Moin,

ich würde mich gerne mal an SELinux rantasten. Jetzt werde ich nur nicht so ganz Schlau aus dem Wiki Eintrag: https://wiki.archlinux.org/index.php/SELinux#Installing_SELinux
Der Standard Kernel hat die nötigen Konfigurationsoptionen, muss aber beim Booten noch "selinux=1 security=selinux" übergeben bekommen. Muss ich dann all die Pakete aus dem AUR auch gleich installieren oder reicht es im ersten Schritt den Kernel mit den Paramtern zu booten? Ich würde dann gerne ein Programm nach dem anderen testen ob das dann noch läuft bevor ich gleiche alle Pakete ersetze.
Wenn du SELinux lernen möchtest, setz dir ein eigenes Testsystem dafür auf. Datenverlust möglich.
Ich wage mal die Aussage, dass es fürs Antesten von SELinux vielleicht am besten ist, CentOS in einer VM aufzusetzen, da dies standardmäßig damit kommt.
Als ehemaliger CentOS Nutzer kann ich aber sagen, dass SELinux meiner Erfahrung nach ein Negativbeispiel dafür ist, dass akzeptable Sicherheit Usability nicht beeinträchtigen sollte.
Obgleich CentOS bereits sehr gut vorkonfigurierte Policies mitliefert, musste ich früher oft ellenlang Fehler analysieren um dann festzustellen, dass irgendeine Policy fehlte oder falsch konfiguriert war.
Ob der damit einhergehende zusätzliche Wartungsaufwand und die Fehleranfälligkeit bei Paketupdates (nach welchen nicht selten SELinux Policy und Program nicht mehr Kompatibel sind) die erhöhte Sicherheit rechtfertigen ist sicher streitbar und vom Kontext abhängig.
Im Privatbereich und bei nicht-KRITIS Unternehmen würde ich dies aber aus meiner Erfahrung verneinen.
Danke für die Rückmeldungen. Ich werde das dann mal über eine VM machen. Ob nun Arch oder CentOS schaue ich mal aber testen bzw. damit "rumspielen" möchte ich auf jeden Fall mal.
Bei CentOS sind die Pakete schon mal richtig konfiguriert. Spannend wird es dann, wenn die Speicherorte eines Programms vom Standard abweichen (beispielsweise die Datenbankdaten auf einer separaten Festplatte sind).

Am Anfang würde ich mit dem "Permissive" Modus arbeiten und schön fleissig die Logdateien durchforsten.

Es kann auch sein, dass beispielsweise rsync funktioniert, wenn du es in der Konsole ausführst, aber dann später als Dienst mit systemd nicht mehr. Und den einzigen Hinweis findest du in den audit logs (, wenn ich mich richtig entsinne).
Gerry_Ghetto schrieb Am Anfang würde ich mit dem "Permissive" Modus arbeiten und schön fleissig die Logdateien durchforsten.
IIRC gab/gibt es auch irgendwelche grafischen Helper die einem direkt zur Laufzeit irgendwelche Notifications auf den Desktop knallen. Das kann vielleicht zum Spielen auch ganz interessant sein, ist ja erstmal nur eine Spielwiese, da stört ein laufendes X keinen.
Ich schliesse mich bei SELinux schard an. SE kann eine richtige Bi§$% sein. Allerdings war das m.W. nie für Normalanwender gedacht, nur für besonders paranoide Umgebungen. Darum würde ich ebenfalls zu CentOS greifen - wenn du SE richtig einsetzen willst kaufst du i.d.R. auch ein RedHat mit Support.