SELinuxモードの確認
rootユーザーとしてgetenforceまたはsestatusを実行することにより、現在のSELinuxモード構成を取得できます。 前者は、単に「強制」または「許容」のいずれかをstdoutに出力します。 後者は、SELinuxfsマウントポイント、現在のモード、SELinux構成ファイルに表示されるモードなどの追加の詳細を提供します。
SLELinuxモードは、setenforceアプリケーションを使用して実行時にrootユーザーが変更できます。
使用法:
setenforce [強制| 寛容| 1 | 0]
sentenforceを使用して行われた変更は、システムの再起動に対して永続的ではないことを覚えておくことが重要です。
SELinuxが無効ではなく許容に設定されている場合、SELinux対応のアプリケーションは、強制モードがまだ設定されているかのように動作します。 SELinuxは、許容モードの間もアプリケーションのアクティビティを監査し続けます。 これが、許可モードを使用することとSELinuxを完全に無効にすることの主な違いです。
システム起動時のmodeのデフォルト値は、/ etc / selinux / configファイルでSELINUXパラメーターによって定義されます。 SELINUXパラメーターは、強制、許容、または無効を受け入れます。
例:
root> #cat / etc / selinux / config#このファイルは、システム上のSELinuxの状態を制御します。 #SELINUX =は、次のXNUMXつの値のいずれかを取ることができます。#enforcing-SELinuxセキュリティポリシーが適用されます。 #permissive-SELinuxは強制する代わりに警告を出力します。 #無効-SELinuxポリシーがロードされていません。 SELINUX = Enforcing#SELINUXTYPE =は、次のXNUMXつの値のいずれかを取ることができます。#targeted-ターゲットプロセスは保護されます。#minimum-ターゲットポリシーの変更。 選択したプロセスのみが保護されます。 #mls-マルチレベルセキュリティ保護。 SELINUXTYPE =ターゲットルート>#
起動時にSELinuxモードが常に予期しないモードに切り替わる問題のトラブルシューティングが必要な場合は、強制パラメーターを0または1(許容)に設定することでSELinuxをgrub.confで構成できることに注意してください。または強制)。
Amandaとうまく連携するようにSELinuxを設定する
SELinuxの主な機能は強制アクセス制御を実施することであるため、SELinuxが無効になっていない場合、または許可モードの場合、Amandaを実行するために追加の手順が必要になる場合があります
最新バージョンのZmanda(Amanda Enterprise Edition)は、インストール時にSELinuxを自動的に許可モードに設定しようとします。
root>#。/ amanda-enterprise-3.4-linux-x64.run Zmandaをインストールするには、SELinuxをPermissive状態に切り替える必要があります。 インストーラー自体がそれを行い、インストールが完了すると元の状態に復元します。 続けますか? [Y / n]:
Zmandaインストーラーはsemanageアプリケーションを使用してこれを実行するため、インストーラーを実行する前に、たとえばどのsemanageをチェックして、semanageがインストールされていることを確認してください。 semanageがまだインストールされていない場合は、次の方法でアプリケーションを入手できます。
root> #yumが提供します* / semanage {追加の出力は表示されません} root> #yum install
可能であれば、SELinuxを実装する環境でのAmanda / Zmandaインストールのトラブルシューティングを行うときは、SELinuxを一時的に許容モードに設定してみてください。 テストを再試行して、SELinuxが実際に問題の原因であることを確認し、監査ログエントリを生成します。
セキュリティポリシーのためにSELinuxを許容モードで実行できない場合は、SELinuxがAmandaの通常の操作を妨害していることを示すいくつかの指標があります。 amandaおよび/またはzmandaに関連するエントリの監査ログを確認できます。
ルート> #ausearch -m avc -c amanda
SELinuxがAmandaを拒否することに関するログエントリを見つけることができないが、許容モードで実行しても問題がない場合は、dontauditルールの結果である可能性があります。 dontauditルールを一時的に無効にするには、次のコマンドを実行できます。
ルート> #semodule -DB
これが実行されたら、インストール、バックアップ、または復元を再度実行して、監査ログを確認してください。 SELinuxが該当する拒否をログに記録した後、必ず再度有効にしてください 監査しない ルール:
ルート> #semodule -B
一部のオペレーティングシステムには、Amandaの正しいコンテキストを反映していない可能性のあるAmanda用のプリインストールされたポリシーモジュールが付属しています。 次を使用して、現在含まれているモジュールを確認できます。
ルート> #semodule -l | grep amanda
インストールされているすべてのモジュールを一覧表示するのに少し時間がかかる場合があります。もちろん、「amanda」に一致するモジュールがない場合、出力はありません。 古いまたは破損したAmandaポリシーモジュールを実行していることがわかった場合は、次を使用して削除できます。
ルート> #semodule -r
すべてのSELinuxコンテキストは手動で構成できますが、それはこのドキュメントの範囲外です。 完全に手動のソリューションに興味がある場合は、chconおよびrestoreconのmanページを参照して詳細を確認してください。
audit2allowを使用したカスタムポリシーパッケージの作成
ほとんどの環境では、同様のオペレーティングシステムを実行しているAmandaクライアントマシンが多数あり、場合によっては追加のAmandaサーバーを展開する必要があります。 これらのシナリオでは、個々のマシンのセキュリティコンテキストを手動でトラブルシューティングして変更することは効率的ではありません。 これは、audit2allowと呼ばれるツールが、ネットワーク上の複数のマシンに展開できるカスタムポリシーパッケージを作成するのに役立つ場合がある場所です。
まず、タスクを許容モードで実行し、タイプ強制ファイルを作成します。
ルート> #grep -E'amanda | zmanda '/var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te
タイプエンフォースメントファイルが作成されたら、それがオペレーターによってチェックされていることを確認してください。 情報セキュリティ部門の要求に応じて、自動生成された出力を変更してください。
Type Enforcementファイルを確認するときは、次の点に注意してください。多くのアプリケーションは、-Zスイッチを使用してSELinuxセキュリティコンテキストを提供します。 たとえば、「ls」、「-Z」、「psaxZ」などです。
タイプエンフォースメントファイルがセキュリティポリシーの要件を満たしていることが確認されたら、アクティブなポリシーモジュールとして含めるためにポリシーパッケージに変換する必要があります。 これを行うには、次のコマンドを実行できます。
ルート> #checkmodule -mo myamanda.mod myamanda.teルート> #semodule_package -m myamanda.mod -o myamanda.pp
ポリシーモジュールをロードするには、次を実行する必要があります。
ルート> #semodule -i myamanda.pp
エラーが発生した場合 「MLSベースの非MLSモジュールにリンクしようとしました」 代わりに、Type EnforcementファイルをMulti-Layer Securityとして変換し、次のように結果のポリシーパッケージを含める必要があります。
ルート> #checkmodule -M -m -o myamanda.mod myamanda.teルート> #semodule_package -m myamanda.mod -o myamanda.pp
次に、上記のようにsemodule-iを使用してポリシーパッケージを含めます。 これで、強制モードのSELinuxでバックアップと復元を実行するように設定されているはずです。
