| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| navody:prirucka:selinux [2008/05/23 16:42] – covex | navody:prirucka:selinux [2022/11/14 11:26] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| |
| ===== SELinux ===== | ===== SELinux ===== |
| {{:navody:48x48:apps:icon-security-lock.png }} Následující kapitolu nelze v žádném případě považovat za vyčerpávající pojednání o problematice //SELinux//u (na toto téma vznikla celá řada knih). Cílem této kapitoly je seznámit se základní filozofií a elementárním nastavením //SELinux//u. Kapitola vznikla na základě následujících článků: | {{:navody:48x48:apps:selinux.png?48 }} Následující kapitolu nelze v žádném případě považovat za vyčerpávající pojednání o problematice //SELinux//u (na toto téma vznikla celá řada knih). Cílem této kapitoly je seznámit se základní filozofií a elementárním nastavením //SELinux//u. Kapitola vznikla na základě následujících článků: |
| * [[http://fedoraproject.org/wiki/SELinux|Wikipedia - SELinux]] | * [[http://fedoraproject.org/wiki/SELinux|Wikipedia - SELinux]] |
| * [[http://www.samag.com/documents/s=7835/sam0303a/0303a.htm|SELinux od K.Thompsona]] | * [[http://www.samag.com/documents/s=7835/sam0303a/0303a.htm|SELinux od K.Thompsona]] |
| |
| //SELinux// má tři základní módy - ''Vynucující'' (Enforcing), ''Tolerantní'' (Permissive), ''Zakázán'' (Disabled). V rámci módu ''Vynucující'' je bezpečnostní politika //SELinuxu// aktivně vynucována. To znamená, že procesy mohou přistupovat pouze k souborů, které jsou jim v rámci politiky přiřazeny. Mód ''Tolerantní'' znamená, že //SELinux// posílá varovné zprávy do souboru ''/var/log/messages'', avšak dodržování bezpečnostních politik nevyžaduje. V režimu ''Zakázán'' nejsou politiky //SELinux//u aplikována vůbec.\\ | //SELinux// má tři základní módy - ''Vynucující'' (Enforcing), ''Tolerantní'' (Permissive), ''Zakázán'' (Disabled). V rámci módu ''Vynucující'' je bezpečnostní politika //SELinuxu// aktivně vynucována. To znamená, že procesy mohou přistupovat pouze k souborů, které jsou jim v rámci politiky přiřazeny. Mód ''Tolerantní'' znamená, že //SELinux// posílá varovné zprávy do souboru ''/var/log/messages'', avšak dodržování bezpečnostních politik nevyžaduje. V režimu ''Zakázán'' nejsou politiky //SELinux//u aplikována vůbec.\\ |
| |
| Všechny tři módy se dají nastavit prostřednictvím nabídky //Aplikace -> Systémové nástroje -> SELinux Management//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //System Default Enforcing Mode//. | |
| |
| {{ navody:f7selinux.png | SELinux }} | |
| |
| Módy //SELinux//u je možné nastavit také přímo v souboru ''/etc/selinux/config''. | Módy //SELinux//u je možné nastavit také přímo v souboru ''/etc/selinux/config''. |
| |
| /usr/sbin/sestatus -v | /usr/sbin/sestatus -v |
| | |
| | |
| SELinux status: enabled | SELinux status: enabled |
| Bezpečnostní kontext lze charakterizovat jako sadu příznaků, které se váží ke konkrétnímu uživateli, procesu nebo souboru. V rámci bezpečnostní politiky jsou pak definovány možné interakce mezi subjekty a objekty právě na základě těchto příznaků. Informace o bezpečnostním kontextu souborů jsou uloženy v rozšířeném atributu systému souborů a jsou tudíž jeho součástí.\\ | Bezpečnostní kontext lze charakterizovat jako sadu příznaků, které se váží ke konkrétnímu uživateli, procesu nebo souboru. V rámci bezpečnostní politiky jsou pak definovány možné interakce mezi subjekty a objekty právě na základě těchto příznaků. Informace o bezpečnostním kontextu souborů jsou uloženy v rozšířeném atributu systému souborů a jsou tudíž jeho součástí.\\ |
| |
| **Poznámka:** V případě souborů se někdy můžete setkat s ekvivalentním pojmem //file context// a v případě procesu s pak často používá pojmem //domain//. | **Poznámka:** V případě souborů se někdy můžete setkat s ekvivalentním pojmem //file context// a v případě procesu s pak často používá pojem //domain//. |
| |
| === Struktura bezpečnostního kontextu === | === Struktura bezpečnostního kontextu === |
| Konfigurační soubory //SELinux//u jsou uloženy v adresáři ''/etc/selinux/''. Každý z podadresářů ''/etc/selinux'' pak může obsahovat samostatnou sadu bezpečnostních politik. | Konfigurační soubory //SELinux//u jsou uloženy v adresáři ''/etc/selinux/''. Každý z podadresářů ''/etc/selinux'' pak může obsahovat samostatnou sadu bezpečnostních politik. |
| Ve //Fedoře// naleznete v tomto adresáři podadresář ''targeted''. ''targeted'' je defaultní bezpečnostní politikou //SELinux//u. | Ve //Fedoře// naleznete v tomto adresáři podadresář ''targeted''. ''targeted'' je defaultní bezpečnostní politikou //SELinux//u. |
| V případě bezpečnostní politiky ''targeted'' mají pouze některé klíčové aplikace((Konkrétně se jedná o deamony ''dhcpd'', ''httpd'', ''mysqld'', ''named'', ''nscd'', ''ntpd'', ''portmap'', ''postgres'', ''snmpd'', ''squid'', ''syslogd'' a ''winbind''. To, o jaké deamony se bude jednat ve Vašem případě, závisí na Vaší instalaci.)) "vlastní" bezpečnostní typ. Ostatní aplikace používají typ ''unconfined_t'' - v tomto případě spoléhají pouze na //DAC//. Opakem politiky ''targeted'' je politika ''strict''((Bezpečnostní politika ''strict'' není defautně nainstalována. Instalaci provedete pomocí ''yum -y install selinux-policy-strict''.)). Tato politika implementuje samostatný typ pro každou aplikaci a vyžaduje explicitní pravidla pro všechny vzájemné interakce subjektů a objektů. Bezpečnostní politika ''strict'' je tedy velice komplexním bezpečnostním nástrojem vyžadujícím detailní znalost //SELinux//u a pravidelnou aktualizaci v závislosti na nově přidaných aplikacích.\\ | V případě bezpečnostní politiky ''targeted'' mají pouze některé klíčové aplikace((Konkrétně se jedná o deamony ''dhcpd'', ''httpd'', ''mysqld'', ''named'', ''nscd'', ''ntpd'', ''portmap'', ''postgres'', ''snmpd'', ''squid'', ''syslogd'' a ''winbind''. To, o jaké deamony se bude jednat ve Vašem případě, závisí na Vaší instalaci.)) "vlastní" bezpečnostní typ. Ostatní aplikace používají typ ''unconfined_t'' - v tomto případě spoléhají pouze na //DAC//. Opakem politiky ''targeted'' je politika ''strict''((Bezpečnostní politika ''strict'' není defautně nainstalována. Instalaci provedete pomocí ''dnf -y install selinux-policy-strict''.)). Tato politika implementuje samostatný typ pro každou aplikaci a vyžaduje explicitní pravidla pro všechny vzájemné interakce subjektů a objektů. Bezpečnostní politika ''strict'' je tedy velice komplexním bezpečnostním nástrojem vyžadujícím detailní znalost //SELinux//u a pravidelnou aktualizaci v závislosti na nově přidaných aplikacích.\\ |
| |
| Aktuální bezpečnostní politiku je možné nastavit v souboru ''/etc/selinux/config''((Pokud ovšem opravdu nevíte, co děláte, není dobrý nápad toto nastavení měnit.)) | Aktuální bezpečnostní politiku je možné nastavit v souboru ''/etc/selinux/config''((Pokud ovšem opravdu nevíte, co děláte, není dobrý nápad toto nastavení měnit.)) |
| s0:c0.c1023 SystemHigh | s0:c0.c1023 SystemHigh |
| |
| ===== ===== | ---- |
| [[obsah|Hlavní stránka]] | [[obsah|Hlavní stránka]] |