Das Linux-Sicherheitsmodell “Security-Enhanced Linux” ermöglicht die Erstellung und Anwendung von Policies, um Systemzugriffe zu kontrollieren. Es bietet zudem eine sehr granulare Ebene zur Stärkung des Betriebssystems gegen Angriffe.
In SELinux werden mögliche Aktionen eines Prozesses auf ein Ziel (z. B. auf Dateien oder Anwendungen) reguliert oder eingeschränkt. Die Prozesse werden hierbei als Domain ausgeführt, um eine Trennung dieser zu ermöglichen. Sollte ein Prozess kompromittiert werden, hat der Angreifer nur Zugriff auf die Prozesse dieser Domain.
In SELinux gibt es drei Betriebsmodi:
- Enforcing: Die Policies werden durchgesetzt und sind aktiv
- Permissive: Das System verwendet zwar die Richtlinien, lässt aber alle Zugriffe zu. Dabei wird protokolliert, welcher Zugriff laut Policy erlaubt oder verboten wäre
- Disabled
In der Vergangenheit war der Einsatz von SELinux im Enforcing-Modus für SAP HANA nicht empfohlen.
Letztes Jahr wurde das Gespräch zu diesem Thema zwischen Red Hat und SAP wieder aufgenommen. Man hat sich geeinigt, SAP HANA auf RHEL-Hosts mit SELinux im Enforcing-Modus zu testen.
SAP HANA Validation Test Suite
Mittlerweile hat Red Hat in Walldorf die „SAP HANA Validation Test Suite“ erfolgreich durchgeführt, ohne dass es zu einer Beeinträchtigung der DB-Leistung kam (der Rückgang betrug nur etwa 2 %). Die „SAP HANA Validation Test Suite“ wird von SAP verwendet, um festzustellen, ob ein System in der Lage ist, SAP HANA DB auszuführen und zu verarbeiten. Die Tests wurden bisher auf RHEL 8.2, RHEL 8.4, RHEL 8.6 und RHEL 9 durchgeführt. RHEL lief hier in einer minimalen Paketinstallation, was eine bewährte Sicherheitspraxis ist, um die Anzahl der Prozesse und Anwendungen zu minimieren, die potenzielle Ziele von Angriffen sein könnten. Red Hat hat dazu folgende KB veröffentlicht.
Auch SAP hat seinen Hinweis “2777782 – SAP HANA DB: Recommended OS Settings for RHEL 8” um den Absatz “SELinux configuration” erweitert. Zwar schreibt SAP, dass es nach wie vor empfohlen ist, SELinux zu deaktiveren, allerdings könnte SAP HANA in SELinux über den “unconfined”-Modus laufen. Dennoch behält sich SAP bei der Analyse von Problemen das Recht vor, SELinux deaktivieren zu lassen.
Dass sich SAP und Red Hat mit diesem Thema beschäftigen, ist ein gutes Signal für alle Kunden, die Ihre Systeme mit hohen Sicherheitsanforderungen betreiben wollen.
Nutzen Sie das SecurityBridge SAP Patch Management, um nie wieder ein wichtiges Update für Ihr SAP System zu verpassen!
Kontaktieren Sie uns, um mehr über SecruityBridge zu erfahren!
Kontaktieren Sie uns!