Icinga2 SELinux Policy sucht Tester

selinux-penguin-125
Nachdem ich mit Michael im Rahmen der FOSDEM über das Thema einer SELinux Policy zur weiteren Absicherung von Icinga 2 diskutiert hatte, nahm ich mich der Aufgabe an. Rund zwei Monate später hat die Policy nun einen Stand erreicht, an dem sie Benutzerfeedback braucht.

Wer soll testen?

Das Hauptziel ist eine Policy für Red Hat Enterprise Linux 7 und seine Derivate. Wer also eines davon betreibt ohne SELinux abzuschalten, ist das perfekte Versuchskaninchen der perfekte Tester. Aber natürlich freuen wir uns über Feedback zu jedem Betriebssystem, wenn es jemand auf einem anderen System mit SELinux ausprobieren möchte.

Was soll getestet werden?

Einfach das Policy Modul gemäß der Anleitung installieren und Icinga 2 wie gewohnt betreiben. Hierbei ist es egal ob es sich um ein einfaches Setup oder eine hoch komplexe Umgebung handelt, jedes Feedback hilft dabei die Policy produktionsreif zu bekommen. Auch das Feedback, dass alles funktioniert wie erwartet, hilft! Sollte die Dokumentation noch Fragen offen lassen oder unklar sein, schreibt uns auch das und macht Vorschläge wie diese verbessert werden kann. Das Feedback einfach an den Feature Request anhängen, der es erlaubt die Entwicklung zu verfolgen.

Mehr zu SELinux?

SELinux Coloring Book
Für diejenigen, die erst mal mehr zu SELinux erfahren möchten, enthält die Dokumentation Links zum SELinux FAQ, dem Red Hat Enterprise Linux 7 – SELinux User’s and Administrator’s Guide und der wahrscheinlich besten Erklärung für SELinux-Neulinge, dem SELinux Malbuch. Die Dokumentation erklärt darüber hinaus das Icinga 2 Policy Modul mit dem der Dienst abgesichert wird. Auch erlaubt es einen administrativen Benutzer auf das Management von Icinga 2 zu beschränken.

Warum SElinux?

Warum sollte SELinux einen überhaupt kümmern? Einfach weil es ein zusätzlicher Sicherheitsmechanismus ist, der die möglichen Auswirkungen von Schwachstellen verringert. Als ein noch nicht zu weit vergangenes und bekanntes Beispiel soll der Shellshock-Exploit dienen, welchen Dan Walsh unter dem Aspekt SELinux analysiert.

Nächste Schritte

Oberste Priorität hat das Sammeln von Feedback und Weiterentwickeln der Policy und Dokumentation dazu. Danach um die Installation zu vereinfachen das Bauen von Paketen. Ziel ist es bis zur Version 2.4 von Icinga 2 alles nochmal überprüft zu haben und den Entwicklungszweig in den Release zu überführen.
Dies erlaubt dann den Fedora und EPEL Maintainern mit dem Review-Prozess zu beginnen, der benötigt wird um das Paket in die Distribution zu bekommen.
Mit dem Release von Icinga Web 2 wird der gleiche Prozess hierfür ablaufen.
Zu guter Letzt soll das hier entwickelte Policy Modul in die Reference Policy einfließen, was dann wiederum die Installation von Zusatzpaketen unnötig macht.
For an English version of this post have a look at the Icinga blog.

Dirk Götz
Dirk Götz
Senior Consultant

Dirk ist Red Hat Spezialist und arbeitet bei NETWAYS im Bereich Consulting für Icinga, Puppet, Ansible, Foreman und andere Systems-Management-Lösungen. Früher war er bei einem Träger der gesetzlichen Rentenversicherung als Senior Administrator beschäftigt und auch für die Ausbildung der Azubis verantwortlich wie nun bei NETWAYS.