SELinux אָפּנאַרן בלאַט פֿאַר סיסטעם אַדמיניסטראַטאָרס: 42 ענטפֿערס צו וויכטיק פֿראגן

די איבערזעצונג פון דעם אַרטיקל איז געווען צוגעגרייט ספּאַסיפיקלי פֿאַר די סטודענטן פון דעם קורס "לינוקס אַדמיניסטראַטאָר".

דאָ איר וועט באַקומען ענטפֿערס צו וויכטיק פֿראגן וועגן לעבן, די אַלוועלט און אַלץ אין לינוקס מיט ימפּרוווד זיכערהייט.

"די וויכטיק אמת אַז די טינגז זענען נישט שטענדיק וואָס זיי ויסקומען איז פּראָסט וויסן ..."

-דאָוגלאַס אַדאַמס, די כיטשכיקער גייד צו די גאַלאַקסי

זיכערקייַט. געוואקסן רילייאַבילאַטי. מיטשטימונג. פּאָליטיק. פיר רידערמאַן פון די אַפּאָקאַליפּסע סיסאַדמין. אין אַדישאַן צו אונדזער טעגלעך טאַסקס - מאָניטאָרינג, באַקאַפּ, ימפּלאַמענטיישאַן, קאַנפיגיעריישאַן, אַפּדייטינג, אאז"ו ו - מיר זענען אויך פאַראַנטוואָרטלעך פֿאַר די זיכערהייט פון אונדזער סיסטעמען. אפילו די סיסטעמען ווו די דריט-פּאַרטיי שפּייַזער רעקאַמענדז אַז מיר דיסייבאַל ענכאַנסט זיכערהייט. עס פילז ווי אַרבעט עטהאַן הונט פֿון "מיסיע: אוממעגלעך."

פייסט מיט דעם דילעמאַ, עטלעכע סיסטעם אַדמיניסטראַטאָרס באַשליסן צו נעמען בלוי פּיל, ווייַל זיי טראַכטן זיי וועלן קיינמאָל וויסן די ענטפער צו די גרויס קשיא פון לעבן, די אַלוועלט און אַלע וואָס. און ווי מיר אַלע וויסן, דער ענטפער איז 42.

אין דעם גייסט פון די כיטשכיקער גייד צו די גאַלאַקסי, דאָ זענען 42 ענטפֿערס צו וויכטיק פֿראגן וועגן קאָנטראָל און נוצן. SELinux אויף דיין סיסטעמען.

1. SELinux איז אַ געצווונגען אַקסעס קאָנטראָל סיסטעם, וואָס מיטל אַז יעדער פּראָצעס האט אַ פירמע. יעדער טעקע, וועגווייַזער און סיסטעם כייפעץ אויך האט לאַבעלס. פּאָליטיק כּללים קאָנטראָלירן אַקסעס צווישן טאַגד פּראַסעסאַז און אַבדזשעקץ. דער קערן ענפאָרסיז די כּללים.

2. די צוויי מערסט וויכטיק קאַנסעפּס זענען: לייבלינג - מאַרקינגז (פילעס, פּראַסעסאַז, פּאָרץ, אאז"ו ו) און טיפּ ענפאָרסמאַנט (וואָס ייסאַלייץ פּראַסעסאַז פון יעדער אנדערער באזירט אויף טייפּס).

3. ריכטיק פירמע פֿאָרמאַט user:role:type:level (אַפּשאַנאַל).

4. דער ציל פון צושטעלן מאַלטי-מדרגה זיכערהייט (מולטי-לעוועל זיכערהייט - MLS) איז צו פירן פּראַסעסאַז (דומיינז) באזירט אויף די זיכערהייט מדרגה פון די דאַטן זיי וועלן נוצן. פֿאַר בייַשפּיל, אַ סוד פּראָצעס קען נישט לייענען שפּיץ סוד דאַטן.

5. ינשורינג מאַלטי-קאטעגאריע זיכערהייט (מולטי-קאטעגאריע זיכערהייט - MCS) פּראַטעקץ ענלעך פּראַסעסאַז פון יעדער אנדערער (למשל, ווירטואַל מאשינען, OpenShift ענדזשאַנז, SELinux זאַמדבאָקסעס, קאַנטיינערז, אאז"ו ו).

6. קערנעל אָפּציעס פֿאַר טשאַנגינג SELinux מאָדעס ביי שטיוול:

• autorelabel=1 → ז די סיסטעם צו לויפן רעלאַבעלינג
• selinux=0 → דער קערן טוט נישט לאָדן די SELinux ינפראַסטראַקטשער
• enforcing=0 → לאָודינג אין פּערמיסיוו מאָדע

7. אויב איר דאַרפֿן צו רילייבל די גאנצע סיסטעם:

# touch /.autorelabel
#reboot

אויב די סיסטעם מאַרקינג כּולל אַ גרויס נומער פון ערראָרס, איר קען דאַרפֿן צו שטיוול אין פּערמיסיוו מאָדע פֿאַר רימאַרקינג צו זיין געראָטן.

8. צו קאָנטראָלירן אויב SELinux איז ענייבאַלד: # getenforce

9. צו טעמפּערעראַלי געבן / דיסייבאַל SELinux: # setenforce [1|0]

קסנומקס. קאָנטראָלירונג SELinux סטאַטוס: # sestatus

קסנומקס. קאָנפיגוראַטיאָן טעקע: /etc/selinux/config

קסנומקס. ווי אַזוי אַרבעט SELinux? דאָ איז אַ ביישפּיל מאַרקינג פֿאַר די אַפּאַטשי וועב סערווער:

• ביינערי פאַרטרעטונג: /usr/sbin/httpd→httpd_exec_t
• קאַנפיגיעריישאַן וועגווייַזער: /etc/httpd→httpd_config_t
• קלאָץ טעקע וועגווייַזער: /var/log/httpd → httpd_log_t
• אינהאַלט וועגווייַזער: /var/www/html → httpd_sys_content_t
• אָנהייב שריפט: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• פּראָצעס: /usr/sbin/httpd -DFOREGROUND → httpd_t
• פארטס: 80/tcp, 443/tcp → httpd_t, http_port_t

פּראָצעס פליסנדיק אין קאָנטעקסט httpd_t, קענען ינטעראַקט מיט אַ לייבאַלד כייפעץ httpd_something_t.

קסנומקס. פילע קאַמאַנדז אָננעמען אַ אַרגומענט -Z צו זען, שאַפֿן און טוישן קאָנטעקסט:

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

קאָנטעקסץ זענען געגרינדעט ווען טעקעס זענען באשאפן באזירט אויף דעם קאָנטעקסט פון זייער פאָטער וועגווייַזער (מיט עטלעכע אויסנעמען). רפּם קענען פאַרלייגן קאַנטעקסץ ווי בעשאַס ינסטאַלירונג.

קסנומקס. עס זענען פיר הויפּט סיבות פון SELinux ערראָרס, וואָס זענען דיסקרייבד אין מער דעטאַל אין פונקטן 15-21 אונטן:

• לייבלינג ישוז
• ווייַל פון עפּעס וואָס SELinux דאַרף וויסן
• טעות אין SELinux פּאָליטיק / אַפּלאַקיישאַן
• דיין אינפֿאָרמאַציע קען זיין קאַמפּראַמייזד

קסנומקס. לייבלינג פּראָבלעם: אויב דיין טעקעס זענען אין /srv/myweb זענען נישט ריכטיק אנגעצייכנט, דער צוטריט קען זיין געלייקנט. דאָ זענען עטלעכע וועגן צו פאַרריכטן דעם:

• אויב איר וויסן די פירמע:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• אויב איר וויסן אַ טעקע מיט עקוויוואַלענט מאַרקינגז:
  # semanage fcontext -a -e /srv/myweb /var/www
• ריסטאָרינג דעם קאָנטעקסט (פֿאַר ביידע קאַסעס):
  # restorecon -vR /srv/myweb

קסנומקס. לייבלינג פּראָבלעם: אויב איר מאַך די טעקע אַנשטאָט פון קאַפּיינג עס, די טעקע וועט ריטיין זיין אָריגינעל קאָנטעקסט. צו פאַרריכטן דעם פּראָבלעם:

• טוישן די קאָנטעקסט באַפֿעל מיט די פירמע:
  # chcon -t httpd_system_content_t /var/www/html/index.html
• טוישן די קאָנטעקסט באַפֿעל מיט די לינק פירמע:
  # chcon --reference /var/www/html/ /var/www/html/index.html
• ומקערן דעם קאָנטעקסט (פֿאַר ביידע קאַסעס): # restorecon -vR /var/www/html/

קסנומקס. צי SELinux איר דאַרפֿן צו וויסןאַז HTTPD איז צוגעהערט אויף פּאָרט 8585, זאָגן SELinux:

# semanage port -a -t http_port_t -p tcp 8585

קסנומקס. SELinux איר דאַרפֿן צו וויסן באָאָלעאַן וואַלועס וואָס לאָזן טיילן פון די SELinux פּאָליטיק צו זיין טשיינדזשד אין רונטימע אָן וויסן פון די SELinux פּאָליטיק איז אָוווערריטאַן. פֿאַר בייַשפּיל, אויב איר ווילן httpd צו שיקן בליצפּאָסט, אַרייַן: # setsebool -P httpd_can_sendmail 1

קסנומקס. SELinux איר דאַרפֿן צו וויסן לאַדזשיקאַל וואַלועס פֿאַר ענייבאַלינג / דיסייבאַל SELinux סעטטינגס:

• צו זען אַלע בוליאַן וואַלועס: # getsebool -a
• צו זען אַ באַשרייַבונג פון יעדער: # semanage boolean -l
• צו שטעלן אַ בוליאַן ווערט: # setsebool [_boolean_] [1|0]
• פֿאַר אַ שטענדיק ייַנמאָנטירונג, לייגן -P. צום ביישפּיל: # setsebool httpd_enable_ftp_server 1 -P

קסנומקס. SELinux פּאַלאַסיז / אַפּלאַקיישאַנז קען אַנטהאַלטן ערראָרס, אַרייַנגערעכנט:

• ומגעוויינטלעך קאָד פּאַטס
• קאָנפיגוראַטיאָנס
• רידערעקטינג סטדאָוט
• טעקע דיסקריפּטאָר ליקס
• עקסעקוטאַבלע זכּרון
• שוואַך געבויט ביבליאָטעק

עפֿענען טיקיץ (טאָן ניט פאָרלייגן אַ באַריכט צו Bugzilla; Bugzilla האט קיין SLA).

קסנומקס. דיין אינפֿאָרמאַציע קען זיין קאַמפּראַמייזדאויב איר האָבן לימיטעד דאָומיינז טריינג צו:

• לאָדן קערן מאַדזשולז
• דיסייבאַל ענפאָרסט SELinux מאָדע
• שרייב צו etc_t/shadow_t
• טוישן די כּללים פון יפּטאַבלעס

קסנומקס. SELinux מכשירים פֿאַר דעוועלאָפּינג פּאָליטיק מאַדזשולז:

# yum -y install setroubleshoot setroubleshoot-server

רעבאָאָט אָדער ריסטאַרט auditd נאָך ייַנמאָנטירונג.

קסנומקס. ניצן

journalctl

צו ווייַזן אַ רשימה פון אַלע לאָגס פֿאַרבונדן מיט setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

קסנומקס. ניצן journalctl צו רשימה אַלע לאָגס פֿאַרבונדן מיט אַ ספּעציפיש SELinux קוויטל. למשל:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

קסנומקס. אויב אַ SELinux טעות אַקערז, נוצן די קלאָץ setroubleshoot פאָרשלאָגן עטלעכע מעגלעך סאַלושאַנז.
פֿאַר בייַשפּיל, פֿון journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

קסנומקס. לאָגינג: SELinux רעקאָרדירט ​​אינפֿאָרמאַציע אין פילע ערטער:

• / וואַר / קלאָץ / אַרטיקלען
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

קסנומקס. לאָגינג: זוכן פֿאַר SELinux ערראָרס אין די קאָנטראָלירן קלאָץ:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

קסנומקס. צו געפֿינען SELinux אַקסעס וועקטאָר קאַש (AVC) אַרטיקלען פֿאַר אַ ספּעציפיש דינסט:

# ausearch -m avc -c httpd

קסנומקס. נוצן audit2allow קאַלעקץ אינפֿאָרמאַציע פון ​​לאָגס פון פּראָוכיבאַטאַד אַפּעריישאַנז און דזשענערייץ SELinux דערלויבעניש פּאָליטיק כּללים. למשל:

• צו שאַפֿן אַ מענטש-ליינעוודיק באַשרייַבונג פון וואָס אַקסעס איז געלייקנט: # audit2allow -w -a
• צו זען אַ טיפּ ענפאָרסמאַנט הערשן וואָס אַלאַוז געלייקנט אַקסעס: # audit2allow -a
• צו שאַפֿן אַ מנהג מאָדולע: # audit2allow -a -M mypolicy
• אָפּציע -M קריייץ אַ טיפּ ענפאָרסמאַנט טעקע (.טע) מיט די ספּעסאַפייד נאָמען און קאַמפּיילז די הערשן אין אַ פּאָליטיק פּעקל (.פּפּ): mypolicy.pp mypolicy.te
• צו ינסטאַלירן אַ מנהג מאָדולע: # semodule -i mypolicy.pp

קסנומקס. צו קאַנפיגיער אַ באַזונדער פּראָצעס ( פעלד) צו אַרבעטן אין פּערמיסיוו מאָדע: # semanage permissive -a httpd_t

קסנומקס. אויב איר ניט מער ווילן די פעלד צו זיין פּערמיסיוו: # semanage permissive -d httpd_t

קסנומקס. צו דיסייבאַל אַלע פּערמיסיוו דאָומיינז: # semodule -d permissivedomains

קסנומקס. ענייבאַלינג MLS SELinux פּאָליטיק: # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

מאַכן זיכער אַז SELinux איז פליסנדיק אין פּערמיסיוו מאָדע: # setenforce 0
ניצן אַ שריפט fixfilesצו ענשור אַז די טעקעס זענען רעלאַבעלעד אויף דער ווייַטער רעבאָאָט:

# fixfiles -F onboot # reboot

קסנומקס. שאַפֿן אַ באַניצער מיט אַ ספּעציפיש MLS קייט: # useradd -Z staff_u john

ניצן די באַפֿעל useradd, מאַפּע די נייַע באַניצער צו אַן יגזיסטינג SELinux באַניצער (אין דעם פאַל, staff_u).

קסנומקס. צו זען די מאַפּינג צווישן SELinux און Linux ניצערס: # semanage login -l

קסנומקס. דעפינירן אַ ספּעציפיש קייט פֿאַר די באַניצער: # semanage login --modify --range s2:c100 john

קסנומקס. צו פאַרריכטן דעם באַניצער 'ס היים וועגווייַזער פירמע (אויב נייטיק): # chcon -R -l s2:c100 /home/john

קסנומקס. צו זען קראַנט קאַטעגאָריעס: # chcat -L

קסנומקס. צו טוישן קאַטעגאָריעס אָדער אָנהייבן קריייטינג דיין אייגענע, רעדאַגירן די טעקע ווי גייט:

/etc/selinux/_<selinuxtype>_/setrans.conf

קסנומקס. צו לויפן אַ באַפֿעל אָדער שריפט אין אַ ספּעציפיש טעקע, ראָלע און באַניצער קאָנטעקסט:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t טעקע קאָנטעקסט
• -r ראָלע קאָנטעקסט
• -u באַניצער קאָנטעקסט

קסנומקס. קאַנטיינערז מיט SELinux פאַרקריפּלט:

• פאדמאן: # podman run --security-opt label=disable …
• דאָקקער: # docker run --security-opt label=disable …

קסנומקס. אויב איר דאַרפֿן צו געבן דעם קאַנטיינער פול אַקסעס צו די סיסטעם:

• פאדמאן: # podman run --privileged …
• דאָקקער: # docker run --privileged …

און איצט איר שוין וויסן די ענטפער. אַזוי ביטע: טאָן ניט פּאַניק און געבן SELinux.

לינקס:

• SELinux by דן וואלש
• דיין וויזשאַוואַל ווי-צו פירן פֿאַר SELinux פּאָליטיק ענפאָרסמאַנט אויך דורך דן וואַלש
• זיכערהייט ענכאַנסט לינוקס פֿאַר בלויז מאָרטאַלז by טאמעס קאַמעראָן
• די סעלינוקס קאָלאָרינג ספר by מאירין דאפי
• SELinux באַניצער און אַדמיניסטראַטאָר ס גייד - Red Hat Enterprise Linux 7

מקור: www.habr.com