Základní info
SELinux se stal integrální součástí linuxového jádra již před delší dobou, avšak vztah systémových administrátorů k možnostem jeho využití zůstává rezervovaný. Nad druhé straně se mnohdy hledá řešení bezpečnostních problémů a požadavků složitějšími cestami, zatímco elegantní a snadná řešení na úrovni jádra a jeho SELinuxového rozšíření zůstávají nevyužita. Otevřením problematiky SELinuxu formou kursu chceme zájemce přesvědčit, že do elegance a logičnosti SELinuxové techniky lze snadno proniknout, že použitím SELinuxu lze podstatným způsobem zvýšit zabezpečení systémů a zejména, že inherentní vlastnosti SELinuxu mohou být vysoce zajímavé obzvláště v těch oblastech, pro které byl SELinux původně implementován – např. bankovní sféru, vládní instituce a všechny další organizace, provozujíc systémy s vysokými nároky na bezpečnost a pracující s citlivými a klasifikovanými daty.
Cílová skupina
Kurs je určen především pro zájemce z oblastí, kde vysoká úroveň zabezpečení systémů, auditování a striktně distribuovaný přístup k informacím jsou nutnou podmínkou, především pro:
- systémové architekty
- systémové administrátory
- bezpečnostní manažery a administrátory
- bezpečnostní auditory
- pracovníky a firmy zabývající se penetračním testováním a forenzním výzkumem
Osnova
- Základní rozdíly mezi DAC a MAC
- Integrace FLASK architektury v linuxovém jádře – Linux Security Module
- SELinux Policy server a jeho části
- Politika – typy a součásti, referenční politika
- Subjekt/objektové vztahy, kontexty a labeling
- Domény a doménové přechody
- Type Enforcement
- Access Vector Cache a constraints
- Role Based Access Control
- Multi Layer Security, řízení přístupu ke klasifikovaným datům
- Booleovské proměnné, podmíněné části politiky
- Mechanismus přidělování labels
- SELinuxové kontexty na objektech souborových systémů – fixní a tranzitní FS, generalizované kontexty
- Instalace a struktura referenční politiky
- Principy tvorby politiky – separace, zapouzdření, abstrakce
- Kompilace politiky – prerekvizity, nástroje, postupy, tvorba modulů
- Sady nástrojů pro tvorbu politiky a sledování systému, auditing.
Předpoklady účastníka
- standardní práce s příkazovou řádkou – bash
- práce s textovým editorem vim, nano, atp.
- základní administrační dovednosti – instalace balíků, pohyb po souborovém stromu
- elementární znalost GUI prostředí Gnome3
