Linux/SELinux/02 Installation

Die Standardkernel von Debian enthalten bereits SELinux-Unterstützung.

Mit den Paketen selinux-basics, selinux-policy-default und auditd wird die Grundkonfiguration für ein SELinux-System installiert.

Da auf Debian häufig bereits AppArmor verwendet wird, sollte es für dieses Szenario entfernt bzw. deaktiviert werden, damit ausschließlich SELinux als Linux Security Module verwendet wird.

sudo apt purge apparmor
sudo reboot

sudo apt install selinux-basics selinux-policy-default auditd newrole
sudo apt install apache2 attr strace

Das Paket selinux-policy-default liefert die Standardregeln für Debian. Diese Policy beschränkt standardmäßig vor allem exponierte Systemdienste. Benutzer-Sessions laufen in der Voreinstellung meist weitgehend unconfined.

SELinux wird über Kernel-Parameter aktiviert. Dazu wird die GRUB-Konfiguration angepasst.

sudo nano /etc/default/grub

In GRUB_CMDLINE_LINUX oder GRUB_CMDLINE_LINUX_DEFAULT werden folgende Parameter ergänzt:

selinux=1 security=selinux

sudo update-grub

Damit vorhandene Dateien und Verzeichnisse korrekte SELinux-Labels erhalten, wird eine vollständige Relabel-Operation für den nächsten Systemstart vorgemerkt:

sudo touch /.autorelabel
sudo reboot

Standardmäßig läuft SELinux im permissiven Modus

SELinux-Status anzeigen:

getenforce
sestatus

Nach dem Neustart kann geprüft werden, ob SELinux Zugriffe blockiert hat. Solche Ereignisse erscheinen als AVC-Denials im Audit-Log.

sudo grep AVC /var/log/audit/audit.log

AVC-Denials sind Meldungen, in denen SELinux eine angeforderte Operation eines Prozesses auf ein Objekt verweigert hat. Solche Einträge enthalten unter anderem den Quellkontext (scontext), den Zielkontext (tcontext) und die Objektklasse (tclass).