Ten artykuł jest przeznaczony dla Amanda Enterprise (AE)

Sprawdzam tryb SELinux

Aktualną konfigurację trybu SELinux można uzyskać, uruchamiając getenforce lub sestatus jako użytkownik root. Pierwszy z nich po prostu drukuje „Egzekwowanie” lub „Pozwalający” na standardowe wyjście. Ten ostatni zawiera dodatkowe szczegóły, w tym punkt montowania SELinuxfs, bieżący tryb, tryb, który pojawia się w pliku konfiguracyjnym SELinuxfs, itp.

Tryb SLELinux może zostać zmieniony przez użytkownika root w czasie działania za pomocą aplikacji setenforce.

Stosowanie:

setenforce [Enforcing | Pozwalające | 1 | 0]

Należy pamiętać, że zmiany dokonane za pomocą sentenforce nie są trwałe po ponownym uruchomieniu systemu.

Jeśli SELinux jest ustawiony na zezwalający, a nie wyłączony, to wszystkie aplikacje obsługujące SELinuksa będą się zachowywać tak, jakby tryb wymuszania był nadal ustawiony. SELinux będzie również kontynuował kontrolę aktywności aplikacji w trybie zezwalającym. To jest podstawowa różnica między używaniem trybu przyzwolenia a całkowitym wyłączeniem SELinuksa.

Domyślna wartość trybu podczas uruchamiania systemu jest zdefiniowana w pliku / etc / selinux / config za pomocą parametru SELINUX. Parametr SELINUX akceptuje wymuszanie, zezwolenie lub wyłączenie.

Na przykład:

root> # cat / etc / selinux / config # Ten plik kontroluje stan SELinux w systemie. # SELINUX = może przyjąć jedną z trzech wartości: # wymuszanie - wymuszana jest polityka bezpieczeństwa SELinux. # permissive - SELinux drukuje ostrzeżenia zamiast wymuszać. # wyłączone - Żadna polityka SELinux nie jest ładowana. SELINUX = wymuszanie # SELINUXTYPE = może przyjąć jedną z trzech dwóch wartości: # target - docelowe procesy są chronione, minimum # - modyfikacja docelowej polityki. Chronione są tylko wybrane procesy. # mls - wielopoziomowa ochrona. SELINUXTYPE = docelowy katalog główny> #

Jeśli kiedykolwiek będziesz musiał rozwiązać problem polegający na tym, że tryb SELinux konsekwentnie przełącza się w nieoczekiwany tryb podczas uruchamiania, warto zauważyć, że SELinux można również skonfigurować w grub.conf, ustawiając parametr egzekwowania na 0 lub 1 (permissive lub odpowiednio egzekwowanie).

Konfiguracja SELinux do dobrej współpracy z Amandą

Ponieważ podstawową funkcją SELinux jest wymuszanie obowiązkowej kontroli dostępu, może wymagać dodatkowych kroków w celu uruchomienia Amandy, jeśli SELinux nie jest wyłączony lub w trybie zezwalającym

Nowoczesne wersje Zmanda (Amanda Enterprise Edition) będą próbowały automatycznie ustawić SELinux w trybie zezwalającym podczas instalacji.

root> # ./amanda-enterprise-3.4-linux-x64.run Instalacja Zmanda wymaga przełączenia SELinux w stan Permissive. Sam instalator zrobi to i przywróci go do pierwotnego stanu po zakończeniu instalacji. Czy chcesz kontynuować? [T / n]:

Instalator Zmanda wykorzystuje do tego aplikację semanage, więc upewnij się, że semanage jest zainstalowany, sprawdzając np. Który semanage przed uruchomieniem instalatora. Jeśli semanage nie jest jeszcze zainstalowany, możesz pobrać aplikację za pomocą:

root> # yum zapewnia * / semanage {dodatkowe wyjście nie jest pokazane} root> # yum install 

Podczas rozwiązywania problemów z instalacjami Amandy / Zmanda w środowiskach, które implementują SELinux, jeśli to możliwe, spróbuj tymczasowo ustawić SELinuksa na tryb zezwalający. Ponów testy, aby potwierdzić, że SELinux jest w rzeczywistości przyczyną problemu i wygenerować wpisy dziennika audytu.

Jeśli nie można uruchomić SELinuksa w trybie zezwalającym ze względu na politykę bezpieczeństwa, istnieją pewne oznaki, że SELinux zakłóca normalne działanie Amandy. Możesz sprawdzić dzienniki audytu pod kątem wpisów związanych z amandą i / lub zmandą:

root> # ausearch -m avc -c amanda

Jeśli nie możesz znaleźć wpisów dziennika dotyczących SELinux odmawiającego Amandzie, ale nie ma problemów podczas pracy w trybie zezwalającym, może to wynikać z reguł dontaudit. Aby tymczasowo wyłączyć reguły dontaudit, możesz uruchomić:

root> # semoduł -DB

Po wykonaniu tej czynności spróbuj ponownie uruchomić instalację, kopię zapasową lub przywracanie i sprawdź dziennik audytu. Po zarejestrowaniu przez SELinux odpowiednich odmów należy ponownie włączyć dontaudit zasady:

root> # semoduł -B

Niektóre systemy operacyjne mają wstępnie zainstalowane moduły zasad dla Amandy, które mogą nie odzwierciedlać właściwych kontekstów dla twojej wersji Amandy. Możesz sprawdzić, który moduł jest obecnie uwzględniony, używając:

root> # semodule -l | grep amanda

Spisanie wszystkich zainstalowanych modułów może zająć kilka chwil i oczywiście, jeśli żaden moduł nie pasuje do „amanda”, nie będzie żadnych wyników. Jeśli okaże się, że używasz starego lub uszkodzonego modułu zasad Amandy, możesz go usunąć za pomocą:

root> # semodule -r 

Wszystkie konteksty SELinuksa można skonfigurować ręcznie, ale jest to poza zakresem tej dokumentacji. Jeśli jesteś zainteresowany rozwiązaniem całkowicie ręcznym, powinieneś zapoznać się ze stronami man chcon i restorecon, aby uzyskać szczegółowe informacje.

Tworzenie niestandardowych pakietów zasad za pomocą audit2allow

W większości środowisk istnieje wiele maszyn klienckich Amandy z podobnymi systemami operacyjnymi i czasami trzeba wdrożyć dodatkowe serwery Amandy. W tych scenariuszach ręczne rozwiązywanie problemów i zmiana kontekstów zabezpieczeń na każdym komputerze nie jest wydajne. W tym miejscu narzędzie o nazwie audit2allow może być przydatne do tworzenia niestandardowych pakietów zasad, które można wdrożyć na wielu komputerach w sieci.

Najpierw uruchom swoje zadania w trybie zezwalającym i utwórz plik wymuszający typ:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Po utworzeniu pliku wymuszającego typ upewnij się, że został sprawdzony przez operatora. Proszę zmodyfikować automatycznie wygenerowane dane wyjściowe zgodnie z wymaganiami Twojego działu bezpieczeństwa informacji.

Podczas weryfikacji pliku wymuszającego typ należy pamiętać: wiele aplikacji zapewni kontekst bezpieczeństwa SELinux za pomocą przełącznika -Z. Na przykład „ls, -Z”, „ps axZ” itp.

Po sprawdzeniu, że plik wymuszający typ spełnia wymagania polityki bezpieczeństwa, należy go przekonwertować na pakiet zasad, aby dołączyć go jako aktywny moduł zasad. Aby to zrobić, możesz wykonać następujące polecenia:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Aby załadować moduł zasad, należy następnie uruchomić:

root> # semodule -i myamanda.pp

Jeśli pojawi się błąd, który masz „Próbowano połączyć moduł inny niż MLS z bazą MLS” zamiast tego będziesz musiał przekonwertować plik wymuszający typ na Multi-Layer Security i dołączyć wynikowy pakiet zasad w następujący sposób:

root> # moduł kontrolny -M -m -o myamanda.mod myamanda.te root> # pakiet_modułu -m myamanda.mod -o myamanda.pp

Następnie dołącz pakiet zasad, używając semodule -i, jak opisano powyżej. Powinieneś teraz być skonfigurowany do uruchamiania kopii zapasowych i przywracania z SELinux w trybie wymuszania.