SELinux dan Amanda Enterprise

Memeriksa Mod SELinux

Anda boleh mendapatkan konfigurasi mod SELinux semasa dengan menjalankan getenforce atau sestatus sebagai pengguna root. Yang pertama hanya mencetak "Memaksa" atau "Permisif" ke stdout. Yang terakhir memberikan butiran tambahan, termasuk titik pemasangan SELinuxfs, mod semasa, mod seperti yang terdapat dalam fail konfigurasi SELinux, dll.

Mod SLELinux dapat diubah oleh pengguna root selama runtime menggunakan aplikasi setenforce.

Penggunaan:

setenforce [Menguatkuasakan | Permisif | 1 | 0]

Penting untuk diingat bahawa perubahan yang dibuat menggunakan sentenforce tidak berterusan untuk sistem reboot.

Sekiranya SELinux diatur ke permisif - dan bukannya dilumpuhkan - maka setiap aplikasi yang menyedari SELinux akan berperilaku seolah-olah mod penegakan masih diset. SELinux juga akan terus mengaudit aktiviti aplikasi semasa dalam mod permisif. Ini adalah perbezaan utama antara menggunakan mod permisif dan mematikan SELinux sepenuhnya.

Nilai mod lalai ketika sistem boot ditentukan dalam / etc / selinux / config file oleh parameter SELINUX. Parameter SELINUX menerima penguatkuasaan, permisif atau dinonaktifkan.

Sebagai contoh:

root> # cat / etc / selinux / config # Fail ini mengawal keadaan SELinux pada sistem. # SELINUX = dapat mengambil salah satu dari tiga nilai berikut: # menegakkan - Dasar keselamatan SELinux dikuatkuasakan. # permisive - SELinux mencetak amaran dan bukannya melaksanakan. # dilumpuhkan - Tiada polisi SELinux dimuat. SELINUX = menegakkan # SELINUXTYPE = dapat mengambil salah satu dari tiga dua nilai: # disasarkan - Proses yang disasarkan dilindungi, # minimum - Pengubahsuaian dasar yang disasarkan. Hanya proses terpilih yang dilindungi. # mls - Perlindungan Keselamatan Tahap. SELINUXTYPE = root yang disasarkan> #

Sekiranya anda diminta untuk menyelesaikan masalah di mana mod SELinux secara konsisten beralih ke mod yang tidak dijangka pada waktu boot, perlu diingat bahawa SELinux juga dapat dikonfigurasi di grub.conf dengan menetapkan parameter penegak ke 0 atau 1 (permisif atau menegakkan, masing-masing).

Mengkonfigurasi SELinux untuk berfungsi dengan baik dengan Amanda

Kerana fungsi utama SELinux adalah menegakkan kawalan akses wajib, mungkin memerlukan langkah tambahan untuk menjalankan Amanda jika SELinux tidak dinonaktifkan atau dalam mod permisif

Versi moden Zmanda (Amanda Enterprise Edition) akan berusaha menetapkan SELinux secara automatik ke mod permisif pada waktu pemasangan.

root> # ./amanda-enterprise-3.4-linux-x64.run Pemasangan Zmanda memerlukan penukaran SELinux ke keadaan Permissive. Pemasang sendiri akan melakukan itu, dan mengembalikannya ke keadaan asalnya setelah pemasangan selesai. Adakah anda mahu meneruskan? [Y / n]:

. Zmanda pemasang menggunakan aplikasi semanage untuk mencapainya, jadi pastikan semanage dipasang dengan memeriksa misalnya semanage mana sebelum menjalankan pemasang. Sekiranya semanage belum dipasang, anda boleh mendapatkan aplikasi dengan:

root> # yum menyediakan * / semanage {output tambahan tidak ditunjukkan} root> # yum install

Semasa menyelesaikan masalah pemasangan Amanda / Zmanda di persekitaran yang menerapkan SELinux jika mungkin, cuba tetapkan SELinux ke mod permisif sementara. Cuba semula ujian anda untuk mengesahkan bahawa SELinux sebenarnya adalah penyebab masalah dan menghasilkan entri log audit.

Sekiranya tidak dapat menjalankan SELinux dalam mod permisif kerana polisi keselamatan anda, ada beberapa petunjuk bahawa SELinux mengganggu operasi normal Amanda. Anda boleh menyemak log audit untuk entri yang berkaitan dengan amanda dan / atau zmanda:

root> # ausearch -m avc -c amanda

Sekiranya anda tidak dapat mencari entri log mengenai SELinux yang menyangkal Amanda, tetapi tidak ada masalah ketika berjalan dalam mod permisif maka mungkin ini adalah hasil dari peraturan yang tidak dikendalikan. Untuk melumpuhkan peraturan dontaudit buat sementara waktu, anda boleh menjalankan:

root> # semodule -DB

Setelah ini dilaksanakan, cuba jalankan pemasangan, sandaran atau pulihkan anda semula dan periksa log audit. Setelah SELinux mencatat penolakan yang berlaku, pastikan untuk mengaktifkan semula tidak menipu peraturan:

root> # semodule -B

Beberapa sistem operasi dilengkapi dengan modul dasar yang telah dipasang untuk Amanda yang mungkin tidak menggambarkan konteks yang betul untuk versi Amanda anda. Anda boleh memeriksa modul mana yang disertakan dengan menggunakan:

root> # semodul -l | grep amanda

Mungkin memerlukan beberapa saat untuk menyenaraikan semua modul yang dipasang, dan tentu saja jika tidak ada modul yang sesuai dengan 'amanda' maka tidak akan ada output. Sekiranya anda mendapati anda menjalankan modul dasar Amanda yang lama atau rosak maka anda boleh menghapusnya dengan menggunakan:

root> # semodule -r 

Semua konteks SELinux dapat dikonfigurasi secara manual, tetapi itu di luar ruang lingkup dokumentasi ini. Sekiranya anda berminat dengan penyelesaian sepenuhnya manual, anda harus merujuk pada halaman manual chcon dan restorecon untuk maklumat terperinci.

Membuat pakej polisi tersuai dengan audit2allow

Di kebanyakan persekitaran terdapat sejumlah mesin klien Amanda yang menjalankan sistem operasi yang serupa dan kadang-kadang pelayan Amanda tambahan perlu digunakan. Tidak berkesan untuk menyelesaikan masalah dan mengubah konteks keselamatan secara manual pada setiap mesin individu dalam senario ini. Di sinilah alat yang disebut audit2allow dapat berguna untuk membuat paket kebijakan khusus yang dapat digunakan ke beberapa mesin di rangkaian.

Pertama, jalankan tugas anda dalam mod permisif dan buat fail penguatkuasaan jenis:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Setelah fail penguatkuasaan jenis dibuat, pastikan fail diperiksa oleh pengendali. Sila ubah output yang dihasilkan secara automatik seperti yang dikehendaki oleh jabatan keselamatan maklumat anda.

Semasa mengesahkan fail penguatkuasaan jenis, ingat: banyak aplikasi akan menyediakan konteks keselamatan SELinux melalui suis -Z. Contohnya, 'ls, -Z', 'ps axZ', dll.

Setelah disahkan bahawa fail penguatkuasaan jenis memenuhi kehendak polisi keselamatan anda, fail tersebut mesti ditukar menjadi pakej polisi untuk disertakan sebagai modul dasar yang aktif. Untuk melakukannya, anda boleh melaksanakan perintah berikut:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Untuk memuat modul dasar, anda harus menjalankan:

root> # semodule -i myamanda.pp

Sekiranya anda mendapat ralat yang anda ada "Mencuba untuk menghubungkan dalam modul bukan MLS dengan pangkalan MLS" anda perlu menukar fail penguatkuasaan jenis sebagai Multi-Layer Security dan memasukkan pakej polisi yang dihasilkan seperti:

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Dan kemudian sertakan pakej polisi menggunakan semodule -i seperti yang dijelaskan di atas. Anda sekarang harus disiapkan untuk menjalankan sandaran dan memulihkannya dengan SELinux dalam mod penegakan.