この記事は アマンダエンタープライズ(AE)

SELinuxモードの確認

rootユーザーとしてgetenforceまたはsestatusを実行すると、現在のSELinuxモード構成を取得できます。前者は単に「強制」または「許容」をstdoutに出力します。後者は、SELinuxfsマウントポイント、現在のモード、SELinux構成ファイルに表示されるモードなど、追加の詳細を提供します。

SLELinuxモードは、setenforceアプリケーションを使用して、実行時にrootユーザーが変更できます。

使用法:

setenforce [強制|寛容| 1 | 0]

sentenforceを使用して行った変更は、システムの再起動後は保持されないことに注意してください。

SELinuxが無効ではなく許可に設定されている場合、SELinux対応のアプリケーションは、強制モードが設定されているかのように動作します。 SELinuxは、permissiveモードでもアプリケーションのアクティビティを監査し続けます。これが、permissiveモードの使用とSELinuxを完全に無効にすることの主な違いです。

システム起動時のモードのデフォルト値は、/ etc / selinux / configファイルでSELINUXパラメータによって定義されています。 SELINUXパラメーターは、強制、許可、または無効を受け入れます。

例えば:

root> # cat / etc / selinux / config #このファイルは、システム上のSELinuxの状態を制御します。 # SELINUX =は、次の3つの値のいずれかを取ることができます。# enforcing-SELinuxセキュリティポリシーが実施されます。 # permissive-SELinuxは強制ではなく警告を出力します。 #が無効-SELinuxポリシーがロードされていません。 SELINUX = #を強制するSELINUXTYPE =は、3つの2つの値のいずれかをとることができます。#ターゲット-ターゲットプロセスは保護され、#最小-ターゲットポリシーの変更。選択されたプロセスのみが保護されます。 # mls-マルチレベルセキュリティ保護。 SELINUXTYPE =対象のルート> #

SELinuxモードが起動時に常に予期しないモードに切り替わる問題をトラブルシューティングする必要がある場合は、SELinuxがgrub.confでも設定されている可能性があることに注意してください。または強制する)。

Amandaとうまく動作するようにSELinuxを設定する

SELinuxの主な機能は必須のアクセス制御を実施することであるため、SELinuxが無効になっていないか、許容モードになっていない場合、Amandaを実行するために追加の手順が必要になる場合があります

Zmanda(Amanda Enterprise Edition)の最新バージョンは、インストール時にSELinuxをpermissiveモードに自動的に設定しようとします。

root> # ./amanda-enterprise-3.4-linux-x64.run Zmandaをインストールするには、SELinuxをPermissive状態に切り替える必要があります。インストーラー自体がそれを行い、インストールが完了すると元の状態に復元します。続けたいですか? [はい/いいえ]:

Zmandaインストーラーは、これを達成するためにsemanageアプリケーションを使用します。したがって、インストーラーを実行する前に、たとえば、どのsemanageをチェックすることによってsemanageがインストールされていることを確認してください。 semanageがまだインストールされていない場合は、次のコマンドでアプリケーションを取得できます。

root> # yumは* / semanageを提供します{追加の出力は表示されていません} root> # yum install 

可能であればSELinuxを実装する環境でAmanda / Zmandaインストールのトラブルシューティングを行う場合は、SELinuxを一時的に許可モードに設定してみてください。テストを再試行して、SELinuxが実際に問題の原因であることを確認し、監査ログエントリを生成します。

セキュリティポリシーのために許容モードでSELinuxを実行できない場合は、SELinuxがAmandaの通常の動作を妨害しているといういくつかの指標があります。監査ログで、amandaやzmandaに関連するエントリを確認できます:

root> # ausearch -m avc -c amanda

SELinuxがAmandaを拒否していることに関するログエントリを見つけることができないが、permissiveモードで実行しているときに問題がない場合、それはdontauditルールの結果である可能性があります。 dontauditルールを一時的に無効にするには、次を実行します。

root> # semodule -DB

これが実行されたら、インストール、バックアップ、または復元を再度実行して、監査ログを確認してください。 SELinuxが該当する拒否をログに記録した後、必ず再度有効にしてください しない ルール:

root> # semodule -B

一部のオペレーティングシステムには、Amandaのプリインストールされたポリシーモジュールが付属していますが、Amandaのバージョンの正しいコンテキストを反映していない場合があります。次のコマンドを使用して、現在含まれているモジュールを確認できます。

root> # semodule -l |グレップアマンダ

インストールされているすべてのモジュールをリストするのに少し時間がかかる場合があります。もちろん、「amanda」に一致するモジュールがない場合、出力はありません。古いまたは破損したAmandaポリシーモジュールを実行している場合は、次のコマンドを使用して削除できます。

root> # semodule -r 

すべてのSELinuxコンテキストは手動で構成できますが、これはこのドキュメントの範囲外です。完全に手動のソリューションに関心がある場合は、chconおよびrestoreconのマニュアルページで詳細情報を参照してください。

audit2allowを使用したカスタムポリシーパッケージの作成

ほとんどの環境では、同様のオペレーティングシステムを実行するAmandaクライアントマシンが多数あり、追加のAmandaサーバーを展開する必要がある場合があります。これらのシナリオでは、個々のマシンのセキュリティコンテキストを手動でトラブルシューティングして変更することは効率的ではありません。これは、ネットワーク上の複数のマシンに展開できるカスタムポリシーパッケージを作成するために、audit2allowと呼ばれるツールが役立つ場所です。

まず、タスクをパーミッシブモードで実行し、型強制ファイルを作成します。

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

型強制ファイルが作成されたら、それがオペレーターによってチェックされていることを確認してください。情報セキュリティ部門の必要に応じて、自動生成された出力を変更してください。

タイプ施行ファイルを確認するときは、多くのアプリケーションが-Zスイッチを使用してSELinuxセキュリティコンテキストを提供することに注意してください。たとえば、「ls、-Z」、「ps axZ」などです。

タイプ施行ファイルがセキュリティポリシーの要件を満たしていることを確認したら、アクティブなポリシーモジュールとして含めるために、ポリシーパッケージに変換する必要があります。これを行うには、次のコマンドを実行します。

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

ポリシーモジュールをロードするには、次を実行する必要があります。

root> # semodule -i myamanda.pp

あなたが持っているエラーが発生した場合 「MLSベースの非MLSモジュールにリンクしようとしました」 代わりに、タイプ強制ファイルをMulti-Layer Securityとして変換し、結果のポリシーパッケージを次のように含める必要があります。

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

次に、上記のsemodule -iを使用してポリシーパッケージを含めます。これで、SELinuxを強制モードで使用してバックアップと復元を実行するように設定する必要があります。