Bij veel bedrijven draaien er naast de standaard software die door de OS leverancier is aangeleverd ook custom applicaties op de servers. Soms zijn deze in huis geschreven, soms zijn deze door een andere leverancier aangeleverd. Maar in beide gevallen is de kans klein dat deze services al restricties opgelegd hebben gekregen via een SELinux policy.

Het is gelukkig mogelijk om zelf policy modules te schrijven die de bestaande SELinux policy uitbreiden met extra types en regels voor je custom applicaties. Hoever je wilt gaan in het opleggen van restricties is aan jou.

In wat recente videos hebben we gekeken naar SELinux troubleshooting en policy queries, zonder de basis van SELinux te behandelen. Nu hebben we de basis meer dan twee jaar geleden behandeld in een serie videos, maar het is wel weer tijd voor een opfrisser.

Op een RHEL systeem is standaard een SELinux policy (meestal targeted) actief die bepaalt wat services wel, maar vooral ook niet, mogen doen. In principe is alles wat niet expliciet is toegestaan verboden, maar wat er nou precies is toegestaan is voor veel beheerders een enigma.

Gelukkig zijn er tooltjes waarmee je een SELinux policy kunt uitlezen om te zien wat er nou precies allemaal inzit, zonder naar de source van de policy te hoeven grijpen. Een bijkomend voordeel van je draaiende systeem uitlezen is dat eventueel geladen modules en extensies ook uitgelezen worden.

Iedere beheerder die RHEL(-familie) systemen beheert is wel eens tegen een probleem aangelopen waarbij SELinux iets aan het tegenhouden was dat eigenlijk niet tegengehouden had moeten worden. Dan kun je zelf de SELinux log files induiken (/var/log/audit/audit.log), maar je kunt ook andere tooltjes daar naar laten kijken voor je, om wat leesbaardere output te krijgen.