Pagina di stampa - CentOS-Italia.org - La Community degli Utenti Italiani di Linux CentOS Forum e Guide How To - GUIDA PER CREARE POLICIES PERSONALIZZATA SELINUX SU CENTOS 5.6 E 6.0

GUIDA PER CREARE POLICIES PERSONALIZZATA SELINUX SU CENTOS 5.6 E 6.0

GUIDA PER CREARE POLICIES PERSONALIZZATA SELINUX SU CENTOS 5.6 E 6.0 __________________________________________________________________________________________________________________________________________________________________________________________ Che cos'è Selinux http://it.wikipedia.org/wiki/Security-Enhanced_Linux http://wiki.centos.org/HowTos/SELinux __________________________________________________________________________________________________________________________________________________________________________________________ In questa guida vedremo Selinux in particolare come crare policies personalizzate. Spesso viene consigliato di disabilitarlo per non creare problemi, cosa che a mio avviso non trovo corretta. Selinux è un sistema di sicurezza che protegge la macchina. Si puo utilizzare in 3 modi: enable permissive disable enable: Selinux abilitato permissive: Selinux non è disabilitato esegue i log ma di fatto non è in funzione disable: Selinux disabilitato si puo settare in permissive per test sconsiglio di disabiltarlo __________________________________________________________________________________________________________________________________________________________________________________________ Nel caso sia disabilitato dalle guide red hat viene indicato di eseguire questo comando: touch /.autorelabel reboot PERSONALMENTE NON MI E' MAI CAPITATO DI DISABILITARE SELINUX SCONSIGLIO DI FARLO MASSIMO METTETELO IN PERMISSIVE __________________________________________________________________________________________________________________________________________________________________________________________ File di configurazione /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: #     enforcing - SELinux security policy is enforced. #     permissive - SELinux prints warnings instead of enforcing. #     disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: #     targeted - Targeted processes are protected, #     mls - Multi Level Security protection. SELINUXTYPE=targeted modificando la riga SELINUX= possiamo variare lo stato di selinux in questo modo per la modifica sara valida al riavvio del sistema mentre usando il tool  setenforce [ Enforcing | Permissive | 1 | 0 ] setenforce 1 attiva selinux in modo immediato setenforce 0 lo mette in permissive in maniera immediata Possiamo sempre utilizzare il tool sestatus per verificare lo stato di selinux sestatus SELinux status:                 enabled SELinuxfs mount:                /selinux Current mode:                   permissive Mode from config file:          permissive Policy version:                 24 Policy from config file:        targeted "Current mode" ci indica lo stato attuale mentre "Mode from config file" ci indica come è settato in /etc/sysconfig/selinux è ovvio che se setto selinux in enforcing nel file di configurazione poi per test con setenforce lo metto in permissive riavvio la macchina Selinux ritorna in enforcing quindi ricordatevi sempre di controllare il suo stato. il tool setenforce è molto utile per test, installato un nuovo applicativo o modifico la macchina e volgio essere sicuro di non avere intralci metto selinux in permissive e procedo. Per poi riattivarlo guardare i log e sistemare cio che occorre. __________________________________________________________________________________________________________________________________________________________________________________________ Esistono gia dei boolean che si possono attivare o disattivare #getsebool -a vi mostrerà l'elenco completo ed il loro stato "off" o "on" # getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off con l'opzione | grep samba visualizziamo solo le boolean per samba ed il loro stato samba_domain_controller esempio va attivata qualora stessimo creando un domain controller samba use_samba_home_dirs esempio va attivata qualora volessimo creare condivisioni in /home per attivare una boolean #setsebool -P samba_domain_controller on per disattivarla #setsebool -P samba_domain_controller off A questo indirizzo trovate la lista delle boolean ed il loro ruolo http://wiki.centos.org/TipsAndTricks/SelinuxBooleans __________________________________________________________________________________________________________________________________________________________________________________________ Pacchetti necessari per la creazione di una policies personalizzata Verificare pacchetto policycoreutils-python su Centos 6 di default non è installato su Centos 5.6 si yum install policycoreutils-python __________________________________________________________________________________________________________________________________________________________________________________________ Creiamo la policy in genere consiglio di creare una cartella dove tenere le policy esempio /home/cfg/mypolicies/ #cd /home/cfg/mypolicies #audit2allow -i /var/log/audit/audit.log -m mypolicies > mypolicies.te # vi mypolicies.te Ora fare bene attenzione a cosa trovate dentro il file potrebbero esserci sezioni relative ad altri programmi in tal caso sarebbero da eliminare; oppure potrebbero essere indicato di attivare boolean tramite setsebool CANCELLIAMO CIO' CHE NON CI INTERESSA E COMPILIAMO IL MODULO # checkmodule -M -m -o mypolicies.mod mypolicies.te pacchettiziamo # semodule_package -o mypolicies.pp -m mypolicies.mod carichiamo # semodule -i mypolicies controlliamo che sia stato caricato # semodule -l __________________________________________________________________________________________________________________________________________________________________________________________

Indietro all'articolo