🥇Cheat sheet за системни администратори на SELinux: 42 отговора на важни въпроси

Преводът на статията е изготвен специално за студентите от курса „Linux администратор“.

Тук ще получите отговори на важни въпроси за живота, вселената и всичко в Linux с подобрена сигурност.

„Важната истина, че нещата не винаги са такива, каквито изглеждат, е общоизвестна...“

-Дъглас Адамс, Пътеводител на галактическия стопаджия

Безопасност. Повишена надеждност. Кореспонденция. политика. Четирима конници на Апокалипсиса системен администратор. В допълнение към нашите ежедневни задачи - наблюдение, архивиране, внедряване, конфигуриране, актуализиране и т.н. - ние носим отговорност и за сигурността на нашите системи. Дори тези системи, при които доставчикът трета страна препоръчва да деактивираме подобрената защита. Усеща се работа Итън Хънт от „Мисията невъзможна“.

Изправени пред тази дилема, някои системни администратори решават да вземат синьо хапче, защото смятат, че никога няма да знаят отговора на големия въпрос за живота, вселената и всичко останало. И както всички знаем, този отговор е 42.

В духа на „Пътеводител на галактиката на стопаджия“, ето 42 отговора на важни въпроси относно контрола и употребата. SELinux на вашите системи.

1. SELinux е система за принудителен контрол на достъпа, което означава, че всеки процес има етикет. Всеки файл, директория и системен обект също има етикети. Правилата за политики контролират достъпа между маркирани процеси и обекти. Ядрото налага тези правила.

2. Двете най-важни концепции са: Етикетиране — маркировки (файлове, процеси, портове и т.н.) и Тип принудително изпълнение (което изолира процесите един от друг въз основа на типове).

3. Правилен формат на етикета user:role:type:level (по избор).

4. Целта на осигуряването на многостепенна сигурност (Многостепенна сигурност - MLS) е да управлява процеси (домейни) въз основа на нивото на сигурност на данните, които ще използват. Например таен процес не може да чете строго секретни данни.

5. Осигуряване на многокатегорийна сигурност (Многокатегорийна сигурност - MCS) защитава подобни процеси един от друг (например виртуални машини, OpenShift двигатели, SELinux пясъчници, контейнери и др.).

6. Опции на ядрото за промяна на режимите на SELinux при зареждане:

autorelabel=1 → кара системата да стартира повторно етикетиране
selinux=0 → ядрото не зарежда SELinux инфраструктурата
enforcing=0 → зареждане в разрешителен режим

7. Ако трябва да премаркирате цялата система:

# touch /.autorelabel #reboot

Ако системното маркиране съдържа голям брой грешки, може да се наложи да стартирате в разрешителен режим, за да успее маркирането.

8. За да проверите дали SELinux е активиран: # getenforce

9. За да активирате/деактивирате временно SELinux: # setenforce [1|0]

10. Проверка на състоянието на SELinux: # sestatus

11. Конфигурационен файл: /etc/selinux/config

12. Как работи SELinux? Ето примерна маркировка за уеб сървъра Apache:

Двоично представяне: /usr/sbin/httpd→httpd_exec_t
Конфигурационна директория: /etc/httpd→httpd_config_t
Директория с регистрационни файлове: /var/log/httpd → httpd_log_t
Директория със съдържание: /var/www/html → httpd_sys_content_t
Скрипт за стартиране: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
процес: /usr/sbin/httpd -DFOREGROUND → httpd_t
Пристанища: 80/tcp, 443/tcp → httpd_t, http_port_t

Процесът се изпълнява в контекст httpd_t, може да взаимодейства с етикетиран обект httpd_something_t.

13. Много команди приемат аргумент -Z за преглед, създаване и промяна на контекст:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

Контекстите се установяват, когато файловете се създават въз основа на контекста на тяхната родителска директория (с някои изключения). RPM могат да установяват контексти, както по време на инсталацията.

14. Има четири основни причини за грешки в SELinux, които са описани по-подробно в точки 15-21 по-долу:

Проблеми с етикетирането
Поради нещо, което SELinux трябва да знае
Грешка в правилата/приложенията на SELinux
Вашата информация може да бъде компрометирана

15. Проблем с етикетирането: ако вашите файлове са вътре /srv/myweb са маркирани неправилно, достъпът може да бъде отказан. Ето няколко начина да поправите това:

Ако знаете етикета:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
Ако знаете файл с еквивалентни маркировки:
# semanage fcontext -a -e /srv/myweb /var/www
Възстановяване на контекста (и в двата случая):
# restorecon -vR /srv/myweb

16. Проблем с етикетирането: ако преместите файла, вместо да го копирате, файлът ще запази оригиналния си контекст. За да коригирате този проблем:

Променете контекстната команда с етикета:
# chcon -t httpd_system_content_t /var/www/html/index.html
Променете контекстната команда с етикета на връзката:
# chcon --reference /var/www/html/ /var/www/html/index.html
Възстановете контекста (и в двата случая): # restorecon -vR /var/www/html/

17. ако SELinux, който трябва да знаетече HTTPD слуша на порт 8585, кажете на SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux, който трябва да знаете Булеви стойности, които позволяват части от политиката на SELinux да бъдат променяни по време на изпълнение, без да знаят, че политиката на SELinux е презаписана. Например, ако искате httpd да изпраща имейл, въведете: # setsebool -P httpd_can_sendmail 1

19. SELinux, който трябва да знаете логически стойности за активиране/деактивиране на настройките на SELinux:

За да видите всички булеви стойности: # getsebool -a
За да видите описание на всеки: # semanage boolean -l
За да зададете булева стойност: # setsebool [_boolean_] [1|0]
За постоянна инсталация добавете -P, Например: # setsebool httpd_enable_ftp_server 1 -P

20. Правилата/приложенията на SELinux може да съдържат грешки, включително:

Необичайни кодови пътища
Конфигурации
Пренасочване на stdout
Изтичане на файлов дескриптор
Изпълнима памет
Лошо изградени библиотеки

Отворете билети (не изпращайте отчет до Bugzilla; Bugzilla няма SLA).

21. Вашата информация може да бъде компрометиранаако имате ограничени домейни, които се опитват да:

Заредете модули на ядрото
Деактивирайте принудителния режим SELinux
Пиши на etc_t/shadow_t
Променете правилата на iptables

22. Инструменти на SELinux за разработване на модули за политики:

# yum -y install setroubleshoot setroubleshoot-server

Рестартирайте или рестартирайте auditd след монтажа.

23. употреба

journalctl

за показване на списък с всички регистрационни файлове, свързани с setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. употреба journalctl за да изброите всички регистрационни файлове, свързани с конкретен SELinux таг. Например:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. Ако възникне грешка на SELinux, използвайте дневника setroubleshoot предлага няколко възможни решения.
Например от journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. Регистриране: SELinux записва информация на много места:

/ VAR / дневник / съобщения
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. Регистриране: търсене на SELinux грешки в журнала за проверка:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. За да намерите SELinux Access Vector Cache (AVC) съобщения за конкретна услуга:

# ausearch -m avc -c httpd

29. Полезност audit2allow събира информация от регистрационни файлове на забранени операции и след това генерира правила за политика за разрешения на SELinux. Например:

За да създадете разбираемо за човека описание на причината за отказан достъп: # audit2allow -w -a
За да видите правило за прилагане на тип, което позволява отказан достъп: # audit2allow -a
За да създадете персонализиран модул: # audit2allow -a -M mypolicy
Вариант -M създава файл за изпълнение на типа (.te) с посоченото име и компилира правилото в пакет с политики (.pp): mypolicy.pp mypolicy.te
За да инсталирате персонализиран модул: # semodule -i mypolicy.pp

30. За да конфигурирате отделен процес (домейн) да работи в разрешителен режим: # semanage permissive -a httpd_t

31. Ако вече не искате домейнът да е разрешителен: # semanage permissive -d httpd_t

32. За да деактивирате всички разрешени домейни: # semodule -d permissivedomains

33. Активиране на MLS SELinux политика: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

Уверете се, че SELinux работи в разрешителен режим: # setenforce 0
Използвайте скрипт fixfilesза да сте сигурни, че файловете ще бъдат повторно етикетирани при следващото рестартиране:

# fixfiles -F onboot # reboot

34. Създайте потребител с конкретен MLS диапазон: # useradd -Z staff_u john

С помощта на командата useradd, свържете новия потребител към съществуващ потребител на SELinux (в този случай, staff_u).

35. За да видите съпоставянето между потребителите на SELinux и Linux: # semanage login -l

36. Определете конкретен диапазон за потребителя: # semanage login --modify --range s2:c100 john

37. За да коригирате етикета на началната директория на потребителя (ако е необходимо): # chcon -R -l s2:c100 /home/john

38. За да видите текущите категории: # chcat -L

39. За да промените категориите или да започнете да създавате свои собствени, редактирайте файла, както следва:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. За да изпълните команда или скрипт в конкретен файл, роля и потребителски контекст:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t файлов контекст
-r ролеви контекст
-u потребителски контекст

41. Контейнери, работещи с деактивиран SELinux:

Подман: # podman run --security-opt label=disable …
Docker: # docker run --security-opt label=disable …

42. Ако трябва да дадете на контейнера пълен достъп до системата:

Подман: # podman run --privileged …
Docker: # docker run --privileged …

И сега вече знаете отговора. Така че, моля: не се паникьосвайте и активирайте SELinux.

за справка:

Източник: www.habr.com

SELinux cheat sheet за системни администратори: 42 отговора на важни въпроси

за справка:

Добавяне на нов коментар

SELinux cheat sheet за системни администратори: 42 отговора на важни въпроси

за справка:

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар