🥇SELinux に関するシステム管理者向けのチートシート: 重要な質問に対する 42 の回答

記事の翻訳はコースの学生向けに特別に用意されました「Linux管理者」.

ここでは、セキュリティが強化された Linux における生命、宇宙、その他すべてに関する重要な質問への答えが得られます。

「物事は見た目通りとは限らないという重要な真実は周知の事実です...」

-ダグラス・アダムス、 銀河ヒッチハイクガイド

安全性。信頼性の向上。対応。ポリシー。 黙示録の四騎士のシステム管理者。監視、バックアップ、実装、構成、更新などの日常業務に加えて、私たちはシステムのセキュリティにも責任を負います。サードパーティプロバイダーが強化されたセキュリティを無効にすることを推奨しているシステムであっても。仕事のような気がするイーサン・ハント『ミッション：インポッシブル』より。

このジレンマに直面して、一部のシステム管理者は次の措置を講じることを決定します。青い錠剤なぜなら、彼らは、生命、宇宙、その他すべてに関する大きな問題に対する答えは決して分からないと考えているからです。そして誰もが知っているように、その答えは 42 です。

『銀河ヒッチハイクガイド』の精神に基づいて、制御と使用に関する重要な質問に対する 42 の答えをここに示します。 SELinuxのあなたのシステム上で。

1. SELinux は強制アクセス制御システムであり、すべてのプロセスにラベルがあることを意味します。各ファイル、ディレクトリ、システムオブジェクトにもラベルがあります。ポリシールールは、タグ付きプロセスとオブジェクト間のアクセスを制御します。カーネルはこれらのルールを強制します。

2. 最も重要な概念は次の XNUMX つです。 ラベリング — マーキング (ファイル、プロセス、ポートなど) および 型の強制 (タイプに基づいてプロセスを相互に分離します)。

3. 正しいラベル形式 user:role:type:level (オプション)。

4. マルチレベルのセキュリティを提供する目的 (マルチレベルセキュリティ - MLS) は、使用するデータのセキュリティレベルに基づいてプロセス (ドメイン) を管理します。たとえば、機密プロセスは極秘データを読み取ることができません。

5. 複数カテゴリのセキュリティの確保 (マルチカテゴリセキュリティ - MCS) 同様のプロセスを相互に保護します (仮想マシン、OpenShift エンジン、SELinux サンドボックス、コンテナーなど)。

6. 起動時に SELinux モードを変更するためのカーネルオプション:

autorelabel=1 → システムが再ラベル付けを実行する
selinux=0 → カーネルが SELinux インフラストラクチャをロードしない
enforcing=0 → 許容モードでロード

7. システム全体のラベルを付け直す必要がある場合は、次のようにします。

# touch /.autorelabel #reboot

システムのマーキングに多数のエラーが含まれている場合、マーキングを成功させるには許容モードで起動する必要がある場合があります。

8. SELinux が有効かどうかを確認するには: # getenforce

9. SELinux を一時的に有効/無効にするには: # setenforce [1|0]

10. SELinux ステータスの確認: # sestatus

11. 設定ファイル: /etc/selinux/config

12. SELinux はどのように機能しますか? Apache Web サーバーのマーキングの例を次に示します。

バイナリ表現: /usr/sbin/httpd→httpd_exec_t
設定ディレクトリ: /etc/httpd→httpd_config_t
ログファイルのディレクトリ: /var/log/httpd → httpd_log_t
コンテンツディレクトリ: /var/www/html → httpd_sys_content_t
起動スクリプト: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
プロセス： /usr/sbin/httpd -DFOREGROUND → httpd_t
ポート: 80/tcp, 443/tcp → httpd_t, http_port_t

コンテキスト内で実行されるプロセス httpd_t、ラベル付きオブジェクトと対話できる httpd_something_t.

13. 多くのコマンドは引数を受け取ります -Z コンテキストを表示、作成、変更するには:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

コンテキストは、親ディレクトリのコンテキストに基づいてファイルが作成されるときに確立されます (一部の例外を除きます)。 RPM は、インストール時と同様にコンテキストを確立できます。

14. SELinux エラーには主に 15 つの原因があり、以下のポイント 21 ～ XNUMX で詳しく説明します。

ラベル付けの問題
SELinux が知っておく必要があることのため
SELinux ポリシー/アプリケーションのエラー
あなたの情報が漏洩する可能性があります

15. ラベリングの問題: ファイルが次の場所にある場合 /srv/myweb 正しくマークされていない場合、アクセスが拒否される可能性があります。これを修正する方法は次のとおりです。

ラベルを知っている場合:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
同等のマーキングを持つファイルを知っている場合:
# semanage fcontext -a -e /srv/myweb /var/www
コンテキストの復元 (両方の場合):
# restorecon -vR /srv/myweb

16. ラベル付けの問題: ファイルをコピーする代わりに移動すると、ファイルは元のコンテキストを保持します。この問題を解決するには:

コンテキストコマンドを次のラベルで変更します。
# chcon -t httpd_system_content_t /var/www/html/index.html
コンテキストコマンドをリンクラベルで変更します。
# chcon --reference /var/www/html/ /var/www/html/index.html
コンテキストを復元します (どちらの場合も)。 # restorecon -vR /var/www/html/

17. もし 知っておくべきSELinuxHTTPD がポート 8585 でリッスンしていることを SELinux に伝えます。

# semanage port -a -t http_port_t -p tcp 8585

18. 知っておくべきSELinux SELinux ポリシーが上書きされることを知らなくても、実行時に SELinux ポリシーの一部を変更できるようにするブール値。たとえば、httpd で電子メールを送信する場合は、次のように入力します。 # setsebool -P httpd_can_sendmail 1

19. 知っておくべきSELinux SELinux 設定を有効/無効にするための論理値:

すべてのブール値を表示するには: # getsebool -a
それぞれの説明を参照するには: # semanage boolean -l
ブール値を設定するには: # setsebool [_boolean_] [1|0]
永続的にインストールするには、追加します -P。例えば、 # setsebool httpd_enable_ftp_server 1 -P

20. SELinux ポリシー/アプリケーションには、次のようなエラーが含まれる場合があります。

異常なコードパス
設定
標準出力のリダイレクト
ファイル記述子のリーク
実行可能メモリ
ライブラリの構築が不十分

チケットをオープンします (Bugzilla にはレポートを送信しないでください。Bugzilla には SLA がありません)。

21. あなたの情報が漏洩する可能性がありますドメインを制限して次のことを試みている場合:

カーネルモジュールをロードする
強制SELinuxモードを無効にする
書き込み先 etc_t/shadow_t
iptables ルールを変更する

22. ポリシーモジュールを開発するための SELinux ツール:

# yum -y install setroubleshoot setroubleshoot-server

再起動または再起動 auditd 取り付け後。

23. 使用

journalctl

に関連付けられたすべてのログのリストを表示するには setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. 使用 journalctl 特定の SELinux タグに関連付けられたすべてのログを一覧表示します。例えば：

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. SELinux エラーが発生した場合は、ログを使用してください。 setroubleshoot いくつかの可能な解決策を提供します。
たとえば、から journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ロギング: SELinux はさまざまな場所に情報を記録します。

/ var / log / messages
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. ロギング: 監査ログ内の SELinux エラーを検索します。

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. 特定のサービスの SELinux Access Vector Cache (AVC) メッセージを検索するには:

# ausearch -m avc -c httpd

29. ユーティリティ audit2allow 禁止された操作のログから情報を収集し、SELinux 権限ポリシールールを生成します。例えば：

アクセスが拒否される理由について人間が判読できる説明を作成するには、次の手順を実行します。 # audit2allow -w -a
拒否されたアクセスを許可するタイプ強制ルールを表示するには、次の手順を実行します。 # audit2allow -a
カスタムモジュールを作成するには: # audit2allow -a -M mypolicy
オプション -M 指定された名前でタイプ強制ファイル (.te) を作成し、ルールをポリシーパッケージ (.pp) にコンパイルします。 mypolicy.pp mypolicy.te
カスタムモジュールをインストールするには: # semodule -i mypolicy.pp

30. 別のプロセス (ドメイン) を許可モードで動作するように構成するには: # semanage permissive -a httpd_t

31. ドメインを許可しないようにするには: # semanage permissive -d httpd_t

32. すべての許可ドメインを無効にするには: # semodule -d permissivedomains

33. MLS SELinux ポリシーを有効にする: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

SELinux が許可モードで実行されていることを確認します。 # setenforce 0
スクリプトを使用する fixfiles次回の再起動時にファイルのラベルが変更されるようにするには、次のようにします。

# fixfiles -F onboot # reboot

34. 特定の MLS 範囲を持つユーザーを作成します。 # useradd -Z staff_u john

コマンドの使用 useradd、新しいユーザーを既存の SELinux ユーザーにマップします (この場合、 staff_u).

35. SELinux と Linux ユーザー間のマッピングを表示するには: # semanage login -l

36. ユーザーの特定の範囲を定義します。 # semanage login --modify --range s2:c100 john

37. ユーザーのホームディレクトリラベルを修正するには (必要な場合): # chcon -R -l s2:c100 /home/john

38. 現在のカテゴリを表示するには: # chcat -L

39. カテゴリを変更するか、独自のカテゴリの作成を開始するには、次のようにファイルを編集します。

/etc/selinux/_<selinuxtype>_/setrans.conf

40. 特定のファイル、ロール、およびユーザーコンテキストでコマンドまたはスクリプトを実行するには、次の手順を実行します。

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t ファイルコンテキスト
-r 役割のコンテキスト
-u ユーザーコンテキスト

41. SELinux を無効にして実行されているコンテナ:

ポッドマン: # podman run --security-opt label=disable …
ドッカー： # docker run --security-opt label=disable …

42. コンテナにシステムへのフルアクセスを与える必要がある場合:

ポッドマン: # podman run --privileged …
ドッカー： # docker run --privileged …

そして今、あなたはすでに答えを知っています。ですから、パニックにならずに SELinux を有効にしてください。

リンク：

出所： habr.com

システム管理者のための SELinux チートシート: 重要な質問に対する 42 の回答

リンク：

コメントを追加します返信をキャンセル

システム管理者のための SELinux チートシート: 重要な質問に対する 42 の回答

リンク：

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル