🥇 גיליון רמאות למנהלי מערכת ב-SELinux: 42 תשובות לשאלות חשובות

תרגום המאמר הוכן במיוחד עבור תלמידי הקורס "מנהל לינוקס".

כאן תקבלו תשובות לשאלות חשובות על החיים, היקום והכל בלינוקס עם אבטחה משופרת.

"האמת החשובה שדברים הם לא תמיד מה שהם נראים היא ידע נפוץ..."

-דאגלס אדאמס, מדריך הטרמפיסט לגלקסיה

בְּטִיחוּת. אמינות מוגברת. הִתכַּתְבוּת. מְדִינִיוּת. ארבעת פרשי האפוקליפסה סיסדמין. בנוסף למשימות היומיומיות שלנו - ניטור, גיבוי, הטמעה, תצורה, עדכון וכו' - אנו אחראים גם על אבטחת המערכות שלנו. אפילו המערכות שבהן ספק הצד השלישי ממליץ שנשבית את האבטחה המשופרת. זה מרגיש כמו עבודה איתן האנט מתוך "משימה בלתי אפשרית".

מול הדילמה הזו, כמה מנהלי מערכת מחליטים לקחת גלולה כחולה, כי הם חושבים שלעולם לא יידעו את התשובה לשאלה הגדולה של החיים, היקום וכל זה. וכפי שכולנו יודעים, התשובה הזו היא 42.

ברוח מדריך הטרמפיסט לגלקסיה, הנה 42 תשובות לשאלות חשובות בנושא שליטה ושימוש. SELinux על המערכות שלך.

1. SELinux היא מערכת בקרת גישה מאולצת, מה שאומר שלכל תהליך יש תווית. לכל קובץ, ספרייה ואובייקט מערכת יש גם תוויות. כללי מדיניות שולטים בגישה בין תהליכים ואובייקטים מתויגים. הקרנל אוכף את הכללים האלה.

2. שני המושגים החשובים ביותר הם: תיוג - סימונים (קבצים, תהליכים, יציאות וכו') ו סוג אכיפה (מה שמבודד תהליכים אחד מהשני על פי טיפוסים).

3. פורמט תווית נכון user:role:type:level (אופציונאלי).

4. המטרה של מתן אבטחה מרובת רמות (אבטחה רב-שכבתית - MLS) היא לנהל תהליכים (דומיינים) על סמך רמת האבטחה של הנתונים שהם ישתמשו בהם. לדוגמה, תהליך סודי אינו יכול לקרוא נתונים סודיים ביותר.

5. הבטחת אבטחה מרובת קטגוריות (אבטחה מרובת קטגוריות - MCS) מגן על תהליכים דומים זה מזה (לדוגמה, מכונות וירטואליות, מנועי OpenShift, ארגזי חול של SELinux, קונטיינרים וכו').

6. אפשרויות ליבה לשינוי מצבי SELinux באתחול:

autorelabel=1 → גורם למערכת להפעיל תיוג מחדש
selinux=0 → הקרנל אינו טוען את תשתית SELinux
enforcing=0 → טעינה במצב מתירני

7. אם אתה צריך לתייג מחדש את המערכת כולה:

# touch /.autorelabel #reboot

אם סימון המערכת מכיל מספר רב של שגיאות, ייתכן שיהיה עליך לאתחל במצב מתירני כדי שהסימון יצליח.

8. כדי לבדוק אם SELinux מופעל: # getenforce

9. כדי להפעיל/להשבית זמנית את SELinux: # setenforce [1|0]

10. בדיקת סטטוס SELinux: # sestatus

11. קובץ תצורה: /etc/selinux/config

12. איך SELinux עובד? להלן סימון לדוגמה עבור שרת האינטרנט של Apache:

ייצוג בינארי: /usr/sbin/httpd→httpd_exec_t
ספריית תצורה: /etc/httpd→httpd_config_t
ספריית קבצי יומן: /var/log/httpd → httpd_log_t
ספריית תוכן: /var/www/html → httpd_sys_content_t
הפעל סקריפט: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
תהליך /usr/sbin/httpd -DFOREGROUND → httpd_t
יציאות: 80/tcp, 443/tcp → httpd_t, http_port_t

תהליך פועל בהקשר httpd_t, יכול לקיים אינטראקציה עם אובייקט מסומן httpd_something_t.

13. פקודות רבות מקבלות טיעון -Z כדי להציג, ליצור ולשנות הקשר:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

הקשרים נוצרים כאשר קבצים נוצרים על סמך ההקשר של ספריית האב שלהם (למעט חריגים מסוימים). RPMs יכולים ליצור הקשרים כמו במהלך ההתקנה.

14. ישנן ארבע סיבות עיקריות לשגיאות SELinux, המתוארות ביתר פירוט בנקודות 15-21 להלן:

בעיות תיוג
בגלל משהו שSELinux צריך לדעת
שגיאה במדיניות/יישום של SELinux
ייתכן שהמידע שלך נפגע

15. בעיית תיוג: אם הקבצים שלך נמצאים /srv/myweb מסומנים בצורה שגויה, ייתכן שהגישה תידחה. הנה כמה דרכים לתקן את זה:

אם אתה מכיר את התווית:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
אם אתה מכיר קובץ עם סימונים מקבילים:
# semanage fcontext -a -e /srv/myweb /var/www
שחזור ההקשר (בשני המקרים):
# restorecon -vR /srv/myweb

16. בעיית תיוג: אם תעביר את הקובץ במקום להעתיק אותו, הקובץ ישמור על ההקשר המקורי שלו. כדי לתקן בעיה זו:

שנה את פקודת ההקשר עם התווית:
# chcon -t httpd_system_content_t /var/www/html/index.html
שנה את פקודת ההקשר עם תווית הקישור:
# chcon --reference /var/www/html/ /var/www/html/index.html
שחזר את ההקשר (בשני המקרים): # restorecon -vR /var/www/html/

17. אם SELinux אתה צריך לדעתש-HTTP מקשיב ביציאה 8585, אמור ל-SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux אתה צריך לדעת ערכים בוליאניים המאפשרים לשנות חלקים ממדיניות SELinux בזמן ריצה מבלי שיודפס מדיניות SELinux. לדוגמה, אם אתה רוצה ש-httpd ישלח דוא"ל, הזן: # setsebool -P httpd_can_sendmail 1

19. SELinux אתה צריך לדעת ערכים לוגיים להפעלה/השבתה של הגדרות SELinux:

כדי לראות את כל הערכים הבוליאניים: # getsebool -a
כדי לראות תיאור של כל אחד: # semanage boolean -l
כדי להגדיר ערך בוליאני: # setsebool [_boolean_] [1|0]
להתקנה קבועה, הוסף -P. לדוגמא: # setsebool httpd_enable_ftp_server 1 -P

20. מדיניות/יישומי SELinux עשויים להכיל שגיאות, כולל:

נתיבי קוד יוצאי דופן
תצורות
מפנה מחדש סטדout
דליפות מתאר הקובץ
זיכרון בר הפעלה
ספריות שנבנו בצורה גרועה

כרטיסים פתוחים (אין להגיש דיווח לבוגזילה; לבוגזילה אין SLA).

21. ייתכן שהמידע שלך נפגעאם יש לך דומיינים מוגבלים שמנסים:

טען מודולי ליבה
השבת את מצב SELinux כפוי
לכתוב ל etc_t/shadow_t
שנה כללי iptables

22. כלי SELinux לפיתוח מודולי מדיניות:

# yum -y install setroubleshoot setroubleshoot-server

הפעל מחדש או הפעל מחדש auditd אחרי ההתקנה.

23. השתמש

journalctl

כדי להציג רשימה של כל היומנים המשויכים אליהם setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. השתמש journalctl לרשימת כל היומנים המשויכים לתג SELinux ספציפי. לדוגמה:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. אם מתרחשת שגיאת SELinux, השתמש ביומן setroubleshoot מציע מספר פתרונות אפשריים.
למשל, מ journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. רישום: SELinux מתעד מידע במקומות רבים:

/ var / log / הודעות
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. רישום: חיפוש שגיאות SELinux ביומן הביקורת:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. כדי למצוא הודעות SELinux Access Vector Cache (AVC) עבור שירות ספציפי:

# ausearch -m avc -c httpd

29. שירות audit2allow אוסף מידע מיומנים של פעולות אסורות ולאחר מכן יוצר כללי מדיניות הרשאות SELinux. לדוגמה:

כדי ליצור תיאור קריא אנושי של מדוע נדחתה גישה: # audit2allow -w -a
כדי להציג כלל אכיפה מסוג המאפשר גישה נדחתה: # audit2allow -a
כדי ליצור מודול מותאם אישית: # audit2allow -a -M mypolicy
אפשרות -M יוצר קובץ אכיפה מסוג (.te) עם השם שצוין ומרכיב את הכלל לחבילת מדיניות (.pp): mypolicy.pp mypolicy.te
כדי להתקין מודול מותאם אישית: # semodule -i mypolicy.pp

30. כדי להגדיר תהליך נפרד (דומיין) לעבוד במצב מתירני: # semanage permissive -a httpd_t

31. אם אינך רוצה עוד שהדומיין יהיה מתירני: # semanage permissive -d httpd_t

32. כדי להשבית את כל הדומיינים המתירים: # semodule -d permissivedomains

33. הפעלת מדיניות MLS SELinux: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

ודא ש-SELinux פועל במצב מתירני: # setenforce 0
השתמש בסקריפט fixfilesכדי להבטיח שהקבצים יסומנו מחדש באתחול הבא:

# fixfiles -F onboot # reboot

34. צור משתמש עם טווח MLS ספציפי: # useradd -Z staff_u john

שימוש בפקודה useradd, מפה את המשתמש החדש למשתמש SELinux קיים (במקרה זה, staff_u).

35. לצפייה במיפוי בין משתמשי SELinux ו-Linux: # semanage login -l

36. הגדר טווח ספציפי עבור המשתמש: # semanage login --modify --range s2:c100 john

37. כדי לתקן את תווית ספריית הבית של המשתמש (במידת הצורך): # chcon -R -l s2:c100 /home/john

38. כדי להציג קטגוריות נוכחיות: # chcat -L

39. כדי לשנות קטגוריות או להתחיל ליצור קטגוריות משלך, ערוך את הקובץ באופן הבא:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. כדי להפעיל פקודה או סקריפט בקובץ, תפקיד והקשר ספציפי של משתמש:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t הקשר של קובץ
-r הקשר תפקיד
-u הקשר משתמש

41. מיכלים הפועלים עם SELinux מושבת:

פודמן: # podman run --security-opt label=disable …
דוקר: # docker run --security-opt label=disable …

42. אם אתה צריך לתת למיכל גישה מלאה למערכת:

פודמן: # podman run --privileged …
דוקר: # docker run --privileged …

ועכשיו אתה כבר יודע את התשובה. אז בבקשה: אל תיבהל והפעל את SELinux.

קישורים:

מקור: www.habr.com

גיליון הונאה של SELinux למנהלי מערכת: 42 תשובות לשאלות חשובות

קישורים:

הוספת תגובה ביטול תגובה