LabEx
LoginBeitreten

Diagnose und Behebung von SELinux-Richtlinienverstößen

Red Hat Enterprise LinuxBeginner
Jetzt üben

Einführung

Als Systemadministrator sind Sie für die Sicherheit Ihres Linux-Systems verantwortlich. Ein wesentlicher Bestandteil dieser Aufgabe ist die Verwaltung von SELinux (Security-Enhanced Linux), einem Mechanismus zur obligatorischen Zugriffskontrolle (Mandatory Access Control), der Sicherheitsrichtlinien erzwingt. Wenn ein Prozess eine Aktion versucht, die gegen eine Richtlinie verstößt, unterbindet SELinux diese Aktion und protokolliert eine Ablehnung im Access Vector Cache (AVC). In dieser Herausforderung lernen Sie, wie Sie einen gängigen SELinux-Richtlinienverstoß mit Standard-RHEL-Werkzeugen diagnostizieren und beheben – eine entscheidende Fähigkeit für die RHCSA-Prüfung.

Diagnose und Behebung von SELinux-Richtlinienverstößen

Szenario

Ein Webserver auf Ihrem System soll Inhalte aus den Home-Verzeichnissen der Benutzer bereitstellen (z. B. aus einem Verzeichnis ~/public_html). Benutzer berichten jedoch, dass ihre Webseiten nicht erreichbar sind und stattdessen "Forbidden"-Fehlermeldungen (Zugriff verweigert) angezeigt werden. Sie vermuten ein Problem mit SELinux. Ihre Aufgabe ist es, die SELinux-Protokolle zu untersuchen, den Richtlinienverstoß zu identifizieren und die korrekte Korrektur anzuwenden, damit der Webserver wie vorgesehen funktioniert.

Aufgaben

  • Untersuchen Sie die Audit-Logs des Systems nach aktuellen SELinux AVC-Ablehnungen.
  • Analysieren Sie die Ablehnungsmeldung, um zu verstehen, welche Aktion blockiert wurde und welcher SELinux-Boolean das Problem lösen kann.
  • Ändern Sie den entsprechenden SELinux-Boolean, um dem Webserver den Zugriff auf die Home-Verzeichnisse der Benutzer zu gestatten.
  • Stellen Sie sicher, dass die Richtlinienänderung persistent ist, damit sie einen Systemneustart übersteht.

Anforderungen

  • Alle Befehle müssen als Benutzer labex ausgeführt werden. Verwenden Sie sudo, wo administrative Privilegien erforderlich sind.
  • Der zu ändernde SELinux-Boolean ist httpd_enable_homedirs.
  • Die Änderung muss dauerhaft (persistent) konfiguriert werden.

Hinweise

  • Verwenden Sie den Befehl ausearch, um die Audit-Logs abzufragen. Die Option -m avc filtert gezielt nach AVC-Meldungen.
  • Achten Sie genau auf die Ausgabe von ausearch. Sie enthält oft Vorschläge von setroubleshoot zur Behebung der Ablehnung.
  • Der Befehl setsebool wird verwendet, um den Wert eines SELinux-Booleans zu ändern. Nutzen Sie das Flag -P, um die Änderung persistent zu machen.
  • Sie können den aktuellen Wert eines Booleans mit dem Befehl getsebool überprüfen.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Herausforderung haben Sie gelernt, wie Sie einen routinemäßigen SELinux-Richtlinienverstoß diagnostizieren und beheben. Sie haben geübt, ausearch zur Inspektion der Audit-Logs nach AVC-Ablehnungen einzusetzen, die Ausgabe zu interpretieren, um die Ursache zu finden, und setsebool -P zu verwenden, um eine dauerhafte Richtlinienänderung anzuwenden. Die Beherrschung dieses Arbeitsablaufs ist für die Verwaltung der Systemsicherheit unter RHEL unerlässlich und stellt eine grundlegende Fertigkeit dar, die in der RHCSA-Prüfung abgefragt wird.

Verwandt Red Hat Enterprise Linux Kurse
Red Hat Systemadministration (RH124) Zertifizierungslabore

Red Hat Systemadministration (RH124) Zertifizierungslabore

rhellinux
Red Hat System Administration (RH134) Zertifizierungslabore

Red Hat System Administration (RH134) Zertifizierungslabore

rhellinux
Red Hat Enterprise Linux Automatisierung mit Ansible (RH294) Zertifizierungslabore

Red Hat Enterprise Linux Automatisierung mit Ansible (RH294) Zertifizierungslabore

rhelansiblelinux