🥇 Лист за измами за системски администратори на SELinux: 42 одговори на важни прашања

Преводот на статијата е подготвен специјално за студентите на курсот „Администратор на Линукс“.

Овде ќе добиете одговори на важни прашања за животот, универзумот и сè во Linux со подобрена безбедност.

„Важната вистина дека работите не се секогаш онакви какви што изгледаат е општо познато...“

-Даглас Адамс, Водич на автостопер за галаксијата

Безбедност. Зголемена доверливост. Кореспонденција. Политика. Четири коњаници на апокалипсата sysadmin. Покрај нашите секојдневни задачи - следење, резервна копија, имплементација, конфигурација, ажурирање итн. - ние сме одговорни и за безбедноста на нашите системи. Дури и оние системи каде што давателот на услуги од трета страна препорачува да ја оневозможиме подобрената безбедност. Се чувствува како работа Итан Хант од „Мисија: Невозможна“.

Соочени со оваа дилема, некои системски администратори одлучуваат да преземат сина пилула, затоа што мислат дека никогаш нема да го знаат одговорот на големото прашање за животот, универзумот и сето тоа. И како што сите знаеме, тој одговор е 42.

Во духот на Водичот за автостопер за галаксијата, еве 42 одговори на важни прашања за контрола и употреба. SELinux на вашите системи.

1. SELinux е систем за контрола на принуден пристап, што значи дека секој процес има ознака. Секоја датотека, директориум и системски објект има и етикети. Правилата за политики го контролираат пристапот помеѓу означените процеси и објекти. Кернелот ги спроведува овие правила.

2. Двата најважни концепти се: Етикетирање — ознаки (датотеки, процеси, порти, итн.) и Тип извршување (што ги изолира процесите едни од други врз основа на типови).

3. Правилен формат на етикетата user:role:type:level (изборен).

4. Целта на обезбедување безбедност на повеќе нивоа (Безбедност на повеќе нивоа - MLS) е да управуваат со процесите (домените) врз основа на нивото на безбедност на податоците што ќе ги користат. На пример, таен процес не може да чита строго тајни податоци.

5. Обезбедување безбедност од повеќе категории (Безбедност со повеќе категории - MCS) заштитува слични процеси едни од други (на пример, виртуелни машини, OpenShift мотори, SELinux песочни кутии, контејнери итн.).

6. Опции на кернелот за менување на режимите на SELinux при подигнување:

autorelabel=1 → предизвикува системот да изврши повторно етикетирање
selinux=0 → кернелот не ја вчитува инфраструктурата SELinux
enforcing=0 → вчитување во дозволен режим

7. Ако треба повторно да го означите целиот систем:

# touch /.autorelabel #reboot

Ако ознаката на системот содржи голем број на грешки, можеби ќе треба да се подигнете во дозволен режим за да успее да забележите.

8. За да проверите дали SELinux е овозможен: # getenforce

9. За привремено да го вклучите/оневозможите SELinux: # setenforce [1|0]

10. Проверка на статусот на SELinux: # sestatus

11. Конфигурациска датотека: /etc/selinux/config

12. Како функционира SELinux? Еве пример за означување за веб-серверот Apache:

Бинарно претставување: /usr/sbin/httpd→httpd_exec_t
Директориум за конфигурација: /etc/httpd→httpd_config_t
Директориум на датотеки за евиденција: /var/log/httpd → httpd_log_t
Директориум за содржина: /var/www/html → httpd_sys_content_t
Стартување на скрипта: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
Процес: /usr/sbin/httpd -DFOREGROUND → httpd_t
Пристаништа: 80/tcp, 443/tcp → httpd_t, http_port_t

Процесот работи во контекст httpd_t, може да комуницира со означен објект httpd_something_t.

13. Многу команди прифаќаат аргумент -Z за прегледување, креирање и менување на контекстот:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

Контекстите се воспоставуваат кога датотеките се креираат врз основа на контекстот на нивниот родител директориум (со некои исклучоци). RPM може да воспостави контекст како за време на инсталацијата.

14. Постојат четири главни причини за грешките на SELinux, кои се подетално опишани во точките 15-21 подолу:

Проблеми со етикетирање
Поради нешто што SELinux треба да го знае
Грешка во политиката/апликацијата SELinux
Вашите информации може да бидат компромитирани

15. Проблем со етикетирање: ако вашите датотеки се внатре /srv/myweb се погрешно означени, пристапот може да биде одбиен. Еве неколку начини да го поправите ова:

Ако ја знаете етикетата:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
Ако знаете датотека со еквивалентни ознаки:
# semanage fcontext -a -e /srv/myweb /var/www
Враќање на контекстот (за двата случаи):
# restorecon -vR /srv/myweb

16. Проблем со етикетирање: ако ја преместите датотеката наместо да ја копирате, датотеката ќе го задржи својот оригинален контекст. За да го решите овој проблем:

Променете ја командата за контекст со етикетата:
# chcon -t httpd_system_content_t /var/www/html/index.html
Променете ја командата за контекст со етикетата за врска:
# chcon --reference /var/www/html/ /var/www/html/index.html
Вратете го контекстот (за двата случаи): # restorecon -vR /var/www/html/

17. Ако SELinux треба да знаетедека HTTPD слуша на портата 8585, кажете му на SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux треба да знаете Булова вредности кои дозволуваат делови од политиката SELinux да се менуваат при извршување без да се знае дека политиката SELinux е препишана. На пример, ако сакате httpd да испраќа е-пошта, внесете: # setsebool -P httpd_can_sendmail 1

19. SELinux треба да знаете логички вредности за овозможување/оневозможување на поставките на SELinux:

За да ги видите сите булови вредности: # getsebool -a
За да видите опис на секоја од нив: # semanage boolean -l
За да поставите булова вредност: # setsebool [_boolean_] [1|0]
За трајна инсталација, додадете -P. На пример: # setsebool httpd_enable_ftp_server 1 -P

20. Политиките/апликациите на SELinux може да содржат грешки, вклучувајќи:

Невообичаени патеки за кодови
конфигурации
Се пренасочува stdout
Протекува опис на датотека
Извршна меморија
Лошо изградени библиотеки

Отворете билети (не поднесувајте извештај до Bugzilla; Bugzilla нема SLA).

21. Вашите информации може да бидат компромитираниако имате ограничени домени обидувајќи се да:

Вчитај модули на јадрото
Оневозможете го наметнатиот режим SELinux
Пиши на etc_t/shadow_t
Променете ги правилата на iptables

22. SELinux алатки за развој на модули за политики:

# yum -y install setroubleshoot setroubleshoot-server

Рестартирајте или рестартирајте auditd по инсталацијата.

23. Користете

journalctl

за прикажување листа на сите дневници поврзани со setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. Користете journalctl да ги наведете сите дневници поврзани со одредена ознака SELinux. На пример:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. Ако се појави грешка SELinux, користете го дневникот setroubleshoot нудејќи неколку можни решенија.
На пример, од journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. Пријавување: SELinux снима информации на многу места:

/ var / дневник / пораки
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. Пријавување: пребарување на грешки на SELinux во дневникот за ревизија:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. За да најдете пораки на SELinux Access Vector Cache (AVC) за одредена услуга:

# ausearch -m avc -c httpd

29. Алатка audit2allow собира информации од дневници на забранети операции и потоа генерира правила за политика за дозволи на SELinux. На пример:

За да креирате опис читлив од човек за тоа зошто пристапот е одбиен: # audit2allow -w -a
За да видите правило за спроведување на тип што дозволува одбиен пристап: # audit2allow -a
За да креирате сопствен модул: # audit2allow -a -M mypolicy
Опција -M создава датотека за извршување на типот (.te) со наведеното име и го компајлира правилото во пакет на политики (.pp): mypolicy.pp mypolicy.te
За да инсталирате сопствен модул: # semodule -i mypolicy.pp

30. За да конфигурирате посебен процес (домен) да работи во попустлив режим: # semanage permissive -a httpd_t

31. Ако повеќе не сакате доменот да биде попустлив: # semanage permissive -d httpd_t

32. За да ги оневозможите сите дозволиви домени: # semodule -d permissivedomains

33. Овозможување политика на MLS SELinux: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

Проверете дали SELinux работи во попустлив режим: # setenforce 0
Користете скрипта fixfilesза да се осигурате дека датотеките се повторно етикетирани при следното рестартирање:

# fixfiles -F onboot # reboot

34. Создадете корисник со специфичен опсег на MLS: # useradd -Z staff_u john

Користење на командата useradd, мапирајте го новиот корисник на постоечки корисник на SELinux (во овој случај, staff_u).

35. За да го видите мапирањето помеѓу корисниците на SELinux и Linux: # semanage login -l

36. Дефинирајте специфичен опсег за корисникот: # semanage login --modify --range s2:c100 john

37. За да ја поправите етикетата на домашниот директориум на корисникот (ако е потребно): # chcon -R -l s2:c100 /home/john

38. За да ги видите тековните категории: # chcat -L

39. За да промените категории или да започнете да создавате своја, уредете ја датотеката на следниов начин:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. За да извршите команда или скрипта во одредена датотека, улога и кориснички контекст:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t контекст на датотеката
-r контекст на улогата
-u кориснички контекст

41. Контејнери што работат со оневозможен SELinux:

Подман: # podman run --security-opt label=disable …
Докер: # docker run --security-opt label=disable …

42. Ако треба да му дадете целосен пристап на контејнерот до системот:

Подман: # podman run --privileged …
Докер: # docker run --privileged …

И сега веќе го знаете одговорот. Затоа ве молиме: не паничете и овозможете SELinux.

Референци:

Извор: www.habr.com

SELinux мамечки лист за системски администратори: 42 одговори на важни прашања

Референци:

Додадете коментар Откажи одговор