauf

Grundlagen, Security Context und Dateikontexte

1. Grundlagen und Kontextmodell

• 01 - Einführung

• Nutzen und typische Einsatzszenarien
• Grundprinzipien von SELinux

• 02 - Security Context

• Aufbau des Security Context
• SELinux User, Role, Type und Level
• Lesen und Interpretieren von Context-Komponenten

2. Dateien, Verzeichnisse und Kontextspeicherung

• 03 - Security Context auf Dateien und Verzeichnissen

• Context auf Dateien, Verzeichnissen und Symlinks
• Unterschiede bei Objektklassen

• 04 - Extended File Attributes

• Speicherung von Labels in xattr
• Namespaces und Werkzeuge

• 05 - Security Context von Datei

• Kontext eines konkreten Objekts prüfen
• Zusammenhang zwischen Objekt und Label

• 06 - strace context printing

• Relevante Syscalls
• Sicht auf Context-Zugriffe im Laufzeitverhalten

File Context Verwaltung & Security Context Policies

Ziele

• Kontexte gezielt setzen, verwalten und reparieren
• File Contexts korrekt setzen, Policies anpassen und fehlerhafte Labels systematisch reparieren

Inhalte

• Context setzen mit chcon, semanage, setfiles, fixfiles
• File Context Regeln – Aufbau, Regex, Prioritätsregeln
• Context Expressions und matchpathcon
• Reparieren von falsch gesetzten Labels mit restorecon (inkl. SHA256 digests)
• Äquivalenzregeln definieren
• Named File Transition Rules
• Mount-Optionen für SELinux (context=, defcontext=, fscontext=, rootcontext=)
• Systemd und temporäre Verzeichnisse – Context via systemd-tmpfiles
• Lokale Änderungen exportieren/importieren mit semanage

Verlauf

File Contexts, Regeln und Label-Management

1. File Context Regeln und Ausdrücke

• 07 - File Context

• Unterschied zwischen Label und File-Context-Regel
• Standardzuweisung und persistente Regeln

• 08 - Context Expressions

• Regex-basierte Regeln
• Auswertung und Priorität

• 09 - Named File Transitions Rules

• Benannte Übergangsregeln
• Context-Vergabe bei der Objekterzeugung

2. Verwaltung, Reparatur und temporäre Verzeichnisse

• 10 - Systemd und Temporäre Verzeichnisse

• Context-Vorgaben mit systemd-tmpfiles
• Temporäre Verzeichnisse und Laufzeitobjekte
• Zusammenhang mit persistenter Label-Verwaltung

Ziele

• SELinux in realen Betriebsumgebungen einsetzen

Inhalte

• SELinux User & Role Mapping im Detail
• Linux User - SELinux User Zuordnung
• Erstellen eigener SELinux User
• Arbeiten mit SELinux Roles (newrole, sudo, runcon)
• Verwalten von MCS Categories (chcat, setrans, mcstransd)
• Pluggable Authentication Modules (PAM): pam_selinux, pam_sepermit, pam_namespace
• Prozess Context, Domain Transitions, Memory Protection, NNP
• SELinux & Ansible – native Module, Custom Policy verteilen
• SELinux & Salt – native Module, Custom Policy verteilen
• SELinux & Container – Podman, MCS, Volumes, udica
• Eigene Container Policy mit udica erstellen

Verlauf

Benutzer, Rollen, Laufzeitverhalten und Integration

Benutzer, Rollen und Anmeldung

• 11 - Benutzer Login

• Login-Kontext
• Zuordnung Linux User zu SELinux User

• 12 - Kategorien

• MCS-Kategorien
• Bereichs- und Kategoriezuordnung

• 13 - Rollen

• Rollenmodell
• Rollenwechsel und Rechteabgrenzung

• 14 - PAM

• pam_selinux
• pam_sepermit
• pam_namespace

Prozesse, Automatisierung und Container

• 15 - Prozess Context

• Prozess-Context und Domains
• Domain Transitions
• Laufzeitverhalten und Schutzmechanismen

• 16 - SELinux und Ansible

• Native Module
• Verteilen von SELinux-Konfiguration

• 17 - SELinux und Salt

• Native Module
• Verteilen von SELinux-Konfiguration

• 18 - SELinux und Container

• Podman, MCS und Volumes
• Eigene Container-Policy mit udica