Security-Enhanced Linux, meglio noto come SELinux, è in circolazione da un po' di tempo e per una buona ragione. Sviluppato originariamente dalla National Security Agency, fa parte della comunità open source dal 2000 e fa parte del kernel Linux dal 2003. SELinux aiuta gli amministratori a tenere d'occhio come diverse parti di un sistema Linux possono eseguire azioni con grana fine controlli.
Funzioni di base
In breve, SELinux utilizza un database delle politiche per approvare o negare l'accesso a file, applicazioni o processi su un determinato sistema. Le applicazioni ei processi sono definiti come soggetti che successivamente richiedono l'accesso ai file (noti come oggetti ). Viene presa una decisione in base alle politiche e alle autorizzazioni archiviate in un AVC (access vector cache).
Cambi rapidi
Cosa succede quando devi utilizzare un servizio bloccato da uno di questi criteri? La ridefinizione della politica potrebbe non essere necessaria, dato il contesto. È qui che entrano in scena i booleani. Un booleano è essenzialmente un interruttore che consente modifiche al volo delle politiche in aree specifiche all'interno di SELinux. Questi booleani sono stringhe che ci consentono di apportare modifiche a livello micro a una policy applicata attivamente.
[ Potrebbe interessarti anche: 5 suggerimenti per iniziare con la sicurezza dei server Linux ]
Quali booleani sono disponibili?
Per visualizzare un elenco di booleani disponibili, puoi utilizzare getsebool -a . Qualsiasi utente può eseguire questo comando.
[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted... Cosa significano?
C'è un numero enorme di interruttori disponibili disponibili qui. Come puoi vedere nell'elenco sopra, la funzione di alcuni degli interruttori booleani non è esattamente ovvia. Puoi usare semanage boolean -l | grep boolean_name_string per elencare un po' più di informazioni su un determinato booleano.
NOTA :Hai bisogno del privilegio di amministratore per eseguire semanage comandi.
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write (off , off) Allow cobbler to anon write
cobbler_can_network_connect (off , off) Allow cobbler to can network connect
cobbler_use_cifs (off , off) Allow cobbler to use cifs
cobbler_use_nfs (off , off) Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off , off) Allow httpd to can network connect cobbler
httpd_serve_cobbler_files (off , off) Allow httpd to serve cobbler files Puoi vedere sopra che stiamo guardando tutti i booleani che hanno a che fare con il calzolaio. Da sinistra a destra, vediamo la stringa booleana, l'impostazione corrente e predefinita e una breve descrizione dello switch.
Abilita/disabilita i booleani
Per apportare modifiche allo stato di un determinato interruttore, utilizziamo il seguente comando:setsebool boolean_name_string on (off ). Ad esempio:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (on , off) Allow cobbler to anon write Per disabilitare l'impostazione, basta modificare l'opzione alla fine:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (off , off) Allow cobbler to anon write
È necessario affermare che le modifiche booleane non persistono durante i riavvii per impostazione predefinita. Per apportare una modifica persistente, aggiungi il -P opzione alla sintassi dei comandi.
[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on [ Vuoi saperne di più sulla sicurezza? Consulta la checklist di sicurezza e conformità IT. ]
Maggiori informazioni?
Se hai bisogno di maggiori informazioni sulle opzioni di SELinux o Boolean, dai un'occhiata alle pagine man di SELinux per booleans, getsebool, setsebool, semanage, semanage-booleans e argomenti correlati.
[ Prova gratuitamente Red Hat Enterprise Linux, un sistema operativo abilitato per SELinux. ]