Ein Leitfaden für Systemadministratoren zu SELinux:42 Antworten auf die großen Fragen

„Es ist eine wichtige und beliebte Tatsache, dass die Dinge nicht immer so sind, wie sie scheinen …“

―Douglas Adams, Per Anhalter durch die Galaxis

Sicherheit. Härten. Konformität. Politik. Die vier Reiter der SysAdmin-Apokalypse. Neben unseren täglichen Aufgaben – Überwachung, Sicherung, Implementierung, Optimierung, Aktualisierung usw. – sind wir auch für die Sicherung unserer Systeme zuständig. Sogar die Systeme, bei denen der Drittanbieter uns anweist, die erweiterte Sicherheit zu deaktivieren. Es scheint ein Job für Mission Impossible zu sein von Ethan Hunt.

Angesichts dieses Dilemmas entscheiden sich einige Systemadministratoren, die blaue Pille zu nehmen, weil sie glauben, dass sie die Antwort auf die große Frage des Lebens, des Universums und allem anderen nie erfahren werden. Und wie wir alle wissen, lautet diese Antwort 42 .

Ganz im Sinne von Per Anhalter durch die Galaxis , hier sind die 42 Antworten auf die großen Fragen zur Verwaltung und Verwendung von SELinux mit Ihren Systemen.

1. SELinux ist ein LABELING-System, was bedeutet, dass jeder Prozess ein LABEL hat. Jede Datei, jedes Verzeichnis und jedes Systemobjekt hat ein LABEL. Richtlinienregeln steuern den Zugriff zwischen gekennzeichneten Prozessen und gekennzeichneten Objekten. Der Kernel erzwingt diese Regeln.

2. Die zwei wichtigsten Konzepte sind:Kennzeichnung (Dateien, Prozesse, Ports usw.) und Type Enforcement (die Prozesse basierend auf Typen voneinander isoliert).

3. Das richtige Bezeichnungsformat ist user:role:type:level (optional ).

4. Der Zweck der Durchsetzung von Multi-Level Security (MLS) ist die Steuerung von Prozessen (Domänen ) basierend auf der Sicherheitsstufe der Daten, die sie verwenden werden. Beispielsweise kann ein geheimer Prozess keine streng geheimen Daten lesen.

5. Durchsetzung von Multi-Category Security (MCS) schützt ähnliche Prozesse voreinander (wie virtuelle Maschinen, OpenShift-Getriebe, SELinux-Sandboxen, Container usw.).

6. Kernel-Parameter zum Ändern der SELinux-Modi beim Booten:
   • autorelabel=1 → zwingt das System zur Umbenennung
   • selinux=0 → Kernel lädt keinen Teil der SELinux-Infrastruktur
   • enforcing=0 → Booten Sie im zulässigen Modus

7. Wenn Sie das gesamte System neu benennen müssen:
   

   # touch /.autorelabel
   
   # reboot

   Wenn die Systemkennzeichnung eine große Anzahl von Fehlern enthält, müssen Sie möglicherweise im zulässigen Modus booten, damit die automatische Neukennzeichnung erfolgreich ist.

8. So überprüfen Sie, ob SELinux aktiviert ist:

   # getenforce

9. So aktivieren/deaktivieren Sie SELinux vorübergehend:

   # setenforce [1|0]

10. SELinux-Statustool:

    # sestatus

11. Konfigurationsdatei:

    /etc/selinux/config

12. Wie funktioniert SELinux? Hier ist ein Beispiel für die Bezeichnung eines Apache-Webservers:
    • Binär:/usr/sbin/httpd →httpd_exec_t
    • Konfigurationsverzeichnis:/etc/httpd →httpd_config_t
    • Protokolldateiverzeichnis:/var/log/httpd → httpd_log_t
    • Inhaltsverzeichnis:/var/www/html → httpd_sys_content_t
    • Startskript:/usr/lib/systemd/system/httpd.service → httpd_unit_file_d
    • Prozess:/usr/sbin/httpd -DFOREGROUND → httpd_t
    • Ports:80/tcp, 443/tcp → httpd_t, http_port_t

Ein Prozess, der im httpd_t läuft Kontext kann mit einem Objekt mit dem httpd_something_t interagieren Bezeichnung.

13. Viele Befehle akzeptieren das Argument -Z Kontext anzeigen, erstellen und ändern:
    • ls -Z
    • id -Z
    • ps -Z
    • netstat -Z
    • cp -Z
    • mkdir -Z

Kontexte werden festgelegt, wenn Dateien basierend auf dem Kontext ihres übergeordneten Verzeichnisses erstellt werden (mit wenigen Ausnahmen). RPMs können Kontexte als Teil der Installation setzen.

14. Es gibt vier Hauptursachen für SELinux-Fehler, die weiter unten in den Punkten 15-21 erklärt werden:
    • Etikettierungsprobleme
    • Etwas, was SELinux wissen muss
    • Ein Fehler in einer SELinux-Richtlinie/App
    • Ihre Daten könnten kompromittiert sein

15. Etikettierungsproblem: Wenn Ihre Dateien in /srv/myweb nicht richtig beschriftet sind, kann der Zugriff verweigert werden. Hier sind einige Möglichkeiten, dies zu beheben:
    • Wenn Sie das Label kennen:
      
      # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
    • Wenn Sie die Datei mit der entsprechenden Bezeichnung kennen:
      
      # semanage fcontext -a -e /srv/myweb /var/www
    • Kontext wiederherstellen (für beide Fälle):
      
      # restorecon -vR /srv/myweb

16. Etikettierungsproblem: Wenn Sie eine Datei verschieben, anstatt sie zu kopieren, behält die Datei ihren ursprünglichen Kontext. So beheben Sie diese Probleme:

    • Ändern Sie den Kontextbefehl mit dem Label:

      $ sudo chcon -t httpd_system_content_t /var/www/html/index.html

    • Ändern Sie den Kontextbefehl mit dem Referenzlabel:

      $ sudo chcon --reference /var/www/html/ /var/www/html/index.html

    • Stellen Sie den Kontext wieder her (für beide Fälle):

      $ sudo restorecon -vR /var/www/html/

17. Wenn SELinux es wissen muss HTTPD lauscht auf Port 8585, sag SELinux:

    $ sudo semanage port -a -t http_port_t -p tcp 8585

18. SELinux muss es wissen Boolesche Werte ermöglichen das Ändern von Teilen der SELinux-Richtlinie zur Laufzeit ohne Kenntnis des Schreibens der SELinux-Richtlinie. Wenn Sie beispielsweise möchten, dass httpd E-Mails sendet, geben Sie Folgendes ein:

    $ sudo setsebool -P httpd_can_sendmail 1

19. SELinux muss es wissen Boolesche Werte sind nur Ein-/Aus-Einstellungen für SELinux:
    • Um alle booleschen Werte zu sehen:# getsebool -a
    • Um die Beschreibung von jedem zu sehen:# semanage boolean -l
    • Um einen booleschen Wert festzulegen, führen Sie Folgendes aus:# setsebool [_boolean_] [1|0]
    • Um es dauerhaft zu konfigurieren, fügen Sie -P hinzu . Beispiel:
      
      # setsebool httpd_enable_ftp_server 1 -P

20. SELinux-Richtlinien/Apps können Fehler enthalten, einschließlich:
    • Ungewöhnliche Codepfade
    • Konfigurationen
    • Umleitung von stdout
    • Durchgesickerte Dateideskriptoren
    • Ausführbarer Speicher
    • Schlecht gebaute Bibliotheken

21. Ihre Daten könnten kompromittiert sein Wenn Sie eingeschränkte Domänen haben, versuchen Sie Folgendes:
    • Kernel-Module laden
    • Schalten Sie den Erzwingungsmodus von SELinux aus
    • Schreiben Sie nach etc_t/shadow_t
    • IPtables-Regeln ändern

22. SELinux-Tools für die Entwicklung von Richtlinienmodulen:
    

    $ yum -y install setroubleshoot setroubleshoot-server

    auditd neu starten oder neu starten nach der Installation.

23. Verwenden Sie journalctl zum Auflisten aller Protokolle im Zusammenhang mit setroubleshoot :
    

    $ sudo journalctl -t setroubleshoot --since=14:20

24. Verwenden Sie journalctl zum Auflisten aller Protokolle, die sich auf ein bestimmtes SELinux-Label beziehen. Beispiel:
    

    $ sudo journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. Verwenden Sie setroubleshoot protokollieren, wenn ein SELinux-Fehler auftritt, und einige mögliche Lösungen vorschlagen. Zum Beispiel von journalctl :

    Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
    
    
    
    # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
    
    SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
    
    
    
    ***** Plugin restorecon (99.5 confidence) suggests ************************
    
    
    
    If you want to fix the label,
    
    /var/www/html/index.html default label should be httpd_syscontent_t.
    
    Then you can restorecon.
    
    Do
    
    # /sbin/restorecon -v /var/www/html/index.html

26. Protokollierung:SELinux zeichnet überall Informationen auf:
    • /var/log/messages
    • /var/log/audit/audit.log
    • /var/lib/setroubleshoot/setroubleshoot_database.xml

27. Protokollierung:Suche nach SELinux-Fehlern im Prüfprotokoll:

    $ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. So suchen Sie nach SELinux Access Vector Cache (AVC)-Nachrichten für einen bestimmten Dienst:

    $ sudo ausearch -m avc -c httpd

29. Der audit2allow sammelt Informationen aus Protokollen verweigerter Operationen und generiert dann SELinux-Richtlinien-Zulassungsregeln. Zum Beispiel:
    • Um eine für Menschen lesbare Beschreibung zu erstellen, warum der Zugriff verweigert wurde:# audit2allow -w -a
    • So zeigen Sie die Art der Erzwingungsregel an, die den verweigerten Zugriff zulässt:# audit2allow -a
    • So erstellen Sie ein benutzerdefiniertes Modul:# audit2allow -a -M mypolicy
      
      Das -M Option erstellt eine Type Enforcement-Datei (.te) mit dem angegebenen Namen und kompiliert die Regel in ein Richtlinienpaket (.pp):mypolicy.pp mypolicy.te
    • So installieren Sie das benutzerdefinierte Modul:# semodule -i mypolicy.pp

30. Um einen einzelnen Prozess (Domäne) für die Ausführung permissive zu konfigurieren:# semanage permissive -a httpd_t

31. Wenn Sie nicht mehr möchten, dass eine Domain permissive ist:# semanage permissive -d httpd_t

32. So deaktivieren Sie alle zulässigen Domänen:

    $ sudo semodule -d permissivedomains

33. Aktivieren der SELinux MLS-Richtlinie:

    $ sudo yum install selinux-policy-mls

    In /etc/selinux/config:

    SELINUX=permissive
    
    SELINUXTYPE=mls

    Stellen Sie sicher, dass SELinux im zulässigen Modus ausgeführt wird:

    $ sudo setenforce 0

    Verwenden Sie die fixfiles Skript, um sicherzustellen, dass Dateien beim nächsten Neustart umbenannt werden:

    $ sudo fixfiles -F onboot
    
    $ sudo reboot

34. Erstellen Sie einen Benutzer mit einem bestimmten MLS-Bereich:

    $ sudo useradd -Z staff_u tux

    Mit dem useradd ordnen Sie den neuen Benutzer einem bestehenden SELinux-Benutzer zu (in diesem Fall staff_u ).

35. So zeigen Sie die Zuordnung zwischen SELinux- und Linux-Benutzern an:

    $ sudo semanage login -l

36. Definieren Sie einen bestimmten Bereich für einen Benutzer:

    $ sudo semanage login --modify --range s2:c100 tux

$ sudo chcon -R -l s2:c100 /home/tux