SELinux i Amanda Enterprise

Sprawdzam tryb SELinux

Możesz uzyskać bieżącą konfigurację trybu SELinux, uruchamiając getenforce lub sestatus jako użytkownik root. Ten pierwszy po prostu wypisuje na standardowe wyjście „Wymuszanie” lub „Zezwalanie”. Ta ostatnia zawiera dodatkowe szczegóły, w tym punkt podłączenia SELinuxfs, bieżący tryb, tryb pojawiający się w pliku konfiguracyjnym SELinux itp.

Tryb SLELinux może zostać zmieniony przez użytkownika root w czasie wykonywania za pomocą aplikacji setenforce.

Stosowanie:

setenforce [Enforcing | Pozwalające | 1 | 0]

Należy pamiętać, że zmiany dokonane za pomocą sentenforce nie są trwałe po ponownym uruchomieniu systemu.

Jeśli SELinux jest ustawiony na zezwalający, a nie wyłączony, wówczas wszystkie aplikacje obsługujące SELinux będą się zachowywać tak, jakby tryb wymuszania był nadal ustawiony. SELinux będzie także nadal kontrolował aktywność aplikacji w trybie zezwalającym. Jest to podstawowa różnica pomiędzy używaniem trybu zezwalającego a całkowitym wyłączeniem SELinux.

Domyślna wartość trybu podczas uruchamiania systemu jest zdefiniowana w pliku / etc / selinux / config za pomocą parametru SELINUX. Parametr SELINUX akceptuje wymuszanie, zezwalanie lub wyłączanie.

Na przykład:

root> # cat / etc / selinux / config # Ten plik kontroluje stan SELinux w systemie. # SELINUX = może przyjąć jedną z trzech wartości: # wymuszanie - wymuszana jest polityka bezpieczeństwa SELinuksa. # permissive - SELinux drukuje ostrzeżenia zamiast wymuszać. # disabled - Żadna polityka SELinux nie jest załadowana. SELINUX = egzekwowanie # SELINUXTYPE = może przyjąć jedną z trzech wartości: # target - docelowe procesy są chronione, # minimum - modyfikacja docelowej polityki. Chronione są tylko wybrane procesy. # mls - wielopoziomowa ochrona bezpieczeństwa. SELINUXTYPE = docelowy katalog główny> #

Jeśli kiedykolwiek będziesz musiał rozwiązać problem polegający na tym, że tryb SELinux konsekwentnie przełącza się w nieoczekiwany tryb podczas rozruchu, warto zauważyć, że SELinux można również skonfigurować w grub.conf, ustawiając parametr egzekwowania na 0 lub 1 (permissive lub odpowiednio egzekwowanie).

Konfiguracja SELinux do dobrej współpracy z Amandą

Ponieważ podstawową funkcją SELinux jest wymuszanie obowiązkowej kontroli dostępu, może wymagać dodatkowych kroków w celu uruchomienia Amandy, jeśli SELinux nie jest wyłączony lub w trybie zezwalającym

Nowoczesne wersje Zmandy (Amanda Enterprise Edition) będą próbowały automatycznie ustawić SELinux w trybie zezwalającym podczas instalacji.

root> # ./amanda-enterprise-3.4-linux-x64.run Instalacja Zmandy wymaga przełączenia SELinux do stanu Permissive. Sam instalator zrobi to i przywróci go do pierwotnego stanu po zakończeniu instalacji. Czy chcesz kontynuować? [T / n]:

Połączenia Żmanda Instalator używa do tego aplikacji semanage, więc upewnij się, że semanage jest zainstalowane, sprawdzając np., który semanage przed uruchomieniem instalatora. Jeśli semanage nie jest jeszcze zainstalowany, możesz pobrać aplikację za pomocą:

root> # yum zapewnia * / semanage {dodatkowe wyjście nie jest pokazane} root> # yum install

Podczas rozwiązywania problemów z instalacjami Amandy / Zmandy w środowiskach, które implementują SELinux, jeśli to możliwe, spróbuj tymczasowo ustawić SELinuksa w tryb zezwalający. Ponów testy, aby potwierdzić, że SELinux jest w rzeczywistości przyczyną problemu i wygenerować wpisy dziennika inspekcji.

Jeśli ze względu na politykę bezpieczeństwa nie jest możliwe uruchomienie SELinuksa w trybie zezwalającym, istnieją pewne oznaki, że SELinux zakłóca normalne działanie Amandy. Możesz sprawdzić dzienniki audytu pod kątem wpisów związanych z Amandą i/lub Zmandą:

root> # ausearch -m avc -c amanda

Jeśli nie możesz znaleźć wpisów dziennika dotyczących SELinux odmawiającego Amandzie, ale nie ma problemów podczas pracy w trybie zezwalającym, może to być wynikiem reguł dontaudit. Aby tymczasowo wyłączyć reguły dontaudit, możesz uruchomić:

root> # semodule -DB

Po wykonaniu tej czynności spróbuj ponownie uruchomić instalację, kopię zapasową lub przywracanie i sprawdź dziennik audytu. Po zarejestrowaniu przez SELinux odpowiednich odmów, pamiętaj o ponownym włączeniu nie audytowaćaudi zasady:

root> # semodule -B

Niektóre systemy operacyjne są dostarczane z preinstalowanymi modułami zasad dla Amandy, które mogą nie odzwierciedlać właściwych kontekstów dla twojej wersji Amandy. Możesz sprawdzić, który moduł jest obecnie uwzględniony, używając:

root> # semodule -l | grep amanda

Wyświetlenie listy wszystkich zainstalowanych modułów może zająć kilka chwil i oczywiście, jeśli nie ma modułu odpowiadającego „amanda”, wówczas nie będzie żadnych wyników. Jeśli okaże się, że używasz starego lub uszkodzonego modułu zasad Amanda, możesz go usunąć, używając:

root> # semodule -r 

Wszystkie konteksty SELinux można skonfigurować ręcznie, ale wykracza to poza zakres tej dokumentacji. Jeśli jesteś zainteresowany całkowicie ręcznym rozwiązaniem, powinieneś zapoznać się ze stronami podręcznika chcon i Restorecon w celu uzyskania szczegółowych informacji.

Tworzenie niestandardowych pakietów zasad za pomocą audytu2allow

W większości środowisk istnieje wiele komputerów klienckich Amandy z podobnymi systemami operacyjnymi i czasami trzeba wdrożyć dodatkowe serwery Amandy. W tych scenariuszach ręczne rozwiązywanie problemów i zmiana kontekstów zabezpieczeń na każdym komputerze nie jest wydajne. W tym miejscu narzędzie o nazwie audit2allow może być przydatne do tworzenia niestandardowych pakietów zasad, które można wdrożyć na wielu komputerach w sieci.

Najpierw uruchom swoje zadania w trybie zezwalającym i utwórz plik wymuszający typ:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Po utworzeniu pliku wymuszającego typ należy upewnić się, że jest on sprawdzony przez operatora. Proszę zmodyfikować automatycznie wygenerowane dane wyjściowe zgodnie z wymaganiami działu bezpieczeństwa informacji.

Podczas weryfikacji pliku wymuszającego typ pamiętaj: wiele aplikacji zapewni kontekst bezpieczeństwa SELinux za pomocą przełącznika -Z. Na przykład „ls, -Z”, „ps axZ” itp.

Po sprawdzeniu, że plik wymuszający typ spełnia wymagania polityki bezpieczeństwa, należy go przekonwertować na pakiet strategii, aby dołączyć go jako aktywny moduł zasad. Aby to zrobić, możesz wykonać następujące polecenia:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Aby załadować moduł zasad, należy następnie uruchomić:

root> # semodule -i myamanda.pp

Jeśli pojawi się błąd, który masz „Próbowałem połączyć moduł inny niż MLS z bazą MLS” zamiast tego będziesz musiał przekonwertować plik wymuszający typ na Multi-Layer Security i dołączyć wynikowy pakiet zasad w następujący sposób:

root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Następnie dołącz pakiet zasad przy użyciu semodule -i, jak opisano powyżej. Powinieneś teraz być skonfigurowany do uruchamiania kopii zapasowych i przywracania z SELinux w trybie wymuszania.