Grundlagen

Grundlagen & Security Context

Verstehen, wie SELinux funktioniert und wie Kontexte aufgebaut sind

Aufbau von SELinux-Kontexten verstehen , lesen und interpretieren

• Einführung in SELinux – Nutzen und typische Einsatzszenarien
• Security Context auf Dateien und Verzeichnissen
• Interpretation des SELinux Context Types
• Extended (File) Attributes (xattr) – Namespaces, Verwaltung mit getfattr/setfattr
• Syscall-Analyse mit strace (stat, fstat, getxattr, …)
• Standardverhalten bei mv und cp
• Einfluss von restorecond auf Labels
• SELinux Optionen bei mv, cp, mkdir, tar, rsync

File Context Verwaltung & Security Context Policies

Kontexte gezielt setzen, verwalten und reparieren

File Contexts korrekt setzen, Policies anpassen und fehlerhafte Labels systematisch reparieren.

• Context setzen mit chcon, semanage, setfiles, fixfiles
• File Context Regeln – Aufbau, Regex, Prioritätsregeln
• Context Expressions und matchpathcon
• Reparieren von falsch gesetzten Labels mit restorecon (inkl. SHA256 digests)
• Äquivalenzregeln definieren
• Named File Transition Rules
• Mount-Optionen für SELinux (context=, defcontext=, fscontext=, rootcontext=)
• Systemd und temporäre Verzeichnisse – Context via systemd-tmpfiles
• Lokale Änderungen exportieren/importieren mit semanage

SELinux in realen Betriebsumgebungen professionell einsetzen

• SELinux User & Role Mapping im Detail
• Linux User - SELinux User Zuordnung
• Erstellen eigener SELinux User
• Arbeiten mit SELinux Roles (newrole, sudo, runcon)
• Verwalten von MCS Categories (chcat, setrans, mcstransd)
• Pluggable Authentication Modules (PAM): pam_selinux, pam_sepermit, pam_namespace
• Prozess Context, Domain Transitions, Memory Protection, NNP
• SELinux & Ansible – native Module, Custom Policy verteilen
• SELinux & Salt – native Module, Custom Policy verteilen
• SELinux & Container – Podman, MCS, Volumes, udica
• Eigene Container Policy mit udica erstellen