Home
Home
Englische Version
Support
Impressum
25.3 Release ►

Start Chat with Collection

    Main Navigation

    • Vorbereitung
      • Einrichten InSpire G7 Primärsystem und Standby Appliances
      • Erstellen einer InSpire-VM auf Hyper-V
      • Initiale Inbetriebnahme für G7 Appliances
      • Konnektoren
    • Datenquellen
      • Anleitung zur Datenintegration mithilfe eines SQL Datenbank-Beispiels
      • Handbuch - Mindbreeze InSpire Insight Apps in Salesforce
      • Indizierung benutzerspezifischer Eigenschaften (SharePoint 2013 Connector)
      • Indizierung benutzerspezifischer Objekttypen (Documentum)
      • Installation & Konfiguration - Atlassian Confluence Sitemap Generator Add-On
      • Installation & Konfiguration - Caching Principal Resolution Service
      • Installation & Konfiguration - Mindbreeze InSpire Insight Apps in Microsoft SharePoint On-Prem
      • Konfiguration - Atlassian Confluence Connector
      • Konfiguration - Best Bets Connector
      • Konfiguration - Box Connector
      • Konfiguration - COYO Connector
      • Konfiguration - Data Integration Connector
      • Konfiguration - Datenbank Connector
      • Konfiguration - Documentum Connector
      • Konfiguration - Dropbox Connector
      • Konfiguration - Egnyte Connector
      • Konfiguration - GitHub Connector
      • Konfiguration - Google Drive Connector
      • Konfiguration - GSA Adapter Service
      • Konfiguration - HL7 Connector
      • Konfiguration - IBM Connections Connector
      • Konfiguration - IBM Lotus Connector
      • Konfiguration - Jira Connector
      • Konfiguration - JVM Launcher Service
      • Konfiguration - LDAP Connector
      • Konfiguration - Microsoft Azure Principal Resolution Service
      • Konfiguration - Microsoft Dynamics CRM Connector
      • Konfiguration - Microsoft Exchange Connector
      • Konfiguration - Microsoft File Connector (Legacy)
      • Konfiguration - Microsoft File Connector
      • Konfiguration - Microsoft Graph Connector
      • Konfiguration - Microsoft Loop Connector
      • Konfiguration - Microsoft Project Connector
      • Konfiguration - Microsoft SharePoint Connector
      • Konfiguration - Microsoft SharePoint Online Connector
      • Konfiguration - Microsoft Stream Connector
      • Konfiguration - Microsoft Teams Connector
      • Konfiguration - Salesforce Connector
      • Konfiguration - SCIM Principal Resolution Service
      • Konfiguration - SemanticWeb Connector
      • Konfiguration - ServiceNow Connector
      • Konfiguration - Web Connector
      • Konfiguration - Yammer Connector
      • Mindbreeze InSpire Insight Apps in Microsoft SharePoint Online
      • Mindbreeze Web Parts in Microsoft SharePoint
      • Whitepaper - Web Connector Erweiterte JavaScript Anwendungsfälle
    • Konfiguration
      • CAS Authentifizierung
      • Cookie Authentifizierung
      • Handbuch - AI Chat
      • Handbuch - Erstellung einer AWS 10M InSpire Applikation
      • Handbuch - Erstellung einer AWS 1M InSpire Applikation
      • Handbuch - Erstellung einer AWS 2M InSpire Applikation
      • Handbuch - Erstellung einer Google Compute Cloud Virtual Machine InSpire Applikation
      • Handbuch - Erstellung einer Oracle Cloud 10M InSpire Applikation
      • Handbuch - Erstellung einer Oracle Cloud 1M InSpire Applikation
      • Handbuch - MMC_ Services
      • Handbuch - Natural Language Question Answering (NLQA)
      • Handbuch - SSO mit Microsoft AAD oder AD FS
      • Handbuch - Text Classification Insight Services
      • I18n Item Transformation
      • JWT Authentifizierung
      • Konfiguration - Alternative Suchvorschläge und automatische Sucherweiterung
      • Konfiguration - Backend Credentials
      • Konfiguration - Benachrichtigungen
      • Konfiguration - CJK Tokenizer Plugin
      • Konfiguration - CSV Metadata Mapping Item Transformation Service
      • Konfiguration - Entity Recognition
      • Konfiguration - Export Funktionalität
      • Konfiguration - External Query Service
      • Konfiguration - Filter Plugins
      • Konfiguration - Gesammelte Ergebnisse
      • Konfiguration - GSA Late Binding Authorization
      • Konfiguration - Identity Conversion Service - Replacement Conversion
      • Konfiguration - InceptionImageFilter
      • Konfiguration - Index-Servlets
      • Konfiguration - InSpire AI Chat und Insight Services für Retrieval Augmented Generation
      • Konfiguration - Item Property Generator
      • Konfiguration - Kerberos Authentfizierung
      • Konfiguration - Management Center Menü
      • Konfiguration - Metadata Reference Builder Plugin
      • Konfiguration - Metadaten Anreicherung
      • Konfiguration - Mindbreeze InSpire
      • Konfiguration - Mindbreeze Proxy Umgebung (Remote Connector)
      • Konfiguration - Outlook Add-In
      • Konfiguration - Personalisierte Relevanz
      • Konfiguration - Plugin Installation
      • Konfiguration - Principal Validation Plugin
      • Konfiguration - Profile
      • Konfiguration - Reporting Query Log
      • Konfiguration - Reporting Query Performance Tests
      • Konfiguration - Request Header Session Authentisierung
      • Konfiguration - Verteilte Konfiguration (Windows)
      • Konfiguration - Vokabulare für Synonyme und Autovervollständigung
      • Konfiguration von Vorschaubildern
      • Mindbreeze Personalization
      • Mindbreeze Property Expression Language
      • Mindbreeze Query Expression Transformation
      • SAML Authentifizierung
      • Spracherkennung mit dem LanguageDetector Plugin
      • Trusted Peer Authentication für Mindbreeze InSpire
      • Verwendung von InSpire-Snapshots in einer CI_CD-Umgebung
    • Betrieb
      • Anpassung der InSpire Host OpenSSH Einstellungen - LoginGraceTime auf 0 setzen (Mitigation für CVE-2024-6387)
      • app.telemetry Statistiken zu Suchanfragen
      • Bereitstellen von app.telemetry Informationen mittels SNMPv3 auf G7 Appliances
      • CIS Level 2 Hardening - SELinux in den Modus Enforcing versetzen
      • Handbuch - Administration von Insight Services für Retrieval Augmented Generation
      • Handbuch - Filemanager
      • Handbuch - Indizierungs- und Suchlogs
      • Handbuch - Kommandozeilenwerkzeuge
      • Handbuch - Sichern & Wiederherstellen
      • Handbuch - Updates und Downgrades
      • Handbuch - Verteilter Betrieb (G7)
      • Index Betriebskonzepte
      • Inspire Diagnose und Ressourcen Monitoring
      • Konfiguration - app.telemetry Dashboards für Nutzungsanalyse
      • Konfiguration - Nutzungsanalyse
      • Löschung der Festplatten
      • Wiederherstellen des Lieferzustandes
    • Anwenderhandbuch
      • Browser Extension
      • Cheat Sheet
      • iOS App
      • Tastaturbedienung
    • SDK
      • api.chat.v1beta.generate Schnittstellenbeschreibung
      • api.v2.alertstrigger Schnittstellenbeschreibung
      • api.v2.export Schnittstellenbeschreibung
      • api.v2.personalization Schnittstellenbeschreibung
      • api.v2.search Schnittstellenbeschreibung
      • api.v2.suggest Schnittstellenbeschreibung
      • api.v3.admin.SnapshotService Schnittstellenbeschreibung
      • Debugging (Eclipse)
      • Einbetten des Insight App Designers
      • Entwicklung eines API V2 Search Request Response Transformer
      • Entwicklung eines Query Expression Transformer
      • Entwicklung von Insight Apps
      • Entwicklung von Item Transformation und Post Filter Plugins mit der Mindbreeze SDK
      • Java API Schnittstellenbeschreibung
      • OpenAPI Schnittstellenbeschreibung
      • SDK Übersicht
    • Release Notes
      • Release Notes 20.1 Release - Mindbreeze InSpire
      • Release Notes 20.2 Release - Mindbreeze InSpire
      • Release Notes 20.3 Release - Mindbreeze InSpire
      • Release Notes 20.4 Release - Mindbreeze InSpire
      • Release Notes 20.5 Release - Mindbreeze InSpire
      • Release Notes 21.1 Release - Mindbreeze InSpire
      • Release Notes 21.2 Release - Mindbreeze InSpire
      • Release Notes 21.3 Release - Mindbreeze InSpire
      • Release Notes 22.1 Release - Mindbreeze InSpire
      • Release Notes 22.2 Release - Mindbreeze InSpire
      • Release Notes 22.3 Release - Mindbreeze InSpire
      • Release Notes 23.1 Release - Mindbreeze InSpire
      • Release Notes 23.2 Release - Mindbreeze InSpire
      • Release Notes 23.3 Release - Mindbreeze InSpire
      • Release Notes 23.4 Release - Mindbreeze InSpire
      • Release Notes 23.5 Release - Mindbreeze InSpire
      • Release Notes 23.6 Release - Mindbreeze InSpire
      • Release Notes 23.7 Release - Mindbreeze InSpire
      • Release Notes 24.1 Release - Mindbreeze InSpire
      • Release Notes 24.2 Release - Mindbreeze InSpire
      • Release Notes 24.3 Release - Mindbreeze InSpire
      • Release Notes 24.4 Release - Mindbreeze InSpire
      • Release Notes 24.5 Release - Mindbreeze InSpire
      • Release Notes 24.6 Release - Mindbreeze InSpire
      • Release Notes 24.7 Release - Mindbreeze InSpire
      • Release Notes 24.8 Release - Mindbreeze InSpire
      • Release Notes 25.1 Release - Mindbreeze InSpire
      • Release Notes 25.2 Release - Mindbreeze InSpire
      • Release Notes 25.3 Release - Mindbreeze InSpire
    • Sicherheit
      • Bekannte Schwachstellen
    • Produktinformation
      • Produktinformation - Mindbreeze InSpire - Standby
      • Produktinformation - Mindbreeze InSpire
    Home

    Path

    Sure, you can handle it. But should you?
    Let our experts manage the tech maintenance while you focus on your business.
    See Consulting Packages

    CIS Level 2 Hardening
    SELinux in den Modus “Enforcing” versetzen

    EinführungPermanenter Link zu dieser Überschrift

    Die Sicherheitsempfehlungen der CIS Level 2 Hardening sehen vor die Sicherheitsarchitektur SELinux in den „Enforcing“ Modus zu versetzen. Mit dem Mindbreeze InSpire 24.4 Release ist für Appliances mit Version 24.4 oder neuer das SELinux standardmäßig im „Enforcing“ Modus. Bei älteren Appliances muss die Aktivierung des Enforcing-Modus manuell durchgeführt werden. Die manuelle Aktivierung wird in dieser Dokumentation erklärt.

    Achtung: Dies gilt explizit nur für Mindbreeze InSpire.

    Einführung zu SELinuxPermanenter Link zu dieser Überschrift

    SELinux ist eine Sicherheitserweiterung von Linux, die Benutzern und Administratoren mehr Kontrolle über die Zugriffskontrolle ermöglicht. Der Zugriff kann auf Variablen beschränkt werden wie welcher Benutzer und welche Anwendungen können auf welche Ressourcen zugreifen. Diese Ressourcen können zum Beispiel Dateien seien. Standardmäßige Linux-Zugriffskontrollen, wie z. B. Dateimodi (-rwxr-xr-x), können vom Benutzer und den Anwendungen, die der Benutzer ausführt, geändert werden. Im Gegensatz dazu werden die SELinux-Zugriffskontrollen durch eine auf dem System geladene Richtlinie bestimmt, die von unvorsichtigen Benutzern oder fehlerhaften Anwendungen nicht geändert werden kann.

    SELinux fügt außerdem eine feinere Granularität der Zugriffskontrolle hinzu. Anstatt nur festzulegen, wer eine Datei lesen, schreiben oder ausführen darf, können Sie mit SELinux festlegen, wer zum Beispiel eine Datei entkoppeln, nur anhängen, verschieben darf etc. . Mit SELinux können Sie auch den Zugriff auf viele andere Ressourcen als auf Dateien festlegen, z. B. auf Netzwerkressourcen und Interprozesskommunikation (IPC).

    Mehr Informationen finden Sie hier: https://selinuxproject.org/

    SELinux in den Modus “Enforcing” versetzenPermanenter Link zu dieser Überschrift

    Bei neuen Appliances, die mit 23.5 (oder höher) ausgeliefert werden, ist SELinux bereits aktiviert und auf den Modus “Permissive” gestellt. Bevor Sie den SELinux-Modus auf “Enforcing” setzen, müssen Sie unbedingt die folgenden Vorbereitungsschritte durchführen, um ein nicht bootfähiges System zu verhindern:

    1. Stellen Sie sicher, dass SELinux im Modus “Permissive” ist (sestatus | grep "Current mode:") und auditd läuft (systemctl is-active auditd).
    2. Wenden Sie das Update 24.4 an oder spielen Sie es erneut ein (stellen Sie sicher, dass die Appliance neu gebootet ist).
    3. Führen Sie die folgenden acht Codezeilen aus:
      1. rpm-ostree cleanup -rpmb
      2. ostree checkout -H $(rpm-ostree status -v | sed -En 's|^[[:space:]]*Commit: (.*)|\1|p') /ostree/repo/tmp/selinux-fix
      3. ostree fsck --delete
      4. ostree commit --consume --link-checkout-speedup --orphan --selinux-policy=/ /ostree/repo/tmp/selinux-fix
      5. ostree admin deploy local_coreos:fedora/x86_64/coreos/stable
      6. restorecon -R -v /etc/ /var/data/scripts /var/data/log
      7. restorecon -v /var/data
      8. restorecon -R -v -e /var/data -e /var/lib/docker /var
    4. Anschließend, starten sie neu mit reboot.

    Überprüfen Sie nun /var/data/log/audit.log (beginnend mit dem Zeitpunkt des Neustarts: ausearch -i | grep avc | grep denied). Wenn es keine Verweigerungen gibt, können Sie SELinux in /etc/selinux/config auf den Modus “Enforcing” setzen und ein letztes Mal neu starten.

    Achtung: Setzen Sie SELinux nicht in den Modus “Disabled”, nachdem Sie den Modus “Enforcing” aktiviert haben. Wenn Sie dies tun, müssen die vorher beschriebenen Schritte wiederholt werden.

    Wenn es Probleme mit SELinux gibt, kann es vorübergehend auf “Permissive” gesetzt werden, indem setenforce 0 ausgeführt wird. Dies wird beim Neustart zurückgesetzt. Um die Änderung dauerhaft zu machen, können Sie den Modus in /etc/selinux/config auf “Permissive” setzen.

    PDF herunterladen

    • CIS Level 2 Hardening - SELinux in den Modus Enforcing versetzen

    Inhalt

    • Einführung

    PDF herunterladen

    • CIS Level 2 Hardening - SELinux in den Modus Enforcing versetzen