Превод на статията, подготвен за студентите от курса „Сигурност на Linux“

SELinux или Security Enhanced Linux е подобрен механизъм за контрол на достъпа, разработен от Агенцията за национална сигурност на САЩ (NSA) за предотвратяване на злонамерени прониквания. Той прилага принудителен (или задължителен) модел за контрол на достъпа (на английски Mandatory Access Control, MAC) върху съществуващия дискреционен (или селективен) модел (на английски Discretionary Access Control, DAC), тоест разрешения за четене, запис, изпълнение.

SELinux има три режима:

1. Налагане — отказ на достъп въз основа на правила на политиката.
2. Позволително — водене на регистър на действията, които нарушават политиката, които биха били забранени в режим на прилагане.
3. Забранен — пълно дезактивиране на SELinux.

По подразбиране настройките са в /etc/selinux/config

Промяна на режимите на SELinux

За да разберете текущия режим, стартирайте

$ getenforce

За да промените режима на разрешителен, изпълнете следната команда

$ setenforce 0

или, за да промените режима от толерантен на налагане, изпълни

$ setenforce 1

Ако трябва напълно да деактивирате SELinux, това може да стане само чрез конфигурационния файл

$ vi /etc/selinux/config

За да деактивирате, променете параметъра SELINUX, както следва:

SELINUX=disabled

Настройка на SELinux

Всеки файл и процес е маркиран с SELinux контекст, който съдържа допълнителна информация като потребител, роля, тип и т.н. Ако за първи път активирате SELinux, първо ще трябва да конфигурирате контекста и етикетите. Процесът на присвояване на етикети и контекст е известен като маркиране. За да започнем маркирането, в конфигурационния файл променяме режима на толерантен.

$ vi /etc/selinux/config
SELINUX=permissive

След настройка на режима толерантен, създайте празен скрит файл в корена с името autorelabel

$ touch /.autorelabel

и рестартирайте компютъра

$ init 6

Забележка: Използваме режима толерантен за маркиране, тъй като използването на режима налагане може да доведе до срив на системата по време на рестартиране.

Не се притеснявайте, ако изтеглянето заседне върху някой файл, маркирането отнема известно време. След като маркирането приключи и системата ви се зареди, можете да отидете до конфигурационния файл и да зададете режима налаганеи също стартирайте:

$ setenforce 1

Вече успешно активирахте SELinux на вашия компютър.

Наблюдение на дневниците

Може да сте срещнали някои грешки по време на маркирането или докато системата работи. За да проверите дали вашият SELinux работи правилно и дали не блокира достъпа до някой порт, приложение и т.н., трябва да погледнете регистрационните файлове. Регистърът на SELinux се намира в /var/log/audit/audit.log, но не е нужно да четете всичко, за да намерите грешки. Можете да използвате помощната програма audit2why, за да намерите грешки. Изпълнете следната команда:

$ audit2why < /var/log/audit/audit.log

В резултат на това ще получите списък с грешки. Ако в дневника няма грешки, няма да се показват съобщения.

Конфигуриране на SELinux политика

Политиката на SELinux е набор от правила, които управляват механизма за сигурност на SELinux. Политиката определя набор от правила за конкретна среда. Сега ще научим как да конфигурираме политики, за да позволим достъп до забранени услуги.

1. Логически стойности (превключватели)

Превключвателите (булеви) ви позволяват да променяте части от политика по време на изпълнение, без да се налага да създавате нови политики. Те ви позволяват да правите промени без рестартиране или повторно компилиране на SELinux политики.

Пример
Да кажем, че искаме да споделим домашната директория на потребител чрез FTP четене/запис и вече сме я споделили, но когато се опитаме да я осъществим, не виждаме нищо. Това е така, защото политиката на SELinux не позволява на FTP сървъра да чете и записва в домашната директория на потребителя. Трябва да променим политиката, така че FTP сървърът да има достъп до домашни директории. Нека да видим дали има някакви превключватели за това

$ semanage boolean -l

Тази команда ще изброи наличните превключватели с тяхното текущо състояние (включено или изключено) и описание. Можете да прецизирате търсенето си, като добавите grep, за да намерите резултати само за ftp:

$ semanage boolean -l | grep ftp

и ще откриете следното

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

Този превключвател е деактивиран, така че ще го активираме с setsebool $ setsebool ftp_home_dir on

Сега нашият ftp демон ще има достъп до домашната директория на потребителя.
Забележка: Можете също така да получите списък с налични превключватели без описание, като направите getsebool -a

2. Етикети и контекст

Това е най-често срещаният начин за прилагане на SELinux политика. Всеки файл, папка, процес и порт е маркиран с контекста на SELinux:

• За файлове и папки етикетите се съхраняват като разширени атрибути във файловата система и могат да бъдат прегледани със следната команда:

  $ ls -Z /etc/httpd

• За процеси и портове, етикетирането се управлява от ядрото и можете да видите тези етикети, както следва:

процес

$ ps –auxZ | grep httpd

пристанище

$ netstat -anpZ | grep httpd

Пример
Сега нека разгледаме един пример, за да разберем по-добре етикетите и контекста. Да кажем, че имаме уеб сървър, който вместо директория /var/www/html/ использует /home/dan/html/. SELinux ще счита това за нарушение на правилата и вие няма да можете да видите вашите уеб страници. Това е така, защото не сме задали контекста на сигурността, свързан с HTML файловете. За да видите контекста на защита по подразбиране, използвайте следната команда:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

Ето ни httpd_sys_content_t като контекст за html файлове. Трябва да зададем този контекст на сигурност за нашата текуща директория, която в момента има следния контекст:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

Алтернативна команда за проверка на контекста на сигурността на файл или директория:

$ semanage fcontext -l | grep '/var/www'

Ние също ще използваме semanage, за да променим контекста, след като намерим правилния контекст на сигурността. За да промените контекста на /home/dan/html, изпълнете следните команди:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

След като контекстът се промени с помощта на semanage, командата restorecon ще зареди контекста по подразбиране за файлове и директории. Нашият уеб сървър вече ще може да чете файлове от папката /home/dan/htmlтъй като контекстът на сигурността за тази папка е променен на httpd_sys_content_t.

3. Създайте местни политики

Възможно е да има ситуации, при които горните методи са безполезни за вас и получавате грешки (avc/denial) в audit.log. Когато това се случи, трябва да създадете местна политика. Можете да намерите всички грешки с помощта на audit2why, както е описано по-горе.

Можете да създадете локална политика за отстраняване на грешки. Например, получаваме грешка, свързана с httpd (apache) или smbd (samba), ние grep грешките и създаваме политика за тях:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

Тук http_policy и smb_policy са имената на местните политики, които създадохме. Сега трябва да заредим тези създадени локални политики в текущата политика на SELinux. Това може да стане по следния начин:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

Нашите местни правила са изтеглени и вече не трябва да получаваме avc или denail в audit.log.

Това беше моят опит да ви помогна да разберете SELinux. Надявам се, че след като прочетете тази статия, ще се почувствате по-комфортно със SELinux.

Източник: www.habr.com