c’t-Workshop: Dienste mit SELinux absichern
Viele Linux-Distributionen unterstützen SELinux. Richtig konfiguriert sichert die Kernel-Erweiterung Ihr System umfassend ab. Der Workshop zeigt, wie das geht.
- Dorothee Wiegand
SELinux ist keine Linux-Distribution, sondern eine Sicherheitserweiterung für den Linux-Kernel, kombiniert mit einer Reihe von Tools für Administratoren und Benutzer. Zahlreiche Linux-Distributionen – insbesondere aus dem Umfeld von Red Hat – unterstützen SELinux oder installieren es sogar vor.
Allerdings wird SELinux aus Unkenntnis häufig nicht genutzt oder sogar deaktiviert. Das ist bedauerlich, denn die Erweiterung kann Auswirkungen von Programmfehlern und Sicherheitslücken eindämmen und damit viel Ärger vermeiden – auch in Fällen, die sich über Unix-Dateiberechtigungen nicht oder nur schlecht abfangen lassen.
Die Beschäftigung mit SELinux lohnt sich also in jedem Fall. Admins erhalten damit deutlich mehr und bessere Möglichkeiten, um Zugriffe zu kontrollieren, als die klassischen Unix-Dateiberechtigungen bieten. Zum einen kann man über die Erweiterung den Zugriff auf Dateien feiner einstellen, mithilfe weiterer Access-Arten neben "Lesen", "Schreiben" und "Ausführen". Zum anderen können Anwender mit SELinux beispielsweise Netzwerkports oder Betriebssystemaufrufe reglementieren.
Workshop für Linux-Admins
Der c’t-Workshop "Dienste mit SELinux absichern" vermittelt alles nötige Wissen, um die Möglichkeiten von SELinux voll auszunutzen und eventuelle Probleme damit sauber zu beheben. Workshop-Teilnehmer erfahren unter anderem, wie sich die "Mandatory Access Control" von SELinux von der "Discretionary Access Control" klassischer Unix-Rechte unterscheidet; wie sie mit SELinux Server-Dienste absichern und wie sie SELinux-Richtlinien für Anwendungen anpassen.
Der Workshop richtet sich an Administratoren, die SELinux bereits nutzen und optimal konfigurieren möchten sowie an Admins, die die Sicherheitstechnologie künftig einsetzen wollen. Sie sollten mit der Unix/Linux-Kommandozeile umgehen können – einschließlich eines Editors, etwa vi, nano oder emacs – und grundlegende TCP/IP-Netzwerkkenntnisse unter Unix/Linux mitbringen.
Die zweitägige Online-Veranstaltung findet am 1. und 2. Februar 2023 statt, jeweils von 9 bis 17 Uhr. Zur Teilnahme genügt ein aktueller Browser. Wer bis 4 Wochen vor Beginn ein Ticket bucht, erhält 10 % Frühbucherrabatt – Sie zahlen dann 1.394 Euro für diesen Workshop. Weitere Informationen zur Veranstaltung sowie Details zur Anmeldung finden Sie auf der Seite zum Workshop von heise events. (dwi)
