SELinux 2 – Konfiguration und Management

• Linux-Administrator*innen, die mit SELinux-Systemen arbeiten.

Arbeiten mit Security Contexts

• Interpretation von SELinux Context Types
• Standardverhalten beim Verschieben/Kopieren von Dateien (mv, cp)
• restorecond und Label-Management
• SELinux-Optionen bei mv, cp, mkdir, tar, rsync

Extended Attributes (xattr)

• Namespaces: security, system, trusted, user
• Verwaltung mit getfattr / setfattr
• Analyse mit strace (stat, fstat, getxattr …)
• Backup & Restore von Extended Attributes mit tar
• Kopieren von xattr mit rsync

Verwaltung von Security & File Contexts

• Context setzen mit chcon und chcat
• Verhalten bei Dateisystemen ohne xattr-Unterstützung
• Mount-Optionen für SELinux
• Aufbau und Regeln von File Contexts (Regex, Klassen, Labels)
• Kontextanalyse mit matchpathcon
• Unterschiede: chcon vs. semanage
• restorecon, setfiles, fixfiles zur Fehlerkorrektur
• Export/Import lokaler Anpassungen mit semanage
• Named File Transition Rules und restorecond-Konfiguration

SELinux und Systemdienste

• Systemd und temporäre Verzeichnisse (tmpfiles)
• Kontextvergabe durch Systemd
• Analyse von Prozessanfragen mit strace

Benutzer- und Rollenverwaltung

• SELinux User- und Role-Mapping
• seinfo zur Analyse von Rollen und Prozessen
• Rollen in der Targeted Policy (Aufgaben, Berechtigungen)
• Linux-User ↔ SELinux-User Mapping
• Eigene SELinux-User erstellen
• Rollenwechsel mit newrole
• sudo und runcon im Zusammenspiel mit SELinux

Kategorien (MCS)

• Planung und Definition eigener Kategorien
• Übersetzungen mit setrans / mcstransd
• Verwaltung mit chcon und chcat

Arbeiten mit Rollen und Policies

• Standardrollen definieren
• Default Contexts verwalten
• Boolean-Anpassungen für Rollen
• Policy capabilities, Constraints, NNP (No New Privileges)
• Kontrolle von Domain-Transitions und Memory Protection

PAM-Integration

• Überblick PAM-Architektur
• Einsatz relevanter Module: pam_selinux.so, pam_sepermit.so, pam_namespace.so, pam_oddjob_mkhomedir.so

Automatisierung mit Ansible & Salt

• Basis-Setups für SELinux mit Ansible & Salt
• Kontextverwaltung im Dateisystem
• Verteilen von Custom Policies
• Überblick nativer SELinux-Module

SELinux und Container

• Podman mit SELinux im Testeinsatz
• MCS-Verhalten bei Containern und Volumes
• Korrekte Label für Shared Volumes
• Container Domain Transitions analysieren
• Policies für Container mit udica erstellen
• Unterschiede: unconfined_t vs. spc_t