Hoe Amanda Enterprise op SELinux te configureren

SELinux Mode controleren

Je kunt de huidige SELinux mode configuratie krijgen door getenforce of sestatus uit te voeren als de root gebruiker. De eerste drukt simpelweg "Enforcing" of "Permissive" af op standaard. De laatste geeft aanvullende details, inclusief het SELinuxfs aankoppelpunt, de huidige modus, de modus zoals deze verschijnt in het SELinux configuratiebestand, etc.

De SLELinux-modus kan tijdens runtime door de rootgebruiker worden gewijzigd met behulp van de setenforce-applicatie.

Gebruik:

setenforce [Afdwingen | Toegeeflijk | 1 | 0]

Het is belangrijk om te onthouden dat wijzigingen die zijn aangebracht met behulp van strafkracht niet persistent zijn na het opnieuw opstarten van het systeem.

Als SELinux is ingesteld op permissive - in plaats van uitgeschakeld - dan zullen alle SELinux-bewuste applicaties zich gedragen alsof de afdwingende mode nog steeds is ingesteld. SELinux zal ook doorgaan met het controleren van de activiteit van applicaties terwijl het zich in de permissieve modus bevindt. Dit is het belangrijkste verschil tussen het gebruik van de toegestane modus en het volledig uitschakelen van SELinux.

De standaardwaarde van mode als het systeem opstart is gedefinieerd in het / etc / selinux / config bestand door de SELINUX parameter. De SELINUX-parameter accepteert afdwingen, permissief of uitgeschakeld.

Bijvoorbeeld:

root> # cat / etc / selinux / config # Dit bestand controleert de toestand van SELinux op het systeem. # SELINUX = kan een van deze drie waarden aannemen: # enforcing - SELinux beveiligingsbeleid wordt afgedwongen. # permissive - SELinux drukt waarschuwingen af ​​in plaats van af te dwingen. # uitgeschakeld - Er is geen SELinux-beleid geladen. SELINUX = afdwingen # SELINUXTYPE = kan een van drie twee waarden aannemen: # gericht - Gerichte processen worden beschermd, # minimum - Wijziging van gericht beleid. Alleen geselecteerde processen zijn beveiligd. # mls - Bescherming op meerdere niveaus. SELINUXTYPE = gerichte root> #

Als je ooit een probleem moet oplossen waarbij de SELinux-modus consequent overschakelt naar een onverwachte modus tijdens het opstarten, is het de moeite waard om op te merken dat SELinux ook kan worden geconfigureerd in grub.conf door de afdwingende parameter in te stellen op 0 of 1 (toelaatbaar of afdwingen).

SELinux configureren om goed te werken met Amanda

Omdat de primaire functie van SELinux is om verplichte toegangscontrole af te dwingen, kan het zijn dat er extra stappen nodig zijn om Amanda uit te voeren als SELinux niet is uitgeschakeld of zich in de toegestane modus bevindt.

Moderne versies van Zmanda (Amanda Enterprise Edition) zullen proberen SELinux automatisch in de permissieve modus in te stellen tijdens de installatie.

root> # ./amanda-enterprise-3.4-linux-x64.run De installatie van Zmanda vereist het schakelen van SELinux naar de permissieve status. Het installatieprogramma zal dat zelf doen en het herstellen naar de oorspronkelijke staat zodra de installatie is voltooid. Wil je doorgaan? [J / n]:

Het Zmanda-installatieprogramma gebruikt de semanage-applicatie om dit te bereiken, dus zorg ervoor dat semanage is geĂŻnstalleerd door bijvoorbeeld te controleren welke semanage is voordat u het installatieprogramma start. Als semanage nog niet is geĂŻnstalleerd, kunt u de applicatie downloaden met:

root> # yum biedt * / semanage {extra uitvoer niet getoond} root> # yum install

Bij het oplossen van problemen met Amanda / Zmanda-installaties in omgevingen die SELinux implementeren, indien mogelijk, probeer SELinux tijdelijk in de permissieve modus in te stellen. Probeer je tests opnieuw om te bevestigen dat SELinux in feite de oorzaak van het probleem is en om auditlogboekinvoeringen te genereren.

Als het niet mogelijk is om SELinux in de permissieve modus te draaien vanwege je beveiligingsbeleid, zijn er enkele indicatoren dat SELinux de normale werking van Amanda verstoort. U kunt de auditlogboeken controleren op vermeldingen met betrekking tot amanda en / of zmanda:

root> # ausearch -m avc -c amanda

Als je geen logboekingangen kunt vinden met betrekking tot SELinux die Amanda weigert, maar er zijn geen problemen bij het draaien in de permissieve modus, dan kan het een resultaat zijn van dontaudit-regels. Om dontaudit-regels tijdelijk uit te schakelen, kunt u het volgende uitvoeren:

root> # semodule -DB

Probeer, zodra dit is uitgevoerd, uw installatie, reservekopie of herstel opnieuw uit te voeren en controleer het controlelogboek. Nadat SELinux de van toepassing zijnde weigeringen heeft gelogd, moet je ervoor zorgen dat je deze weer inschakelt controleer niet reglement:

root> # semodule -B

Sommige besturingssystemen worden geleverd met vooraf geĂŻnstalleerde beleidsmodules voor Amanda die mogelijk niet de juiste context voor uw versie van Amanda weerspiegelen. U kunt controleren welke module momenteel is opgenomen door gebruik te maken van:

root> # semodule -l | grep amanda

Het kan even duren om alle geĂŻnstalleerde modules weer te geven, en als er geen module is die overeenkomt met 'amanda', zal er natuurlijk geen uitvoer zijn. Als u merkt dat u een oude of corrupte Amanda-beleidsmodule gebruikt, kunt u deze verwijderen met:

root> # semodule -r 

Alle SELinux-contexten zouden handmatig kunnen worden geconfigureerd, maar dat valt buiten het bereik van deze documentatie. Als je geĂŻnteresseerd bent in een volledig handmatige oplossing, raadpleeg dan de man-pagina's van chcon en restorecon voor gedetailleerde informatie.

Aangepaste beleidspakketten maken met audit2allow

In de meeste omgevingen zijn er een aantal Amanda-clientmachines met vergelijkbare besturingssystemen en af ​​en toe moeten er extra Amanda-servers worden ingezet. In deze scenario's is het niet efficiënt om handmatig problemen op te lossen en beveiligingscontexten op elke afzonderlijke computer te wijzigen. Dit is waar een tool met de naam audit2allow nuttig kan zijn voor het maken van aangepaste beleidspakketten die op meerdere computers op het netwerk kunnen worden geïmplementeerd.

Voer eerst uw taken uit in de toegestane modus en maak een type handhavingsbestand aan:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Nadat het type handhavingsbestand is gemaakt, moet u ervoor zorgen dat het wordt gecontroleerd door een operator. Pas de automatisch gegenereerde uitvoer aan zoals vereist door uw informatiebeveiligingsafdeling.

Onthoud bij het verifiëren van het type handhavingsbestand: veel applicaties zullen SELinux beveiligingscontext voorzien door middel van een -Z schakelaar. Bijvoorbeeld 'ls, -Z', 'ps axZ', etc.

Zodra is geverifieerd dat het type-afdwingingsbestand voldoet aan de vereisten van uw beveiligingsbeleid, moet het worden geconverteerd naar een beleidspakket om op te nemen als een actieve beleidsmodule. Om dit te doen, kunt u de volgende opdrachten uitvoeren:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Om de beleidsmodule te laden, moet u het volgende uitvoeren:

root> # semodule -i myamanda.pp

Als u een foutmelding krijgt die u heeft "Probeerde te koppelen in een niet-MLS-module met een MLS-basis" u zult in plaats daarvan het type handhavingsbestand moeten converteren naar Multi-Layer Security en het resulterende beleidspakket als volgt moeten opnemen:

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

En voeg vervolgens het beleidspakket toe met semodule -i zoals hierboven beschreven. Je zou nu ingesteld moeten zijn om je back-ups en herstel uit te voeren met SELinux in de afdwingende modus.