CIS Level 2 Hardening

SELinux in den Modus “Enforcing” versetzen

Einführung

Die Sicherheitsempfehlungen der CIS Level 2 Hardening sehen vor die Sicherheitsarchitektur SELinux in den „Enforcing“ Modus zu versetzen. Mit dem Mindbreeze InSpire 24.4 Release ist für Appliances mit Version 24.4 oder neuer das SELinux standardmäßig im „Enforcing“ Modus. Bei älteren Appliances muss die Aktivierung des Enforcing-Modus manuell durchgeführt werden. Die manuelle Aktivierung wird in dieser Dokumentation erklärt.

Achtung: Dies gilt explizit nur für Mindbreeze InSpire.

Einführung zu SELinux

SELinux ist eine Sicherheitserweiterung von Linux, die Benutzern und Administratoren mehr Kontrolle über die Zugriffskontrolle ermöglicht. Der Zugriff kann auf Variablen beschränkt werden wie welcher Benutzer und welche Anwendungen können auf welche Ressourcen zugreifen. Diese Ressourcen können zum Beispiel Dateien seien. Standardmäßige Linux-Zugriffskontrollen, wie z. B. Dateimodi (-rwxr-xr-x), können vom Benutzer und den Anwendungen, die der Benutzer ausführt, geändert werden. Im Gegensatz dazu werden die SELinux-Zugriffskontrollen durch eine auf dem System geladene Richtlinie bestimmt, die von unvorsichtigen Benutzern oder fehlerhaften Anwendungen nicht geändert werden kann.

SELinux fügt außerdem eine feinere Granularität der Zugriffskontrolle hinzu. Anstatt nur festzulegen, wer eine Datei lesen, schreiben oder ausführen darf, können Sie mit SELinux festlegen, wer zum Beispiel eine Datei entkoppeln, nur anhängen, verschieben darf etc. . Mit SELinux können Sie auch den Zugriff auf viele andere Ressourcen als auf Dateien festlegen, z. B. auf Netzwerkressourcen und Interprozesskommunikation (IPC).

Mehr Informationen finden Sie hier: https://selinuxproject.org/

SELinux in den Modus “Enforcing” versetzen

Bei neuen Appliances, die mit 23.5 (oder höher) ausgeliefert werden, ist SELinux bereits aktiviert und auf den Modus “Permissive” gestellt. Bevor Sie den SELinux-Modus auf “Enforcing” setzen, müssen Sie unbedingt die folgenden Vorbereitungsschritte durchführen, um ein nicht bootfähiges System zu verhindern:

1. Stellen Sie sicher, dass SELinux im Modus “Permissive” ist (sestatus | grep "Current mode:") und auditd läuft (systemctl is-active auditd).
2. Wenden Sie das Update 24.4 an oder spielen Sie es erneut ein (stellen Sie sicher, dass die Appliance neu gebootet ist).
3. Führen Sie die folgenden acht Codezeilen aus:
   1. rpm-ostree cleanup -rpmb
   2. ostree checkout -H $(rpm-ostree status -v | sed -En 's|^[[:space:]]*Commit: (.*)|\1|p') /ostree/repo/tmp/selinux-fix
   3. ostree fsck --delete
   4. ostree commit --consume --link-checkout-speedup --orphan --selinux-policy=/ /ostree/repo/tmp/selinux-fix
   5. ostree admin deploy local_coreos:fedora/x86_64/coreos/stable
   6. restorecon -R -v /etc/ /var/data/scripts /var/data/log
   7. restorecon -v /var/data
   8. restorecon -R -v -e /var/data -e /var/lib/docker /var
4. Anschließend, starten sie neu mit reboot.

Überprüfen Sie nun /var/data/log/audit.log (beginnend mit dem Zeitpunkt des Neustarts: ausearch -i | grep avc | grep denied). Wenn es keine Verweigerungen gibt, können Sie SELinux in /etc/selinux/config auf den Modus “Enforcing” setzen und ein letztes Mal neu starten.

Achtung: Setzen Sie SELinux nicht in den Modus “Disabled”, nachdem Sie den Modus “Enforcing” aktiviert haben. Wenn Sie dies tun, müssen die vorher beschriebenen Schritte wiederholt werden.

Wenn es Probleme mit SELinux gibt, kann es vorübergehend auf “Permissive” gesetzt werden, indem setenforce 0 ausgeführt wird. Dies wird beim Neustart zurückgesetzt. Um die Änderung dauerhaft zu machen, können Sie den Modus in /etc/selinux/config auf “Permissive” setzen.