{"id":23815,"date":"2026-06-11T15:24:45","date_gmt":"2026-06-11T13:24:45","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=23815"},"modified":"2026-06-11T15:24:47","modified_gmt":"2026-06-11T13:24:47","slug":"apparmor-und-selinux-linux-sicherheit-im-alltag","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2026\/06\/11\/apparmor-und-selinux-linux-sicherheit-im-alltag\/","title":{"rendered":"AppArmor und SELinux \u2013 Linux-Sicherheit im Alltag"},"content":{"rendered":"\n

AppArmor<\/strong> und SELinux<\/a><\/strong> sind Sicherheitsfunktionen, die Linux<\/a>-Program<\/a>me zusätzlich einschränken. Sie greifen erst dann ein, wenn ein Program<\/a>m mehr tun will, als ausdrücklich erlaubt ist, und schützen so vor größeren Schäden nach einem Fehlverhalten oder einem Einbruch.<\/p>\n\n\n\n

Unterschiede zwischen AppArmor und SELinux<\/a><\/p>\n\n\n\n

AppArmor arbeitet mit Profilen für einzelne Program<\/a>me: Ein Browser, ein Mailprogram<\/a>m oder ein Server<\/a>dienst bekommt Regeln, die festlegen, welche Datei<\/a>en, Ordner und Netzwerk<\/a>zugriffe erlaubt sind. SELinux<\/a> arbeitet mit Sicherheitslabels und einer strengeren, meist feineren Politik. Das macht SELinux<\/a> mächtiger, aber auch deutlich komplexer in der Verwaltung.<\/p>\n\n\n\n

AppArmor: Der unkomplizierte Türsteher (Standard bei Ubuntu und Debian<\/a>)<\/p>\n\n\n\n

Profile für Program<\/a>me<\/strong><\/p>\n\n\n\n

Jeder wichtigen Anwendung (z. B. Browser, Webserver<\/a>, Mailprogram<\/a>m) wird ein AppArmor-Profil gegeben. In diesem Profil steht, was das Program<\/a>m darf und was nicht: welche Datei<\/a>en und Ordner es lesen oder schreiben darf, welche Netzwerk<\/a>zugriffe erlaubt sind und vieles mehr.<\/p>\n\n\n\n

Zugriffsrechte werden kontrolliert<\/strong><\/p>\n\n\n\n

AppArmor läuft als Teil des Linux<\/a>-Kernels. Wenn ein Program<\/a>m versucht, etwas zu tun (etwa eine Datei<\/a> öffnen oder eine Verbindung ins Internet aufbauen), prüft AppArmor:<\/p>\n\n\n\n

– Ist das im Profil erlaubt?
– Wenn nein: Der Zugriff wird blocki<\/a>ert und im Systemlog notiert.
– Wenn ja: Alles okay, das Program<\/a>m darf weiterarbeiten.<\/p>\n\n\n\n

Vorgefertigte und eigene Profile<\/strong><\/p>\n\n\n\n

Viele Standardp<\/a>rogram<\/a>me auf Linux<\/a> haben bereits fertig konfigurierte Profile, die mit der Distribution<\/a> kommen. Administrator<\/a>en können aber auch eigene Profile erstellen. Manche Systeme bieten zudem einen Lernmodus, der beobachtet, was ein Program<\/a>m normalerweise macht, und daraus ein Profil vorschlägt.<\/p>\n\n\n\n

Einfacher Ansatz: Pfad-basiert<\/strong><\/p>\n\n\n\n

AppArmor arbeitet vor allem mit Pfaden: „Program<\/a>m X darf auf Datei<\/a> Y im Ordner Z zugreifen, aber nicht auf Datei<\/a> W.“ Das ist im Vergleich zu anderen Systemen einfacher zu verstehen und zu bearbeiten.<\/p>\n\n\n\n

Still im Hintergrund<\/strong><\/p>\n\n\n\n

Für den normalen Anwender läuft AppArmor meist unsichtbar. Man merkt es vor allem, wenn ein Program<\/a>m plötzlich nicht mehr funktioniert, weil ein Zugriff blocki<\/a>ert wurde. Dann steht im Log oft etwas wie „apparmor=DENIED“.<\/p>\n\n\n\n

Kurz gesagt<\/strong><\/p>\n\n\n\n

AppArmor gibt jedem Program<\/a>m eine begrenzte Liste von erlaubten Aktionen. Was nicht erlaubt ist, wird verboten und protokolliert. Das passiert direkt im Kernel, also auf der höchsten Systemebene.<\/p>\n\n\n\n

SELinux<\/a>: Ein starker Sicherheitswächter mit einem ausgefeilten Ausweis- und Labelsystem<\/p>\n\n\n\n

Jedes Objekt und jeder Prozess bekommt Labels<\/strong><\/p>\n\n\n\n

In SELinux<\/a> erhalten alle wichtigen Dinge ein Sicherheitslabel (Security Context):
– Jede Datei<\/a> und jedes Verzeichnis<\/a>
– Sogar Netzwerk<\/a>ports<\/a>
– Jeder Prozess<\/p>\n\n\n\n

Diese Labels bestehen meist aus mehreren Teilen, zum Beispiel: Benutzer, Rolle und Typ.<\/p>\n\n\n\n

Type Enforcement – das Kernprinzip<\/strong><\/p>\n\n\n\n

SELinux<\/a> nutzt vor allem das Prinzip Type Enforcement (TE)<\/strong>. Das heißt grob:
– Jeder Prozess läuft in einer bestimmten Domäne (oft auch „Typ“ genannt).
– Jede Datei<\/a> hat ebenfalls einen Typ.<\/p>\n\n\n\n

Die Richtlinie (Policy) sagt dann: „Ein Prozess in Domäne X darf nur auf Datei<\/a>en mit Typ Y zugreifen – und nur unter bestimmten Bedingungen.“<\/p>\n\n\n\n

Zugriffe werden nach Regelwerk geprüft<\/strong><\/p>\n\n\n\n

Wenn ein Program<\/a>m versucht, etwas zu tun (etwa eine Datei<\/a> öffnen oder auf einen Port zugreifen), prüft SELinux<\/a>:
– Ist die Kombination aus Prozess-Label und Objekt-Label in der Policy erlaubt?
– Wenn nein: Der Zugriff wird blocki<\/a>ert und protokolliert.
– Wenn ja: Der Zugriff wird freigegeben.<\/p>\n\n\n\n

Mehr Kontrolle, aber auch mehr Aufwan<\/a>d<\/strong><\/p>\n\n\n\n

Im Vergleich zu AppArmor ist SELinux<\/a> viel feingranularer: Man kann nicht nur „diese Datei<\/a>“ regeln, sondern komplexe Kombinationen aus Benutzer, Rolle, Typ und sogar Level definieren. Das macht es sehr mächtig, aber auch deutlich komplizierter zu konfigurieren und zu pflegen.<\/p>\n\n\n\n

Im Alltag unsichtbar, aber spürbar bei Blockaden<\/strong><\/p>\n\n\n\n

Für den normalen Anwender läuft SELinux<\/a> meist still im Hintergrund. Wenn etwas blocki<\/a>ert wird, kommt oft eine eher vage Fehlermeldung, die nicht sofort klar sagt, was fehlt. Die Fehlersuche ist dann aufwendiger.<\/p>\n\n\n\n

Beispiel aus der Praxis:<\/p>\n\n\n\n

Ein typisches Beispiel ist ein Webserver<\/a> (Apache):
– Alle Apache-Datei<\/a>en bekommen den Typ „apache_t“.
– Der Apache-Prozess läuft in der Domäne „apache_t“.
– Wenn das System korrekt eingestellt ist, darf Apache nur auf Datei<\/a>en mit Typ „apache_t“ zugreifen. Datei<\/a>en mit anderen Typen (z. B. Postfix- oder Benutzerdaten<\/a>) sind blocki<\/a>ert.
<\/p>\n\n\n\n

Kurz gesagt<\/strong><\/p>\n\n\n\n

SELinux<\/a> erweitert das normale Linux<\/a>-Berechtigungssystem um ein Label-basiertes, streng kontrolliertes Modell. Jeder Versuch, eine Ressource zu nutzen, wird gegen eine detaillierte Richtlinie geprüft. Was nicht passt, wird verboten und protokolliert.<\/p>\n\n\n\n

Fazit<\/p>\n\n\n\n

AppArmor und SELinux<\/a> laufen auf aktuellen Linux<\/a>-Systemen meist unauffällig im Hintergrund und erhöhen die Sicherheit deutlich, ohne dass der normale Anwender ständig eingreifen muss. Auf Debian<\/a>, Ubuntu und Linux<\/a> Mint begegnet man vor allem AppArmor, während AlmaLinux<\/a> typischerweise auf SELinux<\/a> setzt.<\/p>\n\n\n\n

Für Einsteiger ist wichtig: Wenn ein Program<\/a>m plötzlich wegen fehlender Rechte scheitert, steckt oft nicht ein Fehler des Program<\/a>ms selbst dahinter, sondern eine aktive Sicherheitsregel, die bewusst schützt.<\/p>\n\n\n\n

Dieser Beitrag kann das Thema nur als grobe Übersicht einordnen und nicht in allen technischen Details vollständig erläutern.<\/p>\n\n\n\n

Titelbild: Designed by Magnific<\/a><\/p>\n

\r\n
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n 3 <\/span>\r\n<\/div>
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"

AppArmor und SELinux sind Sicherheitsfunktionen, die Linux-Programme zus\u00e4tzlich einschr\u00e4nken. Sie greifen erst dann ein, wenn ein Programm mehr tun will, als ausdr\u00fccklich erlaubt ist, und sch\u00fctzen so vor gr\u00f6\u00dferen Sch\u00e4den nach einem Fehlverhalten oder einem Einbruch. Unterschiede zwischen AppArmor und SELinux AppArmor arbeitet mit Profilen f\u00fcr einzelne Programme: Ein Browser, ein Mailprogramm oder ein Serverdienst […]<\/p>\n","protected":false},"author":7,"featured_media":23805,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[72],"tags":[1577,1576],"class_list":["post-23815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","tag-apparmor","tag-selinux"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/23815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=23815"}],"version-history":[{"count":7,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/23815\/revisions"}],"predecessor-version":[{"id":23822,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/23815\/revisions\/23822"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/23805"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=23815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=23815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=23815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}