c’t-Workshop: Dienste mit SELinux absichern
Mit der Kernel-Erweiterung SELinux sichern Admins Linux-Systeme umfassend ab. Der Workshop zeigt, wie man SELinux konfiguriert und richtig nutzt.
- Dorothee Wiegand
Security-Enhanced Linux, kurz: SELinux ist eine Sicherheitserweiterung für den Linux-Kernel. Die Open-Source-Software bringt zahlreiche Tools für Administratoren und Benutzer mit. Viele Linux-Distributionen – insbesondere solche aus dem Umfeld von Red Hat – unterstützen SELinux oder installieren es sogar vor.
Allerdings wird SELinux aus Unkenntnis häufig deaktiviert oder jedenfalls nicht genutzt. Das ist bedauerlich, denn die Erweiterung kann Auswirkungen von Programmfehlern und Sicherheitslücken eindämmen und damit viel Ärger vermeiden – auch in Fällen, die sich über Unix-Dateiberechtigungen nicht oder nur schlecht abfangen lassen.
Die Beschäftigung mit SELinux lohnt sich daher in jedem Fall. Admins erhalten damit deutlich bessere Möglichkeiten, um Zugriffe zu kontrollieren, als sie die klassischen Unix-Dateiberechtigungen bieten. So können Admins über die Erweiterung den Zugriff auf Dateien mithilfe weiterer Access-Arten neben "Lesen", "Schreiben" und "Ausführen" feiner einstellen, als das ohne SELinux möglich ist. Anwender können mit der Erweiterung beispielsweise Netzwerkports oder Betriebssystemaufrufe reglementieren.
SELinux optimal konfigurieren
Der c’t-Workshop "Dienste mit SELinux absichern" vermittelt alles nötige Wissen, um die Möglichkeiten von SELinux voll auszunutzen und eventuelle Probleme damit sauber zu beheben. Workshop-Teilnehmer erfahren unter anderem, wie sich die "Mandatory Access Control" von SELinux von der "Discretionary Access Control" klassischer Unix-Rechte unterscheidet. Im Workshop wird erklärt, wie Sie Server-Dienste absichern und wie Sie SELinux-Richtlinien für Anwendungen anpassen.
Der Workshop richtet sich gleichermaßen an Administratoren, die die Sicherheitstechnologie bisher noch nicht einsetzen und an Admins, die SELinux zwar bereits nutzen, aber noch nicht optimal konfiguriert haben. Teilnehmer sollten mit der Unix/Linux-Kommandozeile umgehen können – einschließlich eines Editors, etwa vi, nano oder emacs – und grundlegende TCP/IP-Netzwerkkenntnisse unter Unix/Linux mitbringen.
Anders als im Vorjahr handelt es sich nicht um einen eintägigen, sondern um einen zweitägigen Online-Workshop. Er findet am 1. und 2. Februar 2023 statt, jeweils von 9 bis 17 Uhr. Zur Teilnahme genügt ein aktueller Browser. Weitere Informationen zur Veranstaltung sowie Details zur Anmeldung finden Sie auf der Seite zum Workshop von heise events. (dwi)