Como definir uma política em Selinux

Carl Hintz DDS
Como definir uma política em Selinux
Uma das principais razões pelas quais as pessoas escolhem o Linux é a segurança que ele oferece. É por isso que você encontrará Linux em servidores e estações de trabalho profissionais. Selinux é um desses recursos de segurança do Linux. Faz parte do kernel Linux padrão há algum tempo, e qualquer distro moderna tem suporte.

Existem várias maneiras diferentes de as maneiras que o Selinux pode operar. Isso é definido pela política de Selinux. Neste guia, você aprenderá mais sobre as políticas da Selinux e como definir uma política em Selinux.

Visão geral da política do Selinux

Vamos ter um rápido resumo do Selinux e suas políticas. Selinux é um acrônimo para “Linux aprimorado de segurança.”Compreende uma série de patches de segurança para o kernel Linux. O Selinux foi originalmente desenvolvido pela Agência de Segurança Nacional (NSA) e liberado para a comunidade de desenvolvimento de código aberto em 2000 sob a licença da GPL. Foi mesclado com o kernel linux principal em 2003.

O Selinux fornece Mac (controle de acesso obrigatório) em vez do DAC padrão (controle de acesso discricionário). Isso permite a implementação de algumas políticas de segurança que não seriam possíveis de implementar de outra forma.

Políticas de Selinux são conjuntos de regras que orientam o mecanismo de segurança do Selinux. Uma política define tipos para objetos e domínios de arquivo para processos. Funções são usadas para limitar o acesso a domínios. As identidades do usuário determinam quais funções podem ser alcançadas.
Existem duas políticas de Selinux disponíveis:

  • Direcionado: a política padrão. Implementa o controle de acesso aos processos direcionados. Os processos são executados em um domínio confinado, onde o processo tem acesso limitado aos arquivos. Se um processo confinado for comprometido, o dano será mitigado. No caso de serviços, apenas serviços específicos são colocados nesses domínios.
  • MLS: significa segurança em vários níveis. Confira a documentação do Red Hat sobre a política do Selinux MLS.

Os processos que não são direcionados serão executados em um domínio não confinado. Processos em execução em domínios não confinados desfrutam de acesso quase completo. Se esse processo estiver comprometido, o Selinux não oferece mitigação. O invasor pode obter acesso a todo o sistema e recursos. No entanto, as regras do DAC ainda se aplicam aos domínios não confinados.
A seguir, é apresentada uma pequena lista de exemplos de domínios não confinados:

  • Domínio initrc_t: programas init
  • domínio kernel_t: processos de kernel
  • Domínio não confinado_t: os usuários efetuaram login no sistema Linux

Alterando a política do Selinux

Os exemplos a seguir são realizados no CentOS 8. Todos os comandos deste artigo são executados como usuário root. Para outras distribuições, consulte o tutorial apropriado sobre como ativar o Selinux.
Para alterar uma política em Selinux, comece verificando o status do Selinux. O status padrão deve ser o Selinux habilitado no modo de "aplicação" com a política "direcionada".

$ sestatus


Para alterar a política do Selinux, abra o arquivo de configuração do Selinux em seu editor de texto favorito.

$ vim/etc/Selinux/config


Aqui, nossa meta é a variável "SelinuxType" que define a política do Selinux. Como você pode ver, o valor padrão é “direcionado.”

Todas as etapas demonstradas neste exemplo são realizadas no CentOS 8. No caso do CentOS, a política do MLS não vem instalada por padrão. Também é provável que seja o caso em outras distros. Aprenda a configurar o Selinux no Ubuntu aqui. Certifique -se de instalar o programa primeiro. No caso de Ubuntu, CentOS, OpenSuse, Fedora, Debian e outros, o nome do pacote é “Selinux-Policy-MLS.”

$ dnf install selinux-policy-mls


Nesse caso, mudaremos a política para o MLS. Altere o valor da variável de acordo.

$ SelinuxType = MLS

Salve o arquivo e saia do editor. Para colocar essas mudanças em vigor, você deve reiniciar o sistema.

$ reiniciar

Verifique a mudança emitindo o seguinte.

$ sestatus

Alterando os modos Selinux

Selinux pode operar em três modos diferentes. Esses modos determinam como a política é aplicada.

  • Imposto: qualquer ação contra a política é bloqueada e relatada no registro de auditoria.
  • Permissivo: qualquer ação contra a política é relatada apenas no registro de auditoria.
  • Desativado: o Selinux está desativado.

Para alterar temporariamente o modo em Selinux, use o comando setEnforce. Se o sistema for reiniciado, o sistema será revertido para a configuração padrão.

$ SETENFORCE APECÇÃO
$ Setenforced Admissive


Para alterar permanentemente o modo em Selinux, você deve ajustar o arquivo de configuração do Selinux.

$ vim/etc/Selinux/config


Salvar e fechar o editor. Reinicie o sistema para colocar as mudanças em vigor.
Você pode verificar a alteração usando o comando sestatus.

$ sestatus

Conclusão

Selinux é um mecanismo poderoso para impor segurança. Felizmente, este guia ajudou você a aprender a configurar e gerenciar o comportamento de Selinux.
Computação feliz!

C ++
O que são identificadores em C++?
Em um programa, os identificadores C ++ são usados ​​para se referir aos nomes de variáveis, funções...
Benny Hilll DDS
php
Como usar enquanto loop em php?
O loop while é um conceito crucial usado para executar um bloco de código repetidamente até que uma ...
Orlando Green
C Programação
O que é tratamento de arquivos na programação C?
O manuseio de arquivos é um aspecto essencial da programação C que permite aos desenvolvedores traba...
Joey Bartoletti
Pitão
Python encontra o índice de todas as ocorrências em uma lista
Salvatore Watsica
Pitão
Python OS Mkdir
Pedro Macejkovic
Pitão
Seaorn TsPlot
Pedro Macejkovic
Força de vendas
Salesforce Apex - Lista
Carl Hintz DDS
php
Como usar a função serializada do PHP
Bryant Rowe Sr.
JavaScript
O que o método ATOB faz em JavaScript
Marlon Bernhard
Java
Como usar o Java One Line se declaração?
Salvatore Watsica
Powershell
Como usar o Get-AdPrincipalGroupMembership em PowerShell
Evan Mueller
Powershell
Como usar o cmdlet de movimento em PowerShell?
Pedro Macejkovic
php
Como verificar se uma matriz está vazia em php?
Bryant Rowe Sr.