Drucken

SELinux 2 - Konfiguration und Management

Aufbauend auf dem Kurs SELinux 1 beschäftigen wir uns in diesem Kurs mit der praktischen Umsetzung von SELinux. Neben einem viel tieferen Verständnis der Arbeitsweise von SELinux erlernen wir auch den täglichen Umgang auf einem mit SELinux abgesicherten System. Die Teilnehmer erlernen dabei intensiv den praktischen Einsatz von vielen SELinux Diagnose Werkzeugen, um das komplette Policy Regelwerk besser zu verstehen bzw. an die eigenen Bedürfnisse anzupassen.

Dieser Kurs wird auf einem aktuellen RHEL/Rocky System durchgeführt.

Kursinhalte

  • Security Context auf Dateien und Verzeichnissen
    • Interpretation des SELinux Context Types
    • Standardverhalten beim verschieben einer Datei mit mv
    • Standardverhalten beim kopieren einer Datei mit cp
    • Einfluss des restorecond auf unsere Label
    • SELinux Optionen bei mv, cp, mkdir, tar, rsync
  • Extended (File) Attributes (xattr)
    • Verfügbare Namespaces (security, system, trusted, user)
    • Verwaltung mit getfattr, setfattr
    • Syscall Analyse mit strace (stat, fstat, statx, getxattr, lgetxattr, fgetxattr, ...)
    • Sichern und wiederherstellen der Extended Attributes mit tar
    • Kopieren der Extended Attributes mit rsync
  • Security Context Verwaltung
    • Context setzen mit chcon
    • Category und Sensitivity Label setzen mit chcat
  • File Context Verwaltung
    • Verhalten bei Dateisystemen mit und ohne xattr Unterstützung
    • Mount Optionen für SELinux (context=, defcontext=, fs,context=, rootcontext=)
  • Context Expressions
    • File Contexte anzeigen
    • Aufbau der File Context Regeln (regex, class, label)
    • Context Expressions Prioritätsregeln
    • Context Analyse mit matchpathcon
  • Security Context (fcontext) einer Datei ändern
    • chcon vs. semanage
    • Definieren von neuen Regeln in der Policy
    • Reparieren von falsch gesetzten Labeln
    • Äquivalenz Regeln definieren
    • restorecon und SHA256 digests
    • Hash Überprüfung mit restorecon_xattr
    • Restorecon Aussnahmen bei customizable types
    • /etc/selinux/targeted/contexts/files/
    • Lokale Änderungen exportieren/importieren mit semanage
    • Setzen und Reparieren von Kontexten mit setfiles
    • Reparieren von Kontexten mit fixfiles (check, restore, relabel, onboot)
  • Named File Transitions Rules
    • Problematik von manuell gesetzen Kontexten
    • File vs. Named File Transitions Rules
    • /etc/selinux/restorecond.conf
    • /etc/selinux/restorecond_user.conf
  • Systemd und Temporäre Verzeichnisse
    • Datei und Verzeichnis Erstellung durch Systemd
    • SELinux Context setzen via systemd-tmpfiles
  • strace und SELinux Context Printing
    • Context Abfrage bei Prozessen analysieren
  • SELinux und Benutzer Login
    • SELinux Context von Benutzern
    • SELinux User und SELinux Role Mapping im Detail
    • Analyse mit seinfo
    • SELinux Roles in der Targeted Policy im Detail (Aufgaben, Fähigkeiten, ...)
    • Auswirkung der SELinux Role auf die Prozess Domain
    • Linux User <-> SELinux User Mapping
    • Service spezifische Role Zuweisung
    • Praktische Übungen mit SELinux User und Roles
    • Erstellen eines eigenen SELinux Users
    • Linux Benutzer mit/ohne SELinux User Zuweisung löschen
  • Verwalten von Kategorien
    • Planen und definieren von eigenen MCS Categories
    • Übersetzungen mit setrans und mcstransd erstellen
    • chcon vs. chcat
    • Kategorien mit chcat auf Dateien, Verzeichnissen und Benutzern verwalten
  • Arbeiten mit SELinux Roles
    • Standard Role definieren
    • /etc/selinux/targeted/contexts/default_contexts
    • Boolean Anpassungen für SELinux Roles
    • Wechseln zwischen erlaubten Roles mit newrole
    • sudo und SELinux Roles
    • SELinux spezifische Parameter bei sudo Regeln
    • Benutzer Programme via runcon mit unterschiedlichen Kontexten starten
  • Pluggable Authentication Modules (PAM)
    • Grundlagen PAM Architektur
    • pam_selinux.so
    • pam_sepermit.so
    • pam_namespace.so
    • pam_oddjob_mkhomedir.so
  • Prozess Context im Detail
    • Grundlagen allow Rule
    • Grundlagen Prozess Context
    • Übergang zu einer Domäne
    • Memory Protection
    • Limitieren von (ungewollten) Domain Transitions
    • Policy capabilities
    • No New Privilege (NNP)
    • Type Attributes
    • Abfragen von Domain Permissions
    • Constraints
  • SELinux und Ansible
    • Einrichten eines schnellen Ansible Roles Basissetups
    • Dateisystem und SELinux Context
    • SELinux Custom Policy verteilen
    • Überblick Ansible native SELinux Module
  • SELinux und Salt
    • Einrichten eines schnellen Salte State Basissetups
    • Dateisystem und SELinux Context
    • SELinux Custom Policy verteilen
    • Überblick SaltStack native SELinux Module
  • SELinux und Container
    • Podman Container Basis Test
    • Podman und SELinux Multi-Category Security (MCS) Verhalten
    • Podman Volumes und SELinux MCS Context Probleme
    • Shared Volume mit richtigen MCS Context versehen
    • Container Domain Transition
    • Analyse von erlaubten domain Transition mit sesearch
    • Container mit definierten Process Domain anstarten
    • Domain Transition unconfined_t vs. spc_t
    • Eigene Container Policy mit udica erstellen


 Dieser Kurs ist Teil unserer 3teiligen SELinux Security Administrator Ausbildung

      • SELinux 1 - Grundlagen und Administration
      • SELinux 2 - Konfiguration und Management
      • SELinux 3 - Policy Modul Entwicklung

Empfohlene Vorkenntnisse

Diese Schulung richtet sich an alle Teilnehmer mit Administrationserfahrungen im SELinux Bereich, wie sie in unserem Kurs "SELinux 1 - Grundlagen und Administration" vermittelt werden.

Details zu diesem Open Source Training

Kurstitel: SELinux 2 - Konfiguration und Management
Kurspreis: 1.885,00 € exkl. MwSt
pro Teilnehmer, Standardpreis ohne Rabatt

Kursdatum:    
Kurszeiten:

01.12.25 - 03.12.25
09:30 - 17:00
Alternative Termine stehen am Ende dieser Seite


Dieses Training findet in der typischen Classroom Variante und in der Live Variante übers Internet via ZOOM Session statt. Sie können selber entscheiden welche Variante besser für sie passt.


Kursort:


Das Classroom Training findet statt bei:

LinuxCampus
Brodtischgasse 4
2700 Wr. Neustadt (Österreich) Austria
Website des Veranstaltungsortes
LinuxCampus
Das Live Training findet statt bei:

Sie können vom jedem Ort teilnehmen von dem Sie möchten und es ist keine Anreise notwendig. Sie benötigen nur eine Webcam, einen Webbrowser (ZOOM-Session) und einen VNC-Client für den Zugriff auf ihr Teilnehmer LAB.

Details:

Der Kurs ist auf 10 Teilnehmer beschränkt
Die Unterrichtssprache ist Deutsch
Die Kursunterlagen werden im PDF Format bereitgestellt
Jeder Teilnehmer erhält ein Kurszertifikat
Kalt- und Heißgetränke und Snacks werden kostenlos bereitgestellt

Kennen Sie schon das LinuxCampus.net Rabatt & Bonus System?

Den Kurstermin 01.12.25 - 03.12.25 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

EUR 1.885,00
Tooltip
Erforderlich Tooltip
Tooltip
Tooltip
Tooltip
Erforderlich Tooltip
Tooltip
Erforderlich Tooltip
Erforderlich Tooltip
Erforderlich Tooltip
Erforderlich
Erforderlich Tooltip
Erforderlich Tooltip
Erforderlich Tooltip
Erforderlich Tooltip
Hiermit bestätige ich das ich die AGB gelesen und akzeptiert habe
Erforderlich
1 Kursvariante
2 Anmeldedetails


Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema

Datum Kurstitel Ort
17.03.2025 SELinux 2 - Konfiguration und Management LinuxCampus
10.06.2025 SELinux 2 - Konfiguration und Management LinuxCampus
24.09.2025 SELinux 2 - Konfiguration und Management LinuxCampus
01.12.2025 SELinux 2 - Konfiguration und Management LinuxCampus

Diese Seite verwendet Cookies. Für eine uneingeschränkte Nutzung der Webseite werden Cookies benötigt. Sie stimmen der Verwendung von Cookies durch Anklicken von "OK" zu. Nähere Informationen finden Sie in unseren Datenschutzbestimmungen und unter dem folgenden Link "Weitere Informationen".