Jak skonfigurować Amandę Enterprise na SELinuksie

Sprawdzam tryb SELinux

You can get the current SELinux mode configuration by running getenforce or sestatus as the root user. The former simply prints either “Enforcing” or “Permissive” to stdout. The latter provides additional details, including the SELinuxfs mount point, the current mode, the mode as it appears in the SELinux config file, etc.

Tryb SLELinux może zostać zmieniony przez użytkownika root w czasie działania za pomocą aplikacji setenforce.

Stosowanie:

setenforce [Enforcing | Pozwalające | 1 | 0]

Należy pamiętać, że zmiany dokonane za pomocą sentenforce nie są trwałe po ponownym uruchomieniu systemu.

If SELinux is set to permissive–rather than disabled–then any SELinux-aware applications will behave as if enforcing mode were still set. SELinux will also continue to audit the activity of applications while in permissive mode. This is the primary difference between using permissive mode and disabling SELinux completely.

Domyślna wartość trybu podczas uruchamiania systemu jest zdefiniowana w pliku / etc / selinux / config za pomocą parametru SELINUX. Parametr SELINUX akceptuje wymuszanie, zezwolenie lub wyłączenie.

Na przykład:

root> # cat / etc / selinux / config # Ten plik kontroluje stan SELinux w systemie. # SELINUX = może przyjąć jedną z trzech wartości: # wymuszanie - wymuszana jest polityka bezpieczeństwa SELinux. # permissive - SELinux drukuje ostrzeżenia zamiast wymuszać. # wyłączone - Żadna polityka SELinux nie jest ładowana. SELINUX = wymuszanie # SELINUXTYPE = może przyjąć jedną z trzech dwóch wartości: # target - docelowe procesy są chronione, minimum # - modyfikacja docelowej polityki. Chronione są tylko wybrane procesy. # mls - wielopoziomowa ochrona. SELINUXTYPE = docelowy katalog główny> #

Jeśli kiedykolwiek będziesz musiał rozwiązać problem polegający na tym, że tryb SELinux konsekwentnie przełącza się w nieoczekiwany tryb podczas uruchamiania, warto zauważyć, że SELinux można również skonfigurować w grub.conf, ustawiając parametr egzekwowania na 0 lub 1 (permissive lub odpowiednio egzekwowanie).

Konfiguracja SELinux do dobrej współpracy z Amandą

Ponieważ podstawową funkcją SELinux jest wymuszanie obowiązkowej kontroli dostępu, może wymagać dodatkowych kroków w celu uruchomienia Amandy, jeśli SELinux nie jest wyłączony lub w trybie zezwalającym

Nowoczesne wersje Zmanda (Amanda Enterprise Edition) będą próbowały automatycznie ustawić SELinux w trybie zezwalającym podczas instalacji.

root> # ./amanda-enterprise-3.4-linux-x64.run Instalacja Zmanda wymaga przełączenia SELinux w stan Permissive. Sam instalator zrobi to i przywróci go do pierwotnego stanu po zakończeniu instalacji. Czy chcesz kontynuować? [T / n]:

Instalator Zmanda wykorzystuje do tego aplikację semanage, więc upewnij się, że semanage jest zainstalowany, sprawdzając np. Który semanage przed uruchomieniem instalatora. Jeśli semanage nie jest jeszcze zainstalowany, możesz pobrać aplikację za pomocą:

root> # yum zapewnia * / semanage {dodatkowe wyjście nie jest pokazane} root> # yum install 

Podczas rozwiązywania problemów z instalacjami Amandy / Zmanda w środowiskach, które implementują SELinux, jeśli to możliwe, spróbuj tymczasowo ustawić SELinuksa na tryb zezwalający. Ponów testy, aby potwierdzić, że SELinux jest w rzeczywistości przyczyną problemu i wygenerować wpisy dziennika audytu.

If it is not possible to run SELinux in permissive mode due to your security policy, there are some indicators that SELinux is interfering with Amanda’s normal operation. You can check the audit logs for entries related to amanda and/or zmanda:

root> # ausearch -m avc -c amanda

Jeśli nie możesz znaleźć wpisów dziennika dotyczących SELinux odmawiającego Amandzie, ale nie ma problemów podczas pracy w trybie zezwalającym, może to wynikać z reguł dontaudit. Aby tymczasowo wyłączyć reguły dontaudit, możesz uruchomić:

root> # semoduł -DB

Po wykonaniu tej czynności spróbuj ponownie uruchomić instalację, kopię zapasową lub przywracanie i sprawdź dziennik audytu. Po zarejestrowaniu przez SELinux odpowiednich odmów należy ponownie włączyć dontaudit zasady:

root> # semoduł -B

Niektóre systemy operacyjne mają wstępnie zainstalowane moduły zasad dla Amandy, które mogą nie odzwierciedlać właściwych kontekstów dla twojej wersji Amandy. Możesz sprawdzić, który moduł jest obecnie uwzględniony, używając:

root> # semodule -l | grep amanda

It may take a few moments to list all of the installed modules, and of course if there is no module matching ‘amanda’ then there will be no output. If you find you are running an old or corrupt Amanda policy module then you can remove it using:

root> # semodule -r 

All SELinux contexts could be configured manually, but that is outside of this documentation’s scope. If you are interested in a completely manual solution, you should refer to the chcon and restorecon man pages for detailed information.

Tworzenie niestandardowych pakietów zasad za pomocą audit2allow

W większości środowisk istnieje wiele maszyn klienckich Amandy z podobnymi systemami operacyjnymi i czasami trzeba wdrożyć dodatkowe serwery Amandy. W tych scenariuszach ręczne rozwiązywanie problemów i zmiana kontekstów zabezpieczeń na każdym komputerze nie jest wydajne. W tym miejscu narzędzie o nazwie audit2allow może być przydatne do tworzenia niestandardowych pakietów zasad, które można wdrożyć na wielu komputerach w sieci.

Najpierw uruchom swoje zadania w trybie zezwalającym i utwórz plik wymuszający typ:

root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

Po utworzeniu pliku wymuszającego typ upewnij się, że został sprawdzony przez operatora. Proszę zmodyfikować automatycznie wygenerowane dane wyjściowe zgodnie z wymaganiami Twojego działu bezpieczeństwa informacji.

When verifying the type enforcement file, remember: many applications will provide SELinux security context by means of a -Z switch. For example, ‘ls, -Z’,’ps axZ’, etc.

Po sprawdzeniu, że plik wymuszający typ spełnia wymagania polityki bezpieczeństwa, należy go przekonwertować na pakiet zasad, aby dołączyć go jako aktywny moduł zasad. Aby to zrobić, możesz wykonać następujące polecenia:

root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp

Aby załadować moduł zasad, należy następnie uruchomić:

root> # semodule -i myamanda.pp

Jeśli pojawi się błąd, który masz “Tried to link in a non-MLS module with an MLS base” zamiast tego będziesz musiał przekonwertować plik wymuszający typ na Multi-Layer Security i dołączyć wynikowy pakiet zasad w następujący sposób:

root> # moduł kontrolny -M -m -o myamanda.mod myamanda.te root> # pakiet_modułu -m myamanda.mod -o myamanda.pp

Następnie dołącz pakiet zasad, używając semodule -i, jak opisano powyżej. Powinieneś teraz być skonfigurowany do uruchamiania kopii zapasowych i przywracania z SELinux w trybie wymuszania.

pl_PLPolish