{"id":36280,"date":"2019-10-31T22:10:39","date_gmt":"2019-10-31T19:10:39","guid":{"rendered":"https:\/\/prohoster.info\/blog\/rukovodstvo-dlya-nachinayushhih-po-selinux\/"},"modified":"2019-10-31T22:10:39","modified_gmt":"2019-10-31T19:10:39","slug":"rukovodstvo-dlya-nachinayushhih-po-selinux","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/rukovodstvo-dlya-nachinayushhih-po-selinux","title":{"rendered":"Einsteigerleitfaden zu SELinux","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><img decoding=\"async\" alt=\"Einsteigerleitfaden zu SELinux\" src=\"\/wp-content\/uploads\/2019\/07\/4e1443c8b79a8dfa1b28fb6b6d0666bb.png\" style=\"display:block;margin: 0 auto;\" \/><\/p>\n<p><\/p>\n<p><em>\u00dcbersetzung des Artikels f\u00fcr Studierende des Kurses <noindex><a rel=\"nofollow\" href=\"https:\/\/otus.pw\/31Eb\/\">\u201eLinux-Sicherheit\u201c<\/a><\/noindex><\/em><\/p>\n<p>SELinux oder Security Enhanced Linux ist ein erweiterter Zugriffskontrollmechanismus, der von der National Security Agency (NSA) der USA entwickelt wurde, um b\u00f6swillige Eindringlinge zu verhindern. Es implementiert ein verbindliches (oder mandatorisches) Zugriffssteuerungsmodell (Mandatory Access Control, MAC) \u00fcber das bestehende diskretion\u00e4re (oder wahlweise) Modell (Discretionary Access Control, DAC), das die Berechtigungen f\u00fcr Lesen, Schreiben und Ausf\u00fchren umfasst.<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<p><\/p>\n<p>SELinux bietet drei Modi:<\/p>\n<p><\/p>\n<ol>\n<li><strong>Enforcing<\/strong> \u2014 verweigert den Zugriff basierend auf den Richtlinienregeln.<\/li>\n<li><strong>Permissive<\/strong> \u2014 protokolliert Aktivit\u00e4ten, die gegen die Richtlinie versto\u00dfen und im Enforcing-Modus verboten w\u00e4ren.<\/li>\n<li><strong>Disabled<\/strong> \u2014 vollst\u00e4ndige Deaktivierung von SELinux.<\/li>\n<\/ol>\n<p><\/p>\n<p>Standardm\u00e4\u00dfig befinden sich die Einstellungen in <code>\/etc\/selinux\/config<\/code><\/p>\n<p><\/p>\n<h1 id=\"izmenenie-rezhimov-selinux\">\u00c4ndern der SELinux-Modi<\/h1>\n<p><\/p>\n<p>Um den aktuellen Modus zu erfahren, f\u00fchren Sie aus <\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ getenforce<\/code><\/pre>\n<p><\/p>\n<p>Um den Modus auf permissive zu \u00e4ndern, f\u00fchren Sie den folgenden Befehl aus <\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ setenforce 0<\/code><\/pre>\n<p><\/p>\n<p>oder, um den Modus von <strong>permissive<\/strong> findet man <strong>auf<\/strong>enforcing <\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">, f\u00fchren Sie aus<\/code><\/pre>\n<p><\/p>\n<p>$ setenforce 1 <\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">Wenn Sie SELinux vollst\u00e4ndig deaktivieren m\u00fcssen, k\u00f6nnen Sie dies nur \u00fcber die Konfigurationsdatei tun<\/code><\/pre>\n<p><\/p>\n<p>$ vi \/etc\/selinux\/config<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">SELINUX=disabled<\/code><\/pre>\n<p><\/p>\n<h1 id=\"nastroyka-selinux\">Konfiguration von SELinux<\/h1>\n<p><\/p>\n<p>Jede Datei und jeder Prozess wird mit einem SELinux-Kontext versehen, der zus\u00e4tzliche Informationen wie Benutzer, Rolle, Typ usw. enth\u00e4lt. Wenn Sie SELinux zum ersten Mal aktivieren, m\u00fcssen Sie zun\u00e4chst den Kontext und die Labels konfigurieren. Der Prozess der Zuweisung von Labels und Kontexten wird als Labeling bezeichnet. Um mit dem Labeling zu beginnen, \u00e4ndern wir den Modus in der Konfigurationsdatei auf <strong>permissive<\/strong>.<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ vi \/etc\/selinux\/config\nSELINUX=permissive<\/code><\/pre>\n<p><\/p>\n<p>Nach der Festlegung des Modus <strong>permissive<\/strong>, erstellen wir im Stammverzeichnis eine leere versteckte Datei mit dem Namen <code>.autorelabel<\/code><\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ touch \/.autorelabel<\/code><\/pre>\n<p><\/p>\n<p>und starten den Computer neu<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ init 6<\/code><\/pre>\n<p><\/p>\n<p>Hinweis: Wir verwenden den Modus <strong>permissive<\/strong> zum Labeling, da die Verwendung des Modus <strong>auf<\/strong> zu einem Systemabbruch w\u00e4hrend des Neustarts f\u00fchren kann.<\/p>\n<p><\/p>\n<p>Keine Sorge, wenn das Booten bei einer bestimmten Datei h\u00e4ngen bleibt, das Labeling ben\u00f6tigt etwas Zeit. Nach Abschluss des Labelings und dem Hochfahren Ihres Systems k\u00f6nnen Sie zur Konfigurationsdatei zur\u00fcckkehren und den Modus festlegen <strong>auf<\/strong>, sowie ausf\u00fchren:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">, f\u00fchren Sie aus<\/code><\/pre>\n<p><\/p>\n<p>Jetzt haben Sie SELinux erfolgreich auf Ihrem Computer aktiviert. <\/p>\n<p><\/p>\n<h1 id=\"monitorim-logi\">Wir \u00fcberwachen die Protokolle<\/h1>\n<p><\/p>\n<p>M\u00f6glicherweise gab es beim Labeling oder w\u00e4hrend des Betriebs des Systems einige Fehler. Um zu \u00fcberpr\u00fcfen, ob Ihr SELinux korrekt funktioniert und ob es den Zugriff auf einen Port, eine Anwendung usw. blockiert, sollten Sie die Protokolle pr\u00fcfen. Die SELinux-Protokolldatei befindet sich in <code>\/var\/log\/audit\/audit.log<\/code>, aber Sie m\u00fcssen es nicht vollst\u00e4ndig lesen, um Fehler zu finden. Sie k\u00f6nnen das Tool audit2why verwenden, um nach Fehlern zu suchen. F\u00fchren Sie den folgenden Befehl aus:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ audit2why &lt; \/var\/log\/audit\/audit.log<\/code><\/pre>\n<p><\/p>\n<p>Infolgedessen erhalten Sie eine Liste von Fehlern. Wenn es keine Fehler im Protokoll gab, werden keine Nachrichten angezeigt.<\/p>\n<p><\/p>\n<h1 id=\"nastroyka-politiki-selinux\">Konfiguration der SELinux-Richtlinie<\/h1>\n<p><\/p>\n<p>Die SELinux-Richtlinie ist eine Sammlung von Regeln, die vom Sicherheitsmechanismus SELinux befolgt wird. Die Richtlinie definiert eine Reihe von Regeln f\u00fcr eine bestimmte Umgebung. Jetzt werden wir lernen, wie man Richtlinien konfiguriert, um den Zugriff auf gesperrte Dienste zu erm\u00f6glichen.<\/p>\n<p><\/p>\n<h4 id=\"1-logicheskie-znacheniya-pereklyuchateli\">1. Logische Werte (Schalter)<\/h4>\n<p><\/p>\n<p>Schalter (Booleans) erm\u00f6glichen es, Teile der Richtlinie w\u00e4hrend der Laufzeit zu \u00e4ndern, ohne neue Richtlinien erstellen zu m\u00fcssen. Sie erm\u00f6glichen es, \u00c4nderungen ohne Neustart oder Neukompilierung der SELinux-Richtlinien vorzunehmen.<\/p>\n<p><\/p>\n<p><strong>Beispiel<\/strong><br \/>\nAngenommen, wir m\u00f6chten den Zugriff auf das Home-Verzeichnis eines Benutzers \u00fcber FTP zum Lesen und Schreiben bereitstellen, und wir haben es bereits freigegeben, aber beim Zugriff sehen wir nichts. Das liegt daran, dass die SELinux-Richtlinie dem FTP-Server verbietet, im Home-Verzeichnis des Benutzers zu lesen und zu schreiben. Wir m\u00fcssen die Richtlinie \u00e4ndern, damit der FTP-Server auf die Home-Verzeichnisse zugreifen kann. Schauen wir, ob es daf\u00fcr irgendwelche Schalter gibt, indem wir ausf\u00fchren<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ semanage boolean -l<\/code><\/pre>\n<p><\/p>\n<p>Dieser Befehl gibt eine Liste der verf\u00fcgbaren Schalter mit ihrem aktuellen Status (eingeschaltet\/on oder ausgeschaltet\/off) und einer Beschreibung aus. Sie k\u00f6nnen die Suche verfeinern, indem Sie grep hinzuf\u00fcgen, um nur die Ergebnisse zu finden, die sich auf ftp beziehen:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ semanage boolean -l | grep ftp<\/code><\/pre>\n<p><\/p>\n<p>und finden Sie Folgendes<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">ftp_home_dir        -&gt; off       Erm\u00f6glichen Sie ftp, Dateien im Benutzer-Home-Verzeichnis zu lesen und zu schreiben<\/code><\/pre>\n<p><\/p>\n<p>Dieser Schalter ist ausgeschaltet, daher werden wir ihn mit <code>setsebool ftp_home_dir on<\/code><\/p>\n<p><\/p>\n<p>Jetzt kann unser FTP-D\u00e4mon auf das Home-Verzeichnis des Benutzers zugreifen.<br \/>\nHinweis: Sie k\u00f6nnen auch eine Liste der verf\u00fcgbaren Schalter ohne Beschreibung erhalten, indem Sie <code>getsebool -a<\/code><\/p>\n<p><\/p>\n<h4 id=\"2-metki-i-kontekst\">2. Labels und Kontext<\/h4>\n<p><\/p>\n<p>Dies ist die g\u00e4ngigste Methode zur Implementierung der SELinux-Politik. Jede Datei, jeder Ordner, jeder Prozess und jeder Port wird mit einem SELinux-Kontext gekennzeichnet:<\/p>\n<p><\/p>\n<ul>\n<li>Bei Dateien und Ordnern werden die Labels als erweiterte Attribute im Dateisystem gespeichert und k\u00f6nnen mit dem folgenden Befehl angezeigt werden:\n<pre><code class=\"plaintext\">$ ls -Z \/etc\/httpd<\/code><\/pre>\n<\/li>\n<li>F\u00fcr Prozesse und Ports wird die Kennzeichnung vom Kernel verwaltet, und diese Labels k\u00f6nnen wie folgt angesehen werden:<\/li>\n<\/ul>\n<p><\/p>\n<p>ein Prozess.<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ ps -auxZ | grep httpd<\/code><\/pre>\n<p><\/p>\n<p>Port<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ netstat -anpZ | grep httpd<\/code><\/pre>\n<p><\/p>\n<p><strong>Beispiel<\/strong><br \/>\nLassen Sie uns nun ein Beispiel betrachten, um die Labels und den Kontext besser zu verstehen. Angenommen, wir haben <a class=\"wpil_keyword_link\" href=\"https:\/\/prohoster.info\/de\/server\/\"   title=\"Webserver\" data-wpil-keyword-link=\"linked\"  data-wpil-monitor-id=\"1142\">Webserver<\/a>, das anstelle des Verzeichnisses <code>\/var\/www\/html\/ \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \/home\/dan\/html\/<\/code>. SELinux wird dies als Versto\u00df gegen die Politik betrachten, und Sie werden Ihre Webseiten nicht anzeigen k\u00f6nnen. Dies liegt daran, dass wir den Sicherheitskontext, der mit HTML-Dateien verbunden ist, nicht festgelegt haben. Um den Standard-Sicherheitskontext anzuzeigen, verwenden Sie den folgenden Befehl:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ ls -lz \/var\/www\/html\n -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 \/var\/www\/html\/<\/code><\/pre>\n<p><\/p>\n<p>Hier haben wir <code>httpd_sys_content_t<\/code> als Kontext f\u00fcr HTML-Dateien erhalten. Wir m\u00fcssen diesen Sicherheitskontext f\u00fcr unser aktuelles Verzeichnis festlegen, das derzeit den folgenden Kontext hat:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">-rw-r--r--. dan dan system_u:object_r:user_home_t:s0 \/home\/dan\/html\/<\/code><\/pre>\n<p><\/p>\n<p>Alternativer Befehl zur \u00dcberpr\u00fcfung des Sicherheitskontexts einer Datei oder eines Verzeichnisses:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ semanage fcontext -l | grep '\/var\/www'<\/code><\/pre>\n<p><\/p>\n<p>Wir werden auch semanage verwenden, um den Kontext zu \u00e4ndern, nachdem wir den richtigen Sicherheitskontext gefunden haben. Um den Kontext f\u00fcr \/home\/dan\/html zu \u00e4ndern, f\u00fchren Sie die folgenden Befehle aus:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ semanage fcontext -a -t httpd_sys_content_t \u2018\/home\/dan\/html(\/.*)?\u2019\n$ semanage fcontext -l | grep \u2018\/home\/dan\/html\u2019\n\/home\/dan\/html(\/.*)? alle Dateien system_u:object_r:httpd_sys_content_t:s0\n$ restorecon -Rv \/home\/dan\/html<\/code><\/pre>\n<p><\/p>\n<p>Nachdem der Kontext mit semanage ge\u00e4ndert wurde, l\u00e4dt der Befehl restorecon den Standardkontext f\u00fcr Dateien und Verzeichnisse. Unser Webserver kann jetzt Dateien aus dem Ordner lesen, <code>\/home\/dan\/html<\/code>, da der Sicherheitskontext f\u00fcr diesen Ordner auf <code>httpd_sys_content_t<\/code>.<\/p>\n<p><\/p>\n<h4 id=\"3-sozdanie-lokalnyh-politik\">3. Erstellung lokaler Richtlinien<\/h4>\n<p><\/p>\n<p>Es kann Situationen geben, in denen die oben genannten Methoden f\u00fcr Sie nutzlos sind, und Sie erhalten Fehler (avc\/denial) im audit.log. Wenn dies geschieht, muss eine lokale Richtlinie (Local policy) erstellt werden. Alle Fehler k\u00f6nnen mit audit2why gefunden werden, wie oben beschrieben.<\/p>\n<p><\/p>\n<p>Um Fehler zu beheben, kann eine lokale Richtlinie erstellt werden. Zum Beispiel, wenn wir einen Fehler im Zusammenhang mit httpd (apache) oder smbd (samba) erhalten, filtern wir die Fehler und erstellen eine Richtlinie daf\u00fcr:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">apache\n$ grep httpd_t \/var\/log\/audit\/audit.log | audit2allow -M http_policy\nsamba\n$ grep smbd_t \/var\/log\/audit\/audit.log | audit2allow -M smb_policy<\/code><\/pre>\n<p><\/p>\n<p>Hier <code>http_policy<\/code> und <code>smb_policy<\/code> \u2014 das sind die Namen der lokal erstellten Richtlinien. Nun m\u00fcssen wir diese erstellten lokalen Richtlinien in die aktuelle SELinux-Richtlinie laden. Dies kann folgenderma\u00dfen erfolgen:<\/p>\n<p><\/p>\n<pre><code class=\"plaintext\">$ semodule \u2013I http_policy.pp\n$ semodule \u2013I smb_policy.pp<\/code><\/pre>\n<p><\/p>\n<p>Unsere lokalen Richtlinien wurden geladen, und wir sollten keine weiteren avc oder denials im audit.log erhalten.<\/p>\n<p><em>Das war mein Versuch, Ihnen zu helfen, SELinux zu verstehen. Ich hoffe, dass Sie sich nach dem Lesen dieses Artikels mit SELinux wohler f\u00fchlen.<\/em><\/p>\n<p>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/otus\/blog\/460387\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u0441\u0442\u0430\u0442\u044c\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d \u0434\u043b\u044f \u0441\u0442\u0443\u0434\u0435\u043d\u0442\u043e\u0432 \u043a\u0443\u0440\u0441\u0430 \u00ab\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c Linux\u00bb SELinux \u0438\u043b\u0438 Security Enhanced Linux \u2014 \u044d\u0442\u043e \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0439 \u0410\u0433\u0435\u043d\u0442\u0441\u0442\u0432\u043e\u043c \u043d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0421\u0428\u0410 (\u0410\u041d\u0411 \u0421\u0428\u0410) \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439. \u041e\u043d \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e (\u0438\u043b\u0438 \u043c\u0430\u043d\u0434\u0430\u0442\u043d\u0443\u044e) \u043c\u043e\u0434\u0435\u043b\u044c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c (\u0430\u043d\u0433\u043b. Mandatory Access Control, MAC) \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0439 \u0434\u0438\u0441\u043a\u0440\u0435\u0446\u0438\u043e\u043d\u043d\u043e\u0439 (\u0438\u043b\u0438 \u0438\u0437\u0431\u0438\u0440\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439) \u043c\u043e\u0434\u0435\u043b\u0438 (\u0430\u043d\u0433\u043b. Discretionary Access Control, DAC), \u0442\u043e [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":27140,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-36280","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u0441\u0442\u0430\u0442\u044c\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d \u0434\u043b\u044f \u0441\u0442\u0443\u0434\u0435\u043d\u0442\u043e\u0432 \u043a\u0443\u0440\u0441\u0430 \u00ab\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c Linux\u00bb SELinux \u0438\u043b\u0438 Security Enhanced Linux \u2014 \u044d\u0442\u043e \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0439 \u0410\u0433\u0435\u043d\u0442\u0441\u0442\u0432\u043e\u043c \u043d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0421\u0428\u0410 (\u0410\u041d\u0411 \u0421\u0428\u0410) \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439. \u041e\u043d \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e (\u0438\u043b\u0438 \u043c\u0430\u043d\u0434\u0430\u0442\u043d\u0443\u044e) \u043c\u043e\u0434\u0435\u043b\u044c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c (\u0430\u043d\u0433\u043b. Mandatory Access Control, MAC) \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0439 \u0434\u0438\u0441\u043a\u0440\u0435\u0446\u0438\u043e\u043d\u043d\u043e\u0439 (\u0438\u043b\u0438 \u0438\u0437\u0431\u0438\u0440\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439) \u043c\u043e\u0434\u0435\u043b\u0438 (\u0430\u043d\u0433\u043b. Discretionary Access Control, DAC), \u0442\u043e\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/rukovodstvo-dlya-nachinayushhih-po-selinux\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u0420\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u043e \u0434\u043b\u044f \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0438\u0445 \u043f\u043e SELinux | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u0441\u0442\u0430\u0442\u044c\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d \u0434\u043b\u044f \u0441\u0442\u0443\u0434\u0435\u043d\u0442\u043e\u0432 \u043a\u0443\u0440\u0441\u0430 \u00ab\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c Linux\u00bb SELinux \u0438\u043b\u0438 Security Enhanced Linux \u2014 \u044d\u0442\u043e \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0439 \u0410\u0433\u0435\u043d\u0442\u0441\u0442\u0432\u043e\u043c \u043d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0421\u0428\u0410 (\u0410\u041d\u0411 \u0421\u0428\u0410) \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439. \u041e\u043d \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e (\u0438\u043b\u0438 \u043c\u0430\u043d\u0434\u0430\u0442\u043d\u0443\u044e) \u043c\u043e\u0434\u0435\u043b\u044c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c (\u0430\u043d\u0433\u043b. Mandatory Access Control, MAC) \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0439 \u0434\u0438\u0441\u043a\u0440\u0435\u0446\u0438\u043e\u043d\u043d\u043e\u0439 (\u0438\u043b\u0438 \u0438\u0437\u0431\u0438\u0440\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439) \u043c\u043e\u0434\u0435\u043b\u0438 (\u0430\u043d\u0433\u043b. Discretionary Access Control, DAC), \u0442\u043e\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/rukovodstvo-dlya-nachinayushhih-po-selinux\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T19:10:39+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T19:10:39+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Einsteigerleitfaden zu SELinux | ProHoster","description":"Die \u00dcbersetzung des Artikels wurde f\u00fcr die Studierenden des Kurses \u201eLinux-Sicherheit\u201c vorbereitet. SELinux oder Security Enhanced Linux ist ein verbessertes Zugriffssteuerungsmechanismus, der von der National Security Agency (NSA) der USA entwickelt wurde, um b\u00f6swillige Angriffe zu verhindern. Es implementiert ein zwingendes (oder verpflichtendes) Zugriffssteuerungsmodell (Mandatory Access Control, MAC) \u00fcber das bestehende diskretion\u00e4re (oder wahlweise) Modell (Discretionary Access Control, DAC),","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/rukovodstvo-dlya-nachinayushhih-po-selinux","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u0420\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u043e \u0434\u043b\u044f \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0438\u0445 \u043f\u043e SELinux | ProHoster","og:description":"\u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u0441\u0442\u0430\u0442\u044c\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d \u0434\u043b\u044f \u0441\u0442\u0443\u0434\u0435\u043d\u0442\u043e\u0432 \u043a\u0443\u0440\u0441\u0430 \u00ab\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c Linux\u00bb SELinux \u0438\u043b\u0438 Security Enhanced Linux \u2014 \u044d\u0442\u043e \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0439 \u0410\u0433\u0435\u043d\u0442\u0441\u0442\u0432\u043e\u043c \u043d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0421\u0428\u0410 (\u0410\u041d\u0411 \u0421\u0428\u0410) \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439. \u041e\u043d \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e (\u0438\u043b\u0438 \u043c\u0430\u043d\u0434\u0430\u0442\u043d\u0443\u044e) \u043c\u043e\u0434\u0435\u043b\u044c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c (\u0430\u043d\u0433\u043b. Mandatory Access Control, MAC) \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0439 \u0434\u0438\u0441\u043a\u0440\u0435\u0446\u0438\u043e\u043d\u043d\u043e\u0439 (\u0438\u043b\u0438 \u0438\u0437\u0431\u0438\u0440\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439) \u043c\u043e\u0434\u0435\u043b\u0438 (\u0430\u043d\u0433\u043b. Discretionary Access Control, DAC), \u0442\u043e","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/rukovodstvo-dlya-nachinayushhih-po-selinux","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T19:10:39+00:00","article:modified_time":"2019-10-31T19:10:39+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"36280","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-02-09 15:05:39","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 01:47:35","updated":"2026-02-09 15:05:39"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/36280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=36280"}],"version-history":[{"count":1,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/36280\/revisions"}],"predecessor-version":[{"id":158345,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/36280\/revisions\/158345"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/27140"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=36280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=36280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=36280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}