Dit artikel is voor Amanda Enterprise (AE)

SELinux Mode controleren

Je kunt de huidige SELinux mode configuratie krijgen door getenforce of sestatus uit te voeren als de root gebruiker. De eerste drukt simpelweg "Enforcing" of "Permissive" af op standaard. De laatste geeft aanvullende details, inclusief het SELinuxfs aankoppelpunt, de huidige modus, de modus zoals deze verschijnt in het SELinux configuratiebestand, etc.

De SLELinux-modus kan tijdens runtime door de rootgebruiker worden gewijzigd met behulp van de setenforce-applicatie.

Gebruik:

setenforce [Afdwingen | Toegeeflijk | 1 | 0]

Het is belangrijk om te onthouden dat wijzigingen die zijn aangebracht met behulp van strafkracht niet persistent zijn na het opnieuw opstarten van het systeem.

Als SELinux is ingesteld op permissive - in plaats van uitgeschakeld - dan zullen alle SELinux-bewuste applicaties zich gedragen alsof de afdwingende modus nog steeds is ingesteld. SELinux zal ook doorgaan met het controleren van de activiteit van applicaties in de permissieve modus. Dit is het belangrijkste verschil tussen het gebruik van de toegestane modus en het volledig uitschakelen van SELinux.

De standaardwaarde van mode als het systeem opstart is gedefinieerd in het / etc / selinux / config bestand door de SELINUX parameter. De SELINUX-parameter accepteert afdwingen, permissief of uitgeschakeld.

Bijvoorbeeld:

root> # cat / etc / selinux / config # Dit bestand controleert de status van SELinux op het systeem. # SELINUX = kan een van deze drie waarden aannemen: # afdwingen - SELinux beveiligingsbeleid wordt afgedwongen. # tolerant - SELinux drukt waarschuwingen af in plaats van op te leggen. # uitgeschakeld - Er is geen SELinux-tactiek geladen. SELINUX = afdwingen van # SELINUXTYPE = kan een van drie twee waarden aannemen: # gericht - Gerichte processen worden beschermd, # minimum - Wijziging van gericht beleid. Alleen geselecteerde processen zijn beveiligd. # mls - Bescherming op meerdere niveaus. SELINUXTYPE = gerichte root> #

Als je ooit een probleem moet oplossen waarbij de SELinux-modus consequent overschakelt naar een onverwachte modus tijdens het opstarten, is het de moeite waard om op te merken dat SELinux ook kan worden geconfigureerd in grub.conf door de afdwingende parameter in te stellen op 0 of 1 (permissief of afdwingen).

SELinux configureren om goed te werken met Amanda

Omdat de primaire functie van SELinux is om verplichte toegangscontrole af te dwingen, kan het zijn dat er extra stappen nodig zijn om Amanda te draaien als SELinux niet is uitgeschakeld of in de toegestane modus is

Moderne versies van Zmanda (Amanda Enterprise Edition) zullen proberen om SELinux automatisch in de permissieve modus te zetten tijdens de installatie.

root> # ./amanda-enterprise-3.4-linux-x64.run De installatie van Zmanda vereist het schakelen van SELinux naar de permissieve status. Het installatieprogramma doet dat zelf en herstelt het in de oorspronkelijke staat zodra de installatie is voltooid. Wil je doorgaan? [J / n]:

Het Zmanda-installatieprogramma gebruikt de semanage-applicatie om dit te bereiken, dus zorg ervoor dat semanage is geïnstalleerd door bijvoorbeeld te controleren welke semanage is voordat u het installatieprogramma start. Als semanage nog niet is geïnstalleerd, kunt u de applicatie downloaden met:

root> # yum biedt * / semanage {extra uitvoer niet getoond} root> # yum install 

Bij het oplossen van problemen met Amanda / Zmanda installaties in omgevingen die SELinux implementeren, indien mogelijk, probeer SELinux tijdelijk in de permissieve modus te zetten. Probeer je tests opnieuw om te bevestigen dat SELinux in feite de oorzaak van het probleem is en om auditlogboekingangen te genereren.

Als het niet mogelijk is om SELinux in de toegestane modus te draaien vanwege je beveiligingsbeleid, zijn er enkele aanwijzingen dat SELinux de normale werking van Amanda verstoort. U kunt de auditlogboeken controleren op vermeldingen met betrekking tot amanda en / of zmanda:

root> # ausearch -m avc -c amanda

Als je geen logboekingangen kunt vinden met betrekking tot SELinux die Amanda weigert, maar er zijn geen problemen bij het draaien in de permissieve modus, dan kan het een resultaat zijn van dontaudit-regels. Om dontaudit-regels tijdelijk uit te schakelen, kunt u het volgende uitvoeren:

root> # semodule -DB

Probeer, zodra dit is uitgevoerd, uw installatie, back-up of herstel opnieuw uit te voeren en controleer het controlelogboek. Nadat SELinux de van toepassing zijnde weigeringen heeft gelogd, moet u ervoor zorgen dat u deze opnieuw inschakelt controleer niet reglement:

root> # semodule -B

Sommige besturingssystemen worden geleverd met vooraf geïnstalleerde beleidsmodules voor Amanda die mogelijk niet de juiste context voor uw versie van Amanda weerspiegelen. U kunt controleren welke module momenteel is opgenomen door gebruik te maken van:

root> # semodule -l | grep amanda

Het kan even duren om alle geïnstalleerde modules op te sommen, en als er geen module is die overeenkomt met 'amanda', zal er natuurlijk geen uitvoer zijn. Als u merkt dat u een oude of corrupte Amanda-beleidsmodule gebruikt, kunt u deze verwijderen met:

root> # semodule -r 

Alle SELinux-contexten zouden handmatig kunnen worden geconfigureerd, maar dat valt buiten het bereik van deze documentatie. Als je geïnteresseerd bent in een volledig handmatige oplossing, raadpleeg dan de man-pagina's van chcon en restorecon voor gedetailleerde informatie.

Aangepaste beleidspakketten maken met audit2allow

In de meeste omgevingen zijn er een aantal Amanda-clientmachines met vergelijkbare besturingssystemen en af en toe moeten er extra Amanda-servers worden ingezet. Het is in deze scenario's niet efficiënt om handmatig problemen op te lossen en beveiligingscontexten op elke afzonderlijke computer te wijzigen. Dit is waar een tool met de naam audit2allow nuttig kan zijn voor het maken van aangepaste beleidspakketten die kunnen worden geïmplementeerd op meerdere computers op het netwerk.

Voer eerst uw taken uit in de toegestane modus en maak een type handhavingsbestand aan:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Nadat het type handhavingsbestand is gemaakt, moet u ervoor zorgen dat het wordt gecontroleerd door een operator. Pas de automatisch gegenereerde uitvoer aan zoals vereist door uw informatiebeveiligingsafdeling.

Onthoud bij het verifiëren van het type handhavingsbestand: veel applicaties zullen SELinux beveiligingscontext voorzien door middel van een -Z schakelaar. Bijvoorbeeld 'ls, -Z', 'ps axZ', etc.

Zodra is geverifieerd dat het type-handhavingsbestand voldoet aan de vereisten van uw beveiligingsbeleid, moet het worden geconverteerd naar een beleidspakket om op te nemen als een actieve beleidsmodule. Om dit te doen, kunt u de volgende opdrachten uitvoeren:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Om de beleidsmodule te laden, moet u het volgende uitvoeren:

root> # semodule -i myamanda.pp

Als u een foutmelding krijgt die u heeft "Geprobeerd om een niet-MLS-module te koppelen met een MLS-basis" u zult in plaats daarvan het type handhavingsbestand moeten converteren naar Multi-Layer Security en het resulterende beleidspakket als volgt moeten opnemen:

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

En neem vervolgens het beleidspakket op met semodule -i zoals hierboven beschreven. Je zou nu ingesteld moeten zijn om je back-ups en herstelbewerkingen uit te voeren met SELinux in afdwingende modus.