SELinux

Oje, SELinux

„Disable Selinux“ ist im Zusammenhang mit SELinux einer der am häufigsten gesuchten Begriffe. Nicht etwa, weil SELinux kein mächtiges Werkzeug wäre, um seinen Server abzusichern, sondern weil es komplex ist und Einarbeitungszeit erfordert.

Warum SELinux?

SELinux (security enhanced Linux) ist ein Modul für den Linux Kernel, welches jede am System laufende Applikation beschränkt und dafür sorgt, dass im Falle von Bugs oder Fehleingaben die Applikation keinen Schaden anrichten kann. Während ohne SELinux ein Bug in einem Webserver wie Apache oder Ngnix zur Kompromittierung des gesamten Systems führen kann, wird auf einem Server mit SELinux meist gar kein oder nur sehr beschränkter Schaden entstehen. SELinux hat nämlich für jede am System laufende Applikation eine eigene Policy („Access Vectors“), die präzise beschränkt, was die jeweilige Applikation machen darf. Prinzipiell muss ein Webserver nämlich nur auf wenige Verzeichnisse zugreifen. Und Schreiben muss er meistens nur in die Log-Dateien. Mails verschicken muss unser Webserver auch nicht, das erledigen eigene Mail-Server.

Warum sollte der Webserver dann überhaupt die Möglichkeit und Rechte haben E-Mails zu versenden?

Mit SELinux kann ein Webserver nur das, was er unbedingt muss, um seine Aufgabe zu erledigen – und wenn er mehr tun möchte, dann muss der Systemadministrator das dem Webserver-Prozess erlauben. Für einen Hacker wird der Server damit recht uninteressant: Denn selbst wenn er es schafft, einen Prozess zu „Hacken“, hat er kaum Möglichkeiten. Die E-Mails, die Heimatverzeichnisse der Benutzer, die Schlüssel für andere Server und alle anderen Daten sind weiterhin sicher, trotz eines kompromittierten Webservers.

Wo wir Ihnen helfen

Während für viele gebräuchliche Programme bereits fertige SELinux Policys existieren und alles problemlos funktioniert, muss im Falle von Anpassungen oder einer selbst geschriebenen Applikation eine Änderung an der SELinux Policy vorgenommen werden oder gar von Grund auf eine Erweiterung für SELinux (ein „Policy Package“) geschrieben werden. Und dafür braucht es Profis, die Erfahrung mit dem Prozess haben.

internex konfiguriert SELinux auf Ihren Servern, macht Ihre Applikationen SELinux kompatibel und begutachtet auf Anfrage Ihre selbst geschriebenen Policy Packages, um Ihre Server und Ihre missionskritischen Firmendaten zu schützen. Unsere erfahrenen Systemadministratoren helfen Ihren Mitarbeitern, SELinux zu verstehen und es richtig einzusetzen, damit Sie nicht nach „disable selinux“ googeln müssen, sondern eine sichere Premium-Infrastruktur betreiben können.