SELinux
Was ist SELinux?
SELinuxSecurity-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
SELinux (Security-Enhanced Linux) ist ein Mandatory-Access-Control-Framework auf Basis der Flask-Architektur, urspruenglich von der NSA entwickelt und 2003 in den Linux-2.6-Kernel uebernommen. Es kennzeichnet jeden Prozess, jede Datei, jeden Socket und jedes IPC-Objekt mit einem Sicherheitskontext (user:role:type:level) und erzwingt eine zentral kompilierte Policy ueber die LSM-Hooks zusaetzlich zu den klassischen DAC-Rechten. Das dominierende Policy-Modell kombiniert Type Enforcement mit Role-Based Access Control sowie optionalem MLS/MCS. SELinux wird in RHEL, CentOS Stream, Fedora und Android standardmaessig im Enforcing-Modus ausgeliefert und dient der Einschraenkung von Containern, Webservern und privilegierten Daemons; Hauptkritik ist die Komplexitaet der Policy.
● Beispiele
- 01
RHEL liefert die Targeted Policy standardmaessig im Enforcing-Modus aus.
- 02
Android nutzt SELinux, um system_server, Zygote und App-spezifische Domaenen einzuschraenken.
● Häufige Fragen
Was ist SELinux?
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet SELinux?
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
Wie funktioniert SELinux?
SELinux (Security-Enhanced Linux) ist ein Mandatory-Access-Control-Framework auf Basis der Flask-Architektur, urspruenglich von der NSA entwickelt und 2003 in den Linux-2.6-Kernel uebernommen. Es kennzeichnet jeden Prozess, jede Datei, jeden Socket und jedes IPC-Objekt mit einem Sicherheitskontext (user:role:type:level) und erzwingt eine zentral kompilierte Policy ueber die LSM-Hooks zusaetzlich zu den klassischen DAC-Rechten. Das dominierende Policy-Modell kombiniert Type Enforcement mit Role-Based Access Control sowie optionalem MLS/MCS. SELinux wird in RHEL, CentOS Stream, Fedora und Android standardmaessig im Enforcing-Modus ausgeliefert und dient der Einschraenkung von Containern, Webservern und privilegierten Daemons; Hauptkritik ist die Komplexitaet der Policy.
Wie schützt man sich gegen SELinux?
Schutzmaßnahmen gegen SELinux kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SELinux?
Übliche alternative Bezeichnungen: Security-Enhanced Linux, NSA SELinux.
● Verwandte Begriffe
- cryptography№ 053
AppArmor
Pfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken.
- cryptography№ 979
seccomp
Linux-Kernel-Funktion zur Einschraenkung der Systemaufrufe eines Prozesses; der moderne seccomp-BPF/eBPF-Modus erlaubt feingranulare Pro-Syscall-Filter.
- identity-access№ 652
Verbindliche Zugriffskontrolle (MAC)
Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
● Siehe auch
- № 615Linux Capabilities
- № 120BPF LSM