Cara mengkonfigurasi Amanda Enterprise di SELinux

Memeriksa Mode SELinux

Anda bisa mendapatkan konfigurasi mode SELinux saat ini dengan menjalankan getenforce atau sestatus sebagai pengguna root. Yang pertama hanya mencetak "Enforcing" atau "Permissive" ke stdout. Yang terakhir memberikan detail tambahan, termasuk titik pemasangan SELinuxfs, mode saat ini, mode seperti yang ditampilkan di file konfigurasi SELinux, dll.

Mode SLELinux dapat diubah oleh pengguna root selama runtime menggunakan aplikasi setenforce.

Pemakaian:

setenforce [Enforcing | Permisif | 1 | 0]

Penting untuk diingat bahwa perubahan yang dibuat menggunakan sentenforce tidak terus-menerus untuk boot ulang sistem.

Jika SELinux diatur ke permisif – daripada dinonaktifkan – maka aplikasi yang mendukung SELinux akan berperilaku seolah-olah mode pemberlakuan masih diatur. SELinux juga akan terus mengaudit aktivitas aplikasi saat berada dalam mode permisif. Inilah perbedaan utama antara menggunakan mode permisif dan menonaktifkan SELinux sepenuhnya.

Nilai default mode saat boot sistem ditentukan di file / etc / selinux / config oleh parameter SELINUX. Parameter SELINUX menerima pemberlakuan, permisif atau nonaktif.

Sebagai contoh:

root> # cat / etc / selinux / config # File ini mengontrol status SELinux pada sistem. # SELINUX = dapat mengambil salah satu dari tiga nilai berikut: # menegakkan - Kebijakan keamanan SELinux diterapkan. # permissive - SELinux mencetak peringatan, bukan menegakkan. # dinonaktifkan - Tidak ada kebijakan SELinux yang dimuat. SELINUX = menegakkan # SELINUXTYPE = dapat mengambil salah satu dari tiga nilai: # ditargetkan - Proses yang ditargetkan dilindungi, # minimum - Modifikasi kebijakan yang ditargetkan. Hanya proses yang dipilih yang dilindungi. # mls - Perlindungan Keamanan Multi Level. SELINUXTYPE = root yang ditargetkan> #

Jika Anda pernah diminta untuk memecahkan masalah di mana mode SELinux secara konsisten beralih ke mode yang tidak terduga pada saat boot, perlu dicatat bahwa SELinux juga dapat dikonfigurasi di grub.conf dengan mengatur parameter penegakan ke 0 atau 1 (permisif atau menegakkan, masing-masing).

Mengonfigurasi SELinux agar berfungsi dengan baik dengan Amanda

Karena fungsi utama SELinux adalah untuk menerapkan kontrol akses wajib, mungkin diperlukan langkah tambahan untuk menjalankan Amanda jika SELinux tidak dinonaktifkan atau dalam mode permisif

Versi modern Zmanda (Amanda Enterprise Edition) akan mencoba mengatur SELinux secara otomatis ke mode permisif pada waktu penginstalan.

root> # ./amanda-enterprise-3.4-linux-x64.run Instalasi Zmanda memerlukan pengalihan SELinux ke status Permissive. Penginstal itu sendiri akan melakukannya, dan mengembalikannya ke keadaan semula setelah penginstalan selesai. Apakah Anda ingin melanjutkan? [Y / n]:

Penginstal Zmanda menggunakan aplikasi semanage untuk melakukannya, jadi pastikan semanage diinstal dengan memeriksa misalnya semanage yang mana sebelum menjalankan penginstal. Jika semanage belum diinstal, Anda bisa mendapatkan aplikasi dengan:

root> # yum menyediakan * / semanage {keluaran tambahan tidak ditampilkan} root> # yum install

Saat memecahkan masalah penginstalan Amanda / Zmanda di lingkungan yang mengimplementasikan SELinux jika memungkinkan, coba atur SELinux ke mode permisif untuk sementara. Coba lagi pengujian Anda untuk mengonfirmasi bahwa SELinux sebenarnya adalah penyebab masalah dan untuk menghasilkan entri log audit.

Jika SELinux tidak dapat dijalankan dalam mode permisif karena kebijakan keamanan Anda, ada beberapa indikator bahwa SELinux mengganggu operasi normal Amanda. Anda dapat memeriksa log audit untuk entri yang terkait dengan amanda dan / atau zmanda:

root> # ausearch -m avc -c amanda

Jika Anda tidak dapat menemukan entri log terkait SELinux yang menolak Amanda, tetapi tidak ada masalah saat menjalankan mode permisif maka itu mungkin disebabkan oleh aturan dontaudit. Untuk menonaktifkan sementara aturan dontaudit, Anda dapat menjalankan:

root> # semodule -DB

Setelah ini dijalankan, coba jalankan penginstalan, backup, atau pulihkan lagi dan periksa log audit. Setelah SELinux mencatat penolakan yang berlaku, pastikan untuk mengaktifkan kembali jangan diaudit aturan:

root> # semodule -B

Beberapa sistem operasi dilengkapi dengan modul kebijakan yang telah dipasang sebelumnya untuk Amanda yang mungkin tidak mencerminkan konteks yang benar untuk versi Amanda Anda. Anda dapat memeriksa modul mana yang saat ini disertakan dengan menggunakan:

root> # semodule -l | grep amanda

Mungkin perlu beberapa saat untuk membuat daftar semua modul yang diinstal, dan tentu saja jika tidak ada modul yang cocok dengan 'amanda' maka tidak akan ada keluaran. Jika ternyata Anda menjalankan modul kebijakan Amanda yang lama atau rusak, Anda dapat menghapusnya menggunakan:

root> # semodule -r 

Semua konteks SELinux dapat dikonfigurasi secara manual, tetapi itu berada di luar cakupan dokumentasi ini. Jika Anda tertarik dengan solusi yang sepenuhnya manual, Anda harus merujuk ke halaman manual chcon dan restorecon untuk informasi rinci.

Membuat paket kebijakan kustom dengan audit2allow

Di sebagian besar lingkungan, ada sejumlah mesin klien Amanda yang menjalankan sistem operasi serupa dan terkadang server Amanda tambahan perlu diterapkan. Tidaklah efisien untuk memecahkan masalah secara manual dan mengubah konteks keamanan pada setiap mesin dalam skenario ini. Di sinilah alat yang disebut audit2allow dapat berguna untuk membuat paket kebijakan khusus yang dapat diterapkan ke beberapa mesin di jaringan.

Pertama, jalankan tugas Anda dalam mode permisif dan buat file penegakan jenis:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Setelah file penegakan jenis dibuat, pastikan file tersebut diperiksa oleh operator. Harap ubah keluaran yang dibuat secara otomatis seperti yang diminta oleh departemen keamanan informasi Anda.

Saat memverifikasi file penegakan tipe, ingat: banyak aplikasi akan menyediakan konteks keamanan SELinux melalui sakelar -Z. Misalnya, 'ls, -Z', 'ps axZ', dll.

Setelah diverifikasi bahwa file penegakan jenis memenuhi persyaratan kebijakan keamanan Anda, file tersebut harus diubah menjadi paket kebijakan untuk disertakan sebagai modul kebijakan aktif. Untuk melakukannya, Anda dapat menjalankan perintah berikut:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Untuk memuat modul kebijakan, Anda harus menjalankan:

root> # semodule -i myamanda.pp

Jika Anda mendapatkan kesalahan yang Anda miliki "Mencoba menautkan di modul non-MLS dengan basis MLS" Anda harus mengonversi file penegakan jenis sebagai Keamanan Multi-Lapisan dan menyertakan paket kebijakan yang dihasilkan seperti ini:

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Dan kemudian sertakan paket kebijakan menggunakan semodule -i seperti yang dijelaskan di atas. Anda sekarang harus siap untuk menjalankan backup Anda dan memulihkan dengan SELinux dalam mode penegakan.