🥇En fusklapp för en sysadministratör på SELinux: 42 svar på viktiga frågor

Översättningen av artikeln förbereddes speciellt för kursens studenter "Administratör Linux».

Här får du svar på viktiga frågor om livet, universum och allt i Linux med förbättrad säkerhet.

"Den viktiga sanningen att saker inte alltid är vad de verkar vara är välkänd..."

―Douglas Adams, Liftarens guide till galaxen

Säkerhet. Tillförlitlighet. Efterlevnad. Policy. Sysadmin-apokalypsens fyra ryttare. Utöver våra dagliga uppgifter – övervakning, säkerhetskopiering, driftsättning, konfigurering, uppdatering etc. – är vi också ansvariga för säkerheten i våra system. Även de system där en tredjepartsleverantör rekommenderar att vi inaktiverar utökad säkerhet. Det verkar som arbete Ethan Hunt från "Mission Impossible".

Inför detta dilemma väljer vissa systemadministratörer att ta blå piller, eftersom de tror att de aldrig kommer att få veta svaret på den stora frågan om livet, universum och allting. Och som vi alla vet är det svaret 42.

I samma anda som Liftarens guide till galaxen kommer här 42 svar på viktiga frågor om kontroll och användning. SELinux i era system.

1. SELinux — är ett obligatoriskt åtkomstkontrollsystem, vilket innebär att varje process har en etikett. Varje fil, katalog och systemobjekt har också en etikett. Policyregler styr åtkomst mellan etiketterade processer och objekt. Kärnan upprätthåller dessa regler.

2. De två viktigaste begreppen är: märkning — märkning (filer, processer, portar etc.) och Typtillämpning (vilket isolerar processer från varandra baserat på typer).

3. Korrekt format på etiketten user:role:type:level (frivillig).

4. Syftet med att tillhandahålla säkerhet på flera nivåer (Flernivåsäkerhet — MLS) är hanteringen av processer (domäner) baserat på säkerhetsnivån för de data de kommer att använda. Till exempel kan en hemlig process inte läsa topphemliga data.

5. Säkerställa säkerhet i flera kategorier (Flerkategoriserad säkerhet - MCS) skyddar liknande processer från varandra (t.ex. virtuella maskiner, OpenShift-motorer, SE-sandlådorLinux, containrar, etc.).

6. Kärnparametrar för att ändra SE-lägenLinux vid laddning:

autorelabel=1 → tvingar systemet att initiera ommärkning
selinux=0 → kärnan laddar inte SE-infrastrukturenLinux
enforcing=0 → starta i tillåtande läge

7. Om du behöver ommärka hela systemet:

# touch /.autorelabel #reboot

Om systemetiketten innehåller ett stort antal fel kan du behöva starta i tillåtande läge för att ometiketteringen ska lyckas.

8. För att kontrollera om SE är aktiveratLinux: # getenforce

9. För att tillfälligt aktivera/avaktivera SELinux: # setenforce [1|0]

10. Kontrollera SE-statusLinux: # sestatus

11. Inställningsfil: /etc/selinux/config

12. Hur SE fungerarLinuxHär är ett exempel på märkning för Apache-webbservern:

Binär representation: /usr/sbin/httpd→httpd_exec_t
Konfigurationskatalog: /etc/httpd→httpd_config_t
Loggfilkatalog: /var/log/httpd → httpd_log_t
Innehållskatalog: /var/www/html → httpd_sys_content_t
Startskript: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
processen: /usr/sbin/httpd -DFOREGROUND → httpd_t
Hamnar: 80/tcp, 443/tcp → httpd_t, http_port_t

Process som körs i kontext httpd_t, kan interagera med objektet med etiketten httpd_something_t.

13. Många lag accepterar argumentet -Z för att visa, skapa och redigera kontext:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

Kontexter anges när filer skapas baserat på kontexten i deras överordnade katalog (med vissa undantag). RPM:er kan ange kontexter både vid installationstillfället och vid installationstillfället.

14. Det finns fyra huvudorsaker till SE-felLinux, vilka beskrivs mer i detalj i punkterna 15–21 nedan:

Märkningsproblem
På grund av något som SELinux måste veta
Fel i SE-policy/applikationLinux
Din information kan vara komprometterad

15. Problem med märkning: om dina filer finns i /srv/myweb är felaktigt markerade kan åtkomst nekas. Här är några sätt att åtgärda detta:

Om du känner till etiketten:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
Om du känner till en fil med motsvarande markeringar:
# semanage fcontext -a -e /srv/myweb /var/www
Återställa sammanhanget (för båda fallen):
# restorecon -vR /srv/myweb

16. Problem med märkning: Om du flyttar en fil istället för att kopiera den, behåller filen sin ursprungliga kontext. Så här åtgärdar du problemet:

Ändra kontextkommandot med etiketten:
# chcon -t httpd_system_content_t /var/www/html/index.html
Ändra kontextkommandot med länketiketten:
# chcon --reference /var/www/html/ /var/www/html/index.html
Återställ kontext (för båda fallen): # restorecon -vR /var/www/html/

17. Om SELinux behöver veta, att HTTPD lyssnar på port 8585, berätta för SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux behöver veta Booleska värden som låter dig ändra delar av SE-policynLinux vid körning utan kännedom om omskrivning av SE-policyLinuxOm du till exempel vill att httpd ska skicka e-post, ange: # setsebool -P httpd_can_sendmail 1

19. SELinux behöver veta logiska värden för att aktivera/avaktivera SE-inställningarLinux:

För att se alla logiska värden: # getsebool -a
För att se en beskrivning av varje: # semanage boolean -l
För att ställa in ett logiskt värde: # setsebool [_boolean_] [1|0]
För permanent installation, lägg till -P. Till exempel: # setsebool httpd_enable_ftp_server 1 -P

20. SE-policyer/ansökningarLinux kan innehålla fel, inklusive:

Ovanliga kodvägar
konfigurationer
Omdirigera stdout
Läckage av filbeskrivningar
Körbart minne
Dåligt byggda bibliotek

Öppna ärenden (skicka inte in en rapport till Bugzilla; det finns inget SLA i Bugzilla).

21. Din information kan vara komprometterad, om du har begränsade domäner och försöker:

Ladda kärnmoduler
Inaktivera påtvingat läge SELinux
Skriv till etc_t/shadow_t
Ändra iptables regler

22. SE-verktygLinux för att utveckla policymoduler:

# yum -y install setroubleshoot setroubleshoot-server

Starta om eller starta om auditd efter installationen.

23. användning

journalctl

för att lista alla loggar relaterade till setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. användning journalctl för att lista alla loggar som är kopplade till en specifik SE-taggLinux. Till exempel:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. När ett SE-fel uppstårLinux använd logg setroubleshoot med ett förslag på flera möjliga lösningar.
Till exempel från journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. Loggning: SELinux registrerar information på många ställen:

/ var / log / messages
/var/log/audit/audit.log
/var/lib/settroubleshoot/settroubleshoot_database.xml

27. Loggning: Hitta SE-felLinux i revisionsloggen:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. För att hitta SE-meddelandenLinux Åtkomstvektorcache (AVC) för en specifik tjänst:

# ausearch -m avc -c httpd

29. Verktyg audit2allow samlar in information från loggar över förbjudna operationer och genererar sedan SE-behörighetspolicyreglerLinux. Till exempel:

För att skapa en läsbar beskrivning av orsaken till åtkomstnegationen: # audit2allow -w -a
Så här visar du vilken typ av tillämpningsregel som tillåter nekad åtkomst: # audit2allow -a
För att skapa en anpassad modul: # audit2allow -a -M mypolicy
alternativ -M skapar en tillämpningsfil av typen (.te) med det angivna namnet och kompilerar regeln till ett policypaket (.pp): mypolicy.pp mypolicy.te
Så här installerar du en anpassad modul: # semodule -i mypolicy.pp

30. Så här konfigurerar du en separat process (domän) för att köras i tillåtande läge: # semanage permissive -a httpd_t

31. Om du inte längre vill att domänen ska vara tillåtande: # semanage permissive -d httpd_t

32. Så här inaktiverar du alla tillåtande domäner: # semodule -d permissivedomains

33. Aktivera MLS SE-policyLinux: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissiv
SELINUXTYPE=mls

Se till att SELinux fungerar i tillåtande läge: # setenforce 0
Använd skriptet fixfilesför att säkerställa att filerna får nya namn vid nästa omstart:

# fixfiles -F onboot # reboot

34. Skapa en användare med ett specifikt MLS-intervall: # useradd -Z staff_u john

Använda kommandot useradd, mappa den nya användaren till en befintlig SE-användareLinux (I detta fall, staff_u).

35. För att se korrespondensen mellan SE-användareLinux и Linux: # semanage login -l

36. Definiera ett specifikt intervall för användaren: # semanage login --modify --range s2:c100 john

37. Så här korrigerar du etiketten i användarens hemkatalog (om det behövs): # chcon -R -l s2:c100 /home/john

38. För att visa aktuella kategorier: # chcat -L

39. För att ändra kategorier eller börja skapa dina egna, redigera filen enligt följande:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. Så här kör du ett kommando eller skript i en specifik fil, roll och användarkontext:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t filkontext
-r rollkontext
-u användarkontext

41. Behållare som körs med SE inaktiveratLinux:

Podman: # podman run --security-opt label=disable …
Hamnarbetare: # docker run --security-opt label=disable …

42. Om du behöver ge en container fullständig åtkomst till systemet:

Podman: # podman run --privileged …
Hamnarbetare: # docker run --privileged …

Och nu vet du redan svaret. Så snälla: få inte panik och slå på SELinux.

Länkar:

Källa: will.com

En fusklapp för en sysadministratör på SELinux42 svar på viktiga frågor

Länkar: