Security Enhanced Linux (SELinux)

SELinux ist Code, der im Benutzeradressbereich ausgeführt wird und den Kernel-Code (Linux -Sicherheitsmodule) nutzt, um eine obligatorische Zugriffssteuerung (Mandatory Access Control, MAC) über Systemressourcen bereitzustellen. Prozesse beschränken sich auf Domänen, die als Sandboxes angesehen werden können. Der Zugriff auf Systemobjekte und Merkmale wie Dateien, Nachrichtenwarteschlangen, Semaphore und Netzbetrieb wird nach dem Prinzip der geringsten Berechtigung pro Domäne gesteuert.

Verzeichnisse und Dateien sind mit einem persistenten Typ in SELinux gekennzeichnet, der von den üblichen UNIX-Discretionary Access Controls (DAC) getrennt ist. Dieser zusätzliche Layer ermöglicht eine strengere Kontrolle des Zugriffs auf Objekte: Wenn ein Eindringling die Kontrolle über einen Prozess erhält, dessen Eigner ein Benutzer ist, wird der Zugriff auf alle Dateien, deren Eigner dieser Benutzer ist, nicht automatisch erteilt. Die Art des Zugriffs (Lesen, Schreiben, Erstellen) kann auch von SELinux gesteuert werden.

SELinux kann in drei Modi betrieben werden: 'Disabled' (inaktiviert), 'Permissive' (zulassend) oder 'Enforcing' (erzwingend). Für den Wechsel zwischen den Modi ist möglicherweise ein Warmstart erforderlich.
  • 'Disabled' bedeutet, dass keine Zugriffsprüfung oder -protokollierung durchgeführt wird.
  • 'Permissive' bedeutet, dass Zugriffsverletzungen protokolliert werden; es dürfen jedoch keine Zugriffsverletzungen auftreten.
  • 'Enforcing' bedeutet, dass die Richtlinie erzwungen wird, und der Zugriff wird verweigert, wenn sie in der Richtlinie nicht zulässig ist.

SELinux hängt von Betriebssystemkonfigurationen ab, die außerhalb von Db2®vorhanden sind. Db2 ist keine "SELinux-sensitive" Anwendung, die SELinux im Betrieb erkennt und daher keine dynamischen Änderungen an SELinux-Eigenschaften vornimmt, während der Datenbankserver in Betrieb ist. Daher müssen alle Konfigurationsänderungen an den Richtliniendateien vorgenommen werden, die das von Db2zugelassene Verhalten steuern.

Wenn Db2 installiert und die Standardrichtlinie "Ziel" konfiguriert ist, werden die Db2 -Prozesse in der Domäne "Uneingeschränkt" ausgeführt. Dies funktioniert und Db2 kann wie vor der Einführung oder Aktivierung von SELinux ausgeführt werden.

Beispiele für SELinux-Richtlinien finden Sie unter SELinux sample policies.

Es werden Beispielrichtliniendateien bereitgestellt, damit Db2 -Prozesse in der begrenzten Domäne ausgeführt werden können, die zusätzlichen Schutz bieten. Diese Beispiele dienen als Ausgangspunkt und müssen für Ihre Umgebung angepasst werden. Die technische Unterstützung für Db2 kann bei der Konfiguration von SELinux oder bei der Verwendung der Beispiele nicht helfen. Alle Fehler, die im Rahmen von SELinux-Richtlinien auftreten, müssen vom Kunden behoben werden. Die Verwendung von Db2 in einer Umgebung, in der sich SELinux im toleranten Modus oder im restriktiven Modus befindet, wird jedoch unterstützt, sofern Fehler nicht das Ergebnis der SELinux-Richtlinienkonfiguration sind.