SELinux 3 – Policy Modul Entwicklung

Grundlagen der Policy-Administration

• Überblick über die High-Level-Architektur von SELinux
• Typen von Policy-Source-Dateien (Monolithic, Base, Module)
• Erstellung von Policies mit checkpolicy & checkmodule
• Generierung von SELinux-Manpages
• Policy-Analyse mit apol und sepolicy (Manpages, Interfaces, Netzwerk, Transitions)
• Prozess-Domain-Transitions nachvollziehen
• Grafische Policy-Analyse mit sepolicy
• Policy-Modul-Erstellung mit sepolicy generate
• Aufbau typischer Dateien: .te, .fc, .sh

Verwaltung von Policy-Modulen

• Arbeiten mit semodule
• Installierte Module und Prioritäten anzeigen
• Module laden und entladen

Access Vector Rules (AVC Rules)

• Kategorien: allow, dontaudit, auditallow, neverallow
• Analyse von Denials mit audit2allow und audit2why
• Eigene Module aus Denials erstellen (audit2allow)
• Struktur einer policy.pp-Datei
• Nutzung und Analyse von dontaudit-Regeln mit sesearch

Entwicklung eigener Policy-Module

• Aufbau einer Policy-Entwicklungsumgebung
• Nutzung der SELinux Reference Policy
• Struktur eines Policy-Moduls und Vorlagen-Dateien
• Audit-Log-Analyse mit ausearch und aureport
• M4-Macro-Sprache für Policy-Entwicklung
• Detaillierte Betrachtung von allow-Rules (source, destination, class, permission)
• Erweiterte Policy-Analyse mit sesearch

Policy-Interfaces

• Vorteile von Interfaces
• Analyse mit sepolicy interface
• Nutzung von Interfaces in eigenen Modulen
• Reference-Policy-Namensschemata
• Arbeiten mit Attributen und Interfaces

Verteilung von Policy-Modulen

• Ablage und Installation von Modulen
• Export und Import lokaler Anpassungen

File Labels in Modulen

• Analyse mit matchpathcon und findcon
• Arbeiten mit File-Context-Dateien
• Eigene File-Context-Definitionen in Policy-Modulen