Настройка SELinux в CentOS
Обновлено:
Опубликовано:
Тематические термины: SELinux, CentOS
В данной инструкции рассмотрим общий принцип настройки SELinux.
Принцип настройки SELinux
Команды для управления службой
Настройка SELinux
Просмотр настроек для контакста
Смена контекста безопасности
Работа с портами
Использование политик
Диагностика проблем
Примеры
SELinux в Ubuntu
Принцип работы
В «двух словах», SELinux расширяет возможности стандартной системы безопасности (на основе прав доступа к файлам). Она позволяет ограничить доступ процессу, который запускается от имени пользователя, у которого прав больше, чем нужно данному процессу. Чтобы понять наглядно принцип работы SELinux, рассмотрим контекст безопасности — сочетание сущности, роли, домена и категории (не обязательно).
Вот как выглядят права SELinux:
<сущность>:<роль>:<домен/тип>:<уровень:категория>
Например:
unconfined_u:object_r:user_home_t:s0
system_u:system_r:kernel_t:s0
<сущность> или тип пользователя — это субъект, совершающий действие. Чаще всего, процесс или программа.
<роль> — список разрешенных операций или сочетание доменов. Роли нельзя объединять.
<домен/тип> — набор минимальных действий, необходимый для выполнения операции. Термин «Домен» применяется к процессам, «Тип» — к файлам и папкам.
<уровень:категория> — в стандартных политиках SELinux не применяется. Используется для MLS/MCS (Model Multi-Level Security / Multi-Category Security), в которых используются уровни доступа для файлов определенных категорий. Например, s0-s0:c0.c1023 — максимально разрешенный уровень доступа.
Так как же это работает
Принцип довольно прост — необходимо, чтобы процесс и файл, к которому он обращается находились в одном домене/типе.
Чтобы понять было проще, разберем настройки на примерах.
Общие команды
Посмотреть состояние работы SELinux (развернуто):
sestatus
Посмотреть кратко — работает или нет:
getenforce
Отключить SELinux (разово до перезагрузки):
setenforce 0
Включить (разово):
setenforce 1
* если SELinux переведен в состояние disabled (выключена), данная команда не сработает. Необходимо перевести систему безопасности в режим enforcing (строгий режим работы) или permissive (разрешать все, но вести лог).
Подробнее о включении/отключении системы безопасности читайте статью Как отключить SELinux.
Настройка SELinux
Настройка задается контекстом безопасности, который назначается на файлы. Повторюсь, домен процесса должен быть таким же, как и тип файла.
В системе должен быть установлен пакет policycoreutils-python:
yum install policycoreutils-python
Просмотр текущих настроек контекста безопасности
Для файлов:
ls -Z
* команда покажет все файлы в текущей директории и выведет для каждого контекст безопасности.
Для процессов:
ps -aeZ
* можно использовать grep для выборки определенного процесса или файла.
Вывод каталогов/файлов и применяемых к ним по умолчанию контекстов безопасности:
semanage fcontext -l
Смена контекста безопасности
Задаем метки по умолчанию, которые должны применяться ко всем файлам в каталоге:
semanage fcontext --add --type NetworkManager_etc_rw_t '/etc/NetworkManager/NetworkManager(/.*)?'
* в данном примере мы задали правило, что всем файлам в директории /etc/NetworkManager/NetworkManager будут назначаться SELinux права (тип) NetworkManager_etc_rw_t. Однако нужно понимать, что это не приведет к смене прав для файлов, которые уже находятся в каталоге.
Сбрасываем права на заданные по умолчанию:
restorecon /etc/NetworkManager/NetworkManager
* все права сменятся на те, которые мы указали командой semanage fcontext.
Редактируем права на файл:
chcon -v --type=cron_spool_t /var/spool/cron
* команда задаст права на /var/spool/cron. Также можно использовать рекурсивный запрос, чтобы применить метки ко всех файлам в каталоге. Это делается с добавлением опции -R.
Использование команды chcon нежелательно, так как в случае применения правил по умолчанию, установленные права будут сбрасываться, что приведет к неочевидным проблемам. По возможности, стоит применять команды semanage fcontext и restorecon.
Открытие портов
Права на использование сетевых портов также контролируются с помощью SELinux.
Пример для разрешения использовать http-запросы:
semanage port -m -t http_port_t -p tcp 80
semanage port -m -t http_port_t -p tcp 443
* в данном примере для портов 80 (http) и 443 (https) для контекста http_port_t.
Посмотреть список портов, и для каких контекстов они разрешены можно командой:
semanage port -l
Готовые политики
Разработчики некоторых программных решений предоставляют готовые наборы настроек SELinux для своих программ.
Список установленных редактируемых политик можно посмотреть следующей командой:
getsebool -a
* команда выведет название политик и их статус: включена — on, отключена — off.
Чтобы изменить состояние готовой политики, вводим команду:
setsebool -P <имя политики> <on или off>
Например:
setsebool -P virt_use_samba on
Диагностика проблем
Для поиска проблем в настройке политик сначала необходимо перевести режим работы SELinux в permissive. Для этого открываем файл:
vi /etc/selinux/config
... и отредактировать опцию SELINUX:
SELINUX=permissive
После перезагружаем компьютер:
shutdown -r now
Теперь можно просмотреть лог-файл:
tail -f /var/log/audit/audit.log
Примеры настройки
Чтобы не раздувать статью, примеры выведены в отдельную инструкцию.
SELinux в Ubuntu
В других системах на базе ядра Linux, например, Debian/Ubuntu, настройки SELinux выполняется способами, описанными выше. Единственное отличие — по умолчанию, данная система безопасности не установлена. Для установки необходимо выполнить команду:
apt-get install selinux
И можно приступать к настройке.
