시스템 관리자를 위한 SELinux 치트 시트: 중요한 질문에 대한 42가지 답변

이 기사의 번역은 코스의 학생들을 위해 특별히 준비되었습니다. "리눅스 관리자".

여기서는 향상된 보안을 통해 Linux의 삶, 우주 및 모든 것에 대한 중요한 질문에 대한 답변을 얻을 수 있습니다.

"사물이 항상 보이는 것과 다르다는 중요한 진실은 상식입니다..."

-더글러스 애덤스, 은하수를 여행하는 히치하이커를위한 안내서

안전. 신뢰성이 향상되었습니다. 일치. 정책. 묵시록 시스템 관리자의 네 기수. 모니터링, 백업, 구현, 구성, 업데이트 등 일상적인 작업 외에도 시스템 보안에 대한 책임도 있습니다. 타사 공급자가 강화된 보안을 비활성화하도록 권장하는 시스템도 마찬가지입니다. 일 같은 느낌 에단 헌트 '미션 임파서블'에서.

이러한 딜레마에 직면한 일부 시스템 관리자는 다음과 같은 조치를 취하기로 결정합니다. 파란 알약, 그들은 인생, 우주, 그리고 그 모든 것에 대한 큰 질문에 대한 답을 결코 알 수 없을 것이라고 생각하기 때문입니다. 그리고 우리 모두 알고 있듯이 그 대답은 42입니다.

은하수를 여행하는 히치하이커를 위한 안내서의 정신에 따라 제어 및 사용에 관한 중요한 질문에 대한 42가지 답변이 여기에 있습니다. SELinux를 귀하의 시스템에.

1. SELinux는 강제 액세스 제어 시스템입니다. 즉, 모든 프로세스에는 레이블이 있습니다. 각 파일, 디렉터리 및 시스템 개체에도 레이블이 있습니다. 정책 규칙은 태그가 지정된 프로세스와 개체 간의 액세스를 제어합니다. 커널은 이러한 규칙을 시행합니다.

2. 가장 중요한 두 가지 개념은 다음과 같습니다. 레이블링 — 표시(파일, 프로세스, 포트 등) 및 유형 시행 (유형에 따라 프로세스를 서로 격리합니다).

3. 올바른 라벨 형식 user:role:type:level (선택 과목).

4. 다단계 보안 제공 목적(다단계 보안 - MLS)는 사용할 데이터의 보안 수준에 따라 프로세스(도메인)를 관리하는 것입니다. 예를 들어, 비밀 프로세스는 일급 비밀 데이터를 읽을 수 없습니다.

5. 다중 카테고리 보안 보장(다중 범주 보안 - MCS)은 유사한 프로세스를 서로 보호합니다(예: 가상 머신, OpenShift 엔진, SELinux 샌드박스, 컨테이너 등).

6. 부팅 시 SELinux 모드를 변경하기 위한 커널 옵션:

• autorelabel=1 → 시스템이 라벨 재지정을 실행하게 합니다.
• selinux=0 → 커널이 SELinux 인프라를 로드하지 않습니다.
• enforcing=0 → 허용 모드로 로딩

7. 전체 시스템의 레이블을 다시 지정해야 하는 경우:

# touch /.autorelabel
#reboot

시스템 표시에 많은 수의 오류가 포함된 경우 리마킹이 성공하려면 허용 모드로 부팅해야 할 수도 있습니다.

8. SELinux가 활성화되어 있는지 확인하려면: # getenforce

9. SELinux를 일시적으로 활성화/비활성화하려면: # setenforce [1|0]

10. SELinux 상태 확인: # sestatus

11. 구성 파일: /etc/selinux/config

12. SELinux는 어떻게 작동하나요? 다음은 Apache 웹 서버에 대한 표시 예입니다.

• 바이너리 표현: /usr/sbin/httpd→httpd_exec_t
• 구성 디렉터리: /etc/httpd→httpd_config_t
• 로그 파일 디렉터리: /var/log/httpd → httpd_log_t
• 콘텐츠 디렉토리: /var/www/html → httpd_sys_content_t
• 실행 스크립트: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• 프로세스 : /usr/sbin/httpd -DFOREGROUND → httpd_t
• 포트: 80/tcp, 443/tcp → httpd_t, http_port_t

컨텍스트에서 실행되는 프로세스 httpd_t, 라벨이 붙은 객체와 상호 작용할 수 있습니다 httpd_something_t.

13. 많은 명령이 인수를 허용합니다. -Z 컨텍스트를 보고, 만들고, 변경하려면 다음을 수행하세요.

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

컨텍스트는 상위 디렉터리의 컨텍스트를 기반으로 파일이 생성될 때 설정됩니다(일부 예외 있음). RPM은 설치 중에 컨텍스트를 설정할 수 있습니다.

14. SELinux 오류에는 네 가지 주요 원인이 있으며, 이에 대한 자세한 내용은 아래 15~21항에 설명되어 있습니다.

• 라벨링 문제
• SELinux가 알아야 할 사항 때문에
• SELinux 정책/애플리케이션 오류
• 귀하의 정보가 손상될 수 있습니다

15. 라벨링 문제: 파일이 다음 위치에 있는 경우 /srv/myweb 잘못 표시되면 액세스가 거부될 수 있습니다. 이 문제를 해결하는 몇 가지 방법은 다음과 같습니다.

• 라벨을 알고 있는 경우:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• 동등한 표시가 있는 파일을 알고 있는 경우:
  # semanage fcontext -a -e /srv/myweb /var/www
• 컨텍스트 복원(두 경우 모두):
  # restorecon -vR /srv/myweb

16. 라벨링 문제: 파일을 복사하는 대신 이동하면 파일은 원래 컨텍스트를 유지합니다. 이 문제를 해결하려면:

• 레이블을 사용하여 컨텍스트 명령을 변경하십시오.
  # chcon -t httpd_system_content_t /var/www/html/index.html
• 링크 레이블을 사용하여 컨텍스트 명령을 변경합니다.
  # chcon --reference /var/www/html/ /var/www/html/index.html
• 컨텍스트를 복원합니다(두 경우 모두). # restorecon -vR /var/www/html/

17. 면 당신이 알아야 할 SELinuxHTTPD가 포트 8585에서 수신 대기하고 있음을 SELinux에 알립니다.

# semanage port -a -t http_port_t -p tcp 8585

18. 당신이 알아야 할 SELinux 덮어쓰여지는 SELinux 정책에 대한 지식 없이 SELinux 정책의 일부가 런타임 시 변경되도록 허용하는 부울 값입니다. 예를 들어, httpd가 이메일을 보내도록 하려면 다음을 입력하십시오. # setsebool -P httpd_can_sendmail 1

19. 당신이 알아야 할 SELinux SELinux 설정 활성화/비활성화를 위한 논리 값:

• 모든 부울 값을 보려면 다음을 수행하십시오. # getsebool -a
• 각각에 대한 설명을 보려면: # semanage boolean -l
• 부울 값을 설정하려면 다음을 수행하십시오. # setsebool [_boolean_] [1|0]
• 영구 설치의 경우 다음을 추가하십시오. -P. 예 : # setsebool httpd_enable_ftp_server 1 -P

20. SELinux 정책/애플리케이션에는 다음을 포함한 오류가 포함될 수 있습니다.

• 비정상적인 코드 경로
• 구성
• 표준 출력 리디렉션
• 파일 설명자 누출
• 실행 가능한 메모리
• 제대로 구축되지 않은 라이브러리

오픈 티켓(Bugzilla에 보고서를 제출하지 마세요. Bugzilla에는 SLA가 없습니다).

21. 귀하의 정보가 손상될 수 있습니다도메인이 제한된 경우:

• 커널 모듈 로드
• 강제 SELinux 모드 비활성화
• 에 쓰기 etc_t/shadow_t
• iptables 규칙 변경

22. 정책 모듈 개발을 위한 SELinux 도구:

# yum -y install setroubleshoot setroubleshoot-server

재부팅 또는 다시 시작 auditd 설치 후.

23. 사용

journalctl

관련된 모든 로그 목록을 표시하려면 setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. 사용 journalctl 특정 SELinux 태그와 관련된 모든 로그를 나열합니다. 예를 들어:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. SELinux 오류가 발생하면 로그를 사용하세요. setroubleshoot 여러 가지 가능한 솔루션을 제공합니다.
예를 들어, journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. 로깅: SELinux는 여러 위치에 정보를 기록합니다.

• / var / log / messages
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

27. 로깅: 감사 로그에서 SELinux 오류 검색:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. 특정 서비스에 대한 SELinux AVC(액세스 벡터 캐시) 메시지를 찾으려면 다음 안내를 따르세요.

# ausearch -m avc -c httpd

29. 공익 사업 audit2allow 금지된 작업 로그에서 정보를 수집한 다음 SELinux 권한 정책 규칙을 생성합니다. 예를 들어:

• 액세스가 거부된 이유에 대해 사람이 읽을 수 있는 설명을 작성하려면 다음을 수행하십시오. # audit2allow -w -a
• 거부된 액세스를 허용하는 유형 적용 규칙을 보려면 다음을 수행하십시오. # audit2allow -a
• 사용자 정의 모듈을 생성하려면: # audit2allow -a -M mypolicy
• 옵션 -M 지정된 이름으로 유형 적용 파일(.te)을 생성하고 규칙을 정책 패키지(.pp)로 컴파일합니다. mypolicy.pp mypolicy.te
• 사용자 정의 모듈을 설치하려면: # semodule -i mypolicy.pp

30. 허용 모드에서 작동하도록 별도의 프로세스(도메인)를 구성하려면 다음을 수행하십시오. # semanage permissive -a httpd_t

31. 도메인을 더 이상 허용하지 않으려면 다음을 수행하세요. # semanage permissive -d httpd_t

32. 모든 허용 도메인을 비활성화하려면: # semodule -d permissivedomains

33. MLS SELinux 정책 활성화: # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

SELinux가 허용 모드에서 실행되고 있는지 확인하세요. # setenforce 0
스크립트 사용 fixfiles다음 재부팅 시 파일의 레이블이 다시 지정되도록 하려면 다음을 수행하세요.

# fixfiles -F onboot # reboot

34. 특정 MLS 범위를 가진 사용자를 만듭니다. # useradd -Z staff_u john

명령 사용 useradd, 새 사용자를 기존 SELinux 사용자에 매핑합니다(이 경우 staff_u).

35. SELinux와 Linux 사용자 간의 매핑을 보려면 다음 안내를 따르세요. # semanage login -l

36. 사용자에 대한 특정 범위를 정의합니다. # semanage login --modify --range s2:c100 john

37. 사용자의 홈 디렉터리 레이블을 수정하려면(필요한 경우): # chcon -R -l s2:c100 /home/john

38. 현재 카테고리를 보려면: # chcat -L

39. 카테고리를 변경하거나 자신만의 카테고리를 만들기 시작하려면 다음과 같이 파일을 편집하세요.

/etc/selinux/_<selinuxtype>_/setrans.conf

40. 특정 파일, 역할 및 사용자 컨텍스트에서 명령이나 스크립트를 실행하려면 다음을 수행하십시오.

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t 파일 컨텍스트
• -r 역할 맥락
• -u 사용자 컨텍스트

41. SELinux가 비활성화된 상태로 실행되는 컨테이너:

• 포드맨: # podman run --security-opt label=disable …
• 도커 : # docker run --security-opt label=disable …

42. 컨테이너에 시스템에 대한 전체 액세스 권한을 부여해야 하는 경우:

• 포드맨: # podman run --privileged …
• 도커 : # docker run --privileged …

그리고 이제 당신은 이미 답을 알고 있습니다. 그러니 당황하지 말고 SELinux를 활성화하십시오.

링크 :

• SELinux를 by 댄 월시
• SELinux 정책 시행에 대한 시각적 방법 가이드도 제공됩니다. 댄 월시
• 단순한 필사자를 위한 보안 강화 Linux by 토마스 카메론
• SELinux 색칠 공부 by 마린 더피
• SELinux 사용자 및 관리자 가이드—Red Hat Enterprise Linux 7

출처 : habr.com