SELinux 3 - Policy Modul Entwicklung

In diesem SELinux Aufbautraining Blicken wir hinter die Kulissen von SELinux. Zuerst verschaffen wir uns einen tiefen Einblick in bestehende Policies und ihrem Aufbau, danach erlernen wir das Erstellen und Verteilen von eigenen SELinux Policy Modulen, die SELinux eigene Policy Language und ihre Anwendung, um eigene Probleme zu lösen.

SELinux Policy Administration

• High Level SELinux Architecture
• Typen von Policy Source Dateien (Monolithic, Base, Modul)
• Policy Erstellung mit checkpolicy, checkmodule
• SELinux Policy Dokumentation
• SELinux Manpages generieren
• Policy Analyse mit apol
• Policy Analyse mit sepolicy (manpage, interface, network, transition,...)
• Prozess Domain Transition
• Grafische Analyse der Policy mit sepolicy (booleans, files, network, transitions,...
• Policy Modul Erstellung mit sepolicy generate
• Aufgabe von NAME.te, NAME.if, NAME.fc, NAME_selinux.spec, NAME.sh

Verwalten von Policy Modulen

• Modul Verwaltung mit semodule
• Anzeigen der installierten Module und ihrer Priorität
• Laden und Entladen von Modulen

Access Vector Rules (AVC Rules)

• AVC Kategorien (allow, dontaudit, auditallow, neverallow)
• Analyse von Zugriffsverletzungen mit audit2allow und audit2why
• Bauen eines Moduls mit audit2allow
• Aufbau einer policy.pp Modul Datei
• Laden und Entladen von eigenen Modulen
• Arbeiten mit SELinux Denials und dontaudit Rules
• dontaudit Analyse mit sesearch

SELinux Policy Modul Entwicklung

• Erstellen einer Policy Entwicklungsumgebung
• Bereitstellen der SELinux Reference Policy
• Struktur eines SELinux Policy Modules
• Modul Template Dateien
• Audit Log Analyse mit ausearch und aureport
• M4 Macro Modul Sprache im Detail
• Policy Analyse mit sesearch
• allow Rule im Detail (source, destination, class, permission)

Policy Interfaces

• Vorteil von Interfaces
• Interface Analyse mit sepolicy interface
• Implementieren von Interfaces in eigenen Policy Modulen
• Reference Policy Namenschemas
• Attribute und Interfaces

Policy Module verteilen

• Policy Modul Ablage
• Policy Modul Installation
• Export/Import von lokalen Anpassungen

File Label

• Analyse mit matchpathcon und findcon
• File Context Dateien
• Eigene File Context Definitionen in Policy Modulen

Linux Administrator*innen

Dieses Training richtet sich an alle Teilnehmer*innen mit Administrationserfahrungen im SELinux Bereich, wie sie in unserem Kurs "SELinux 1 - Grundlagen und Administration" vermittelt werden. Tiefere SELinux Kenntnisse wie sie durch unser Training "SELinux 2 - Konfiguration und Management" vermittelt werden sind von Vorteil aber nicht unbedingt notwendig.