SELinux (Security-Enhanced Linux, deutsch: sicherheitsverbessertes Linux) ist eine Erweiterung des Linux-Kernels, die den ersten Versuch darstellt, das FLASK-Konzept (Flux Advanced Security Kernel) der NSA umzusetzen.
Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control (MAC). SELinux wird maßgeblich von der NSA und von dem Linux-Distributor Red Hat entwickelt.

An SELinux wird oft kritisiert, dass es viel zu komplex sei, um von normalen Benutzern administriert werden zu können. Das habe zur Folge, dass die meisten Benutzer ein solches System entweder nur unsicher konfigurieren oder SELinux komplett abschalten.

(Quelle: Wikipedia http://de.wikipedia.org/wiki/SELinux)

ABER...!

Die Möglichkeiten der Schadensbegrenzung böswilliger oder fehlerhafter Applikationen (teilweise allein aufgrund fehlender Updates) durch Verwendung von SELinux spricht allerdings dafür, sich genauer mit der Kernelerweiterung auseinanderzusetzen.

SELinux-Funktionen
Unter Standard-Linux Discretionary Access Control (DAC - benutzerbestimmte Zugriffskontrolle) wird eine Applikation oder auch ein Prozess als Benutzer mit dessen Berechtigung ausgeführt (UID oder SUID). Die Entscheidung, ob ein Subjekt (Anwender, Prozess,...) Zugriff auf ein Objekt (Ressource, Daten,...) erhält, wird nur aufgrund der jeweiligen Identität getroffen.

Die Standard-Linux Zugriffskontrolle (DAC):

Zur Erweiterung des klassischen DAC-Modells stellt SELinux verschiedene Implementierungen einer regelbasierten Zugriffskontrolle zur Verfügung:

• Type-Enforcement (TE)
• Role-Based-Access-Control (RBAC)
• Multi-Level-Security (MLS)
• Multi-Category-Security (MCS)

Die Konfiguration und Regelung der Subjekte (Anwender, Prozesse,...) und der Objekte (z.B. Dateien, Verzeichnisse, Sockets, IPCs, etc.) sowie deren Zugriffen untereinander wird mittels so genannter "Policy" definiert.
Die Policy beinhaltet alle für Anwendungen implementierten Module. In den Modulen wiederum sind die spezifischen Regeln qualifiziert.
Mit SELinux werden diverse Standard-Module vorkonfiguriert ausgeliefert (z.B. Apache). Diese Module können anhand der eigenen Anforderungen angepasst werden oder bei eher seltenen Applikationen selbst erstellt werden.

Die Zugriffskontrolle mit SELinux (MAC):

SELinux ist in vielen Linux Distributionen enthalten. Bei Red Hat Enterprise Linux beispielsweise ist es standardmäßig aktiviert und setzt eine Reihe obligatorischer Zugriffskontrollen um, die bei Red Hat als „Targeted Policy“ bezeichnet werden.

Die (automatisierte) Erhöhung der Sicherheit kann allerdings zur Folge haben, dass Anwendungen von Drittanbietern oder bestehende Prozesse und Dienste beeinträchtigt werden - ein allgemein gültiges Prinzip im Umfeld IT-Security.
Solch Situationen sind jedoch maßgeblich für die eingeschränkte Verbreitung in Linux-Infrastrukturen, ja sogar für die schlechte Reputation von SELinux verantwortlich.

Wir sagen: Zu unrecht!

Denn, eine der Thematik angemessene Projektplanung und valide Umsetzung einer SELinux-Implementierung vorausgesetzt, ist es die Basis für eine - Ihre - Extraportion Sicherheit.

Wir unterstützen Sie gerne bei einer bedarfsorientierten und gleichwohl präzisen Implementierung durch

• SELinux Workshops
• IST-Aufnahme und Bedarfsanalyse
• Projektplanung
• Know-how Transfer SELinux-Verwaltung
• SELinux Policy & Module Design
• Implementierung "von A-Z"

Ihr Ansprechpartner (Stuttgart, München):
Eckhard Voigt
Sales & Account Manager
E-Mail:  eckhard.voigt [at] topalis.com
Telefon: +49 711 88770300