Die Zähneknirschend-Preis-Frage: Lohnt sich der Aufwand, SELinux auf Debian zum Laufen zu bringen, wenn AppArmor doch nur einen Klick entfernt ist? Die kurze Antwort: Ja, denn wir sind PLUTEX IT-Superhelden und wir lieben Herausforderungen. Die ausführliche Antwort: Ja, und hier ist warum und wie wir das gemacht haben.
Warum SELinux? Nun, AppArmor ist wie der nette Nachbar, der dir hilft, das Fahrrad in den Keller zu tragen. SELinux hingegen ist wie der Navy SEAL, der in dein Haus einbricht, um sicherzustellen, dass du das Fahrrad richtig abgeschlossen hast. Beide haben ihre Berechtigung, aber manchmal brauchst du eben einen SEAL.
Also haben wir uns die Ärmel hochgekrempelt und SELinux auf Debian installiert. Kein einfacher Weg, aber zum Glück haben wir ein paar Kekse neben der Tastatur platziert, um uns bei Laune zu halten.
Erstmal brauchst du das Paket "selinux-basics". Ein einfaches "apt-get install selinux-basics" in der Konsole und schon geht's los. Aber Vorsicht: Jetzt werden Entscheidungen getroffen, die Auswirkungen auf dein System haben können. Bei der Frage, ob der SELinux-Modus aktiviert werden soll, haben wir mit einem beherzten "Ja" geantwortet.
Nachdem wir SELinux installiert hatten, ging es ans Eingemachte: die Konfiguration. Mit dem Befehl "semanage fcontext -a -t httpd_sys_content_t '/var/www/html(/.*)?'" haben wir zum Beispiel den Apache-Webserver abgesichert. Und auch wenn das kompliziert aussieht, ist es in Wirklichkeit nicht so schlimm. Du teilst SELinux einfach mit, dass alles, was im Verzeichnis "/var/www/html" liegt, als httpd_sys_content_t behandelt werden soll.
So weit, so gut. Aber wir sind noch nicht am Ziel. Jetzt musst du SELinux noch sagen, dass es sich auch um die Sicherheit kümmern soll. Ganz im Stil einer herzlichen Einladung haben wir mit "setenforce 1" dem Navy SEAL die Tür geöffnet.
Ein Neustart später waren wir am Ziel: SELinux läuft auf Debian und wir können uns beruhigt zurücklehnen. Oder wir könnten... wenn wir nicht schon die nächste Herausforderung vor Augen hätten. Aber dazu mehr im nächsten Artikel.
Fazit: Ja, SELinux auf Debian zu installieren ist ein Aufwand, aber einer, der sich lohnt. Es ist wie beim Fahrradfahren: Anfangs fällst du vielleicht ein paar Mal hin, aber sobald du den Dreh raus hast, willst du nicht mehr ohne. Und genau deswegen lieben wir den Aufwand.