Sprawdzam tryb SELinux
Możesz uzyskać aktualną konfigurację trybu SELinux, uruchamiając getenforce lub sestatus jako użytkownik root. Ten pierwszy po prostu drukuje „Egzekwowanie” lub „Pozwolenie” na standardowe wyjście. Ten ostatni zawiera dodatkowe szczegóły, w tym punkt montowania SELinuxfs, bieżący tryb, tryb, który pojawia się w pliku konfiguracyjnym SELinuxfs itp.
Tryb SLELinux może zostać zmieniony przez użytkownika root w czasie wykonywania za pomocą aplikacji setenforce.
Stosowanie:
setenforce [Enforcing | Pozwalające | 1 | 0]
Należy pamiętać, że zmiany dokonane za pomocą sentenforce nie są trwałe po ponownym uruchomieniu systemu.
Jeśli SELinux jest ustawiony na zezwalający, a nie wyłączony, to wszelkie aplikacje obsługujące SELinuksa będą się zachowywać tak, jakby tryb wymuszania był nadal ustawiony. SELinux będzie również kontynuował kontrolę aktywności aplikacji w trybie zezwalającym. To jest podstawowa różnica między używaniem trybu zezwalającego a całkowitym wyłączeniem SELinuksa.
Domyślna wartość trybu podczas uruchamiania systemu jest zdefiniowana w pliku / etc / selinux / config za pomocą parametru SELINUX. Parametr SELINUX akceptuje wymuszanie, zezwalanie lub wyłączanie.
Na przykład:
root> # cat / etc / selinux / config # Ten plik kontroluje stan SELinux w systemie. # SELINUX = może przyjąć jedną z trzech wartości: # wymuszanie - wymuszana jest polityka bezpieczeństwa SELinuksa. # permissive - SELinux drukuje ostrzeżenia zamiast wymuszać. # disabled - Żadna polityka SELinux nie jest załadowana. SELINUX = egzekwowanie # SELINUXTYPE = może przyjąć jedną z trzech wartości: # target - docelowe procesy są chronione, # minimum - modyfikacja docelowej polityki. Chronione są tylko wybrane procesy. # mls - wielopoziomowa ochrona bezpieczeństwa. SELINUXTYPE = docelowy katalog główny> #
Jeśli kiedykolwiek będziesz musiał rozwiązać problem polegający na tym, że tryb SELinux konsekwentnie przełącza się w nieoczekiwany tryb podczas rozruchu, warto zauważyć, że SELinux można również skonfigurować w grub.conf, ustawiając parametr egzekwowania na 0 lub 1 (permissive lub odpowiednio egzekwowanie).
Konfiguracja SELinux do dobrej współpracy z Amandą
Ponieważ podstawową funkcją SELinux jest wymuszanie obowiązkowej kontroli dostępu, może wymagać dodatkowych kroków w celu uruchomienia Amandy, jeśli SELinux nie jest wyłączony lub w trybie zezwalającym
Nowoczesne wersje Zmandy (Amanda Enterprise Edition) będą próbowały automatycznie ustawić SELinux w trybie zezwalającym podczas instalacji.
root> # ./amanda-enterprise-3.4-linux-x64.run Instalacja Zmandy wymaga przełączenia SELinux do stanu Permissive. Sam instalator zrobi to i przywróci go do pierwotnego stanu po zakończeniu instalacji. Czy chcesz kontynuować? [T / n]:
Instalator Zmanda używa do tego celu aplikacji semanage, więc upewnij się, że semanage jest zainstalowany, sprawdzając np. Który semanage przed uruchomieniem instalatora. Jeśli semanage nie jest jeszcze zainstalowany, możesz pobrać aplikację za pomocą:
root> # yum zapewnia * / semanage {dodatkowe wyjście nie jest pokazane} root> # yum install
Podczas rozwiązywania problemów z instalacjami Amandy / Zmandy w środowiskach, które implementują SELinux, jeśli to możliwe, spróbuj tymczasowo ustawić SELinuksa w tryb zezwalający. Ponów testy, aby potwierdzić, że SELinux jest w rzeczywistości przyczyną problemu i wygenerować wpisy dziennika inspekcji.
Jeśli nie jest możliwe uruchomienie SELinux w trybie zezwalającym ze względu na politykę bezpieczeństwa, istnieją pewne oznaki, że SELinux zakłóca normalne działanie Amandy. Możesz sprawdzić dzienniki audytu pod kątem wpisów związanych z amandą i / lub zmandą:
root> # ausearch -m avc -c amanda
Jeśli nie możesz znaleźć wpisów dziennika dotyczących SELinux odmawiającego Amandzie, ale nie ma problemów podczas pracy w trybie zezwalającym, może to być wynikiem reguł dontaudit. Aby tymczasowo wyłączyć reguły dontaudit, możesz uruchomić:
root> # semodule -DB
Po wykonaniu tej czynności spróbuj ponownie uruchomić instalację, kopię zapasową lub przywracanie i sprawdź dziennik audytu. Po zarejestrowaniu przez SELinux odpowiednich odmów, pamiętaj o ponownym włączeniu nie audytowaćaudi zasady:
root> # semodule -B
Niektóre systemy operacyjne są dostarczane z preinstalowanymi modułami zasad dla Amandy, które mogą nie odzwierciedlać właściwych kontekstów dla twojej wersji Amandy. Możesz sprawdzić, który moduł jest obecnie uwzględniony, używając:
root> # semodule -l | grep amanda
Spisanie wszystkich zainstalowanych modułów może zająć kilka chwil i oczywiście, jeśli żaden moduł nie pasuje do „amanda”, nie będzie żadnych danych wyjściowych. Jeśli okaże się, że używasz starego lub uszkodzonego modułu zasad Amandy, możesz go usunąć za pomocą:
root> # semodule -r
Wszystkie konteksty SELinuksa można skonfigurować ręcznie, ale jest to poza zakresem tej dokumentacji. Jeśli jesteś zainteresowany rozwiązaniem całkowicie ręcznym, powinieneś zapoznać się ze stronami podręcznika chcon and restorecon, aby uzyskać szczegółowe informacje.
Tworzenie niestandardowych pakietów zasad za pomocą audytu2allow
W większości środowisk istnieje wiele komputerów klienckich Amandy z podobnymi systemami operacyjnymi i czasami trzeba wdrożyć dodatkowe serwery Amandy. W tych scenariuszach ręczne rozwiązywanie problemów i zmiana kontekstów zabezpieczeń na każdym komputerze nie jest wydajne. W tym miejscu narzędzie o nazwie audit2allow może być przydatne do tworzenia niestandardowych pakietów zasad, które można wdrożyć na wielu komputerach w sieci.
Najpierw uruchom swoje zadania w trybie zezwalającym i utwórz plik wymuszający typ:
root> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te
Po utworzeniu pliku wymuszającego typ należy upewnić się, że jest on sprawdzony przez operatora. Proszę zmodyfikować automatycznie wygenerowane dane wyjściowe zgodnie z wymaganiami działu bezpieczeństwa informacji.
Podczas weryfikacji pliku wymuszającego typ należy pamiętać: wiele aplikacji zapewni kontekst bezpieczeństwa SELinux za pomocą przełącznika -Z. Na przykład „ls, -Z”, „ps axZ” itp.
Po sprawdzeniu, że plik wymuszający typ spełnia wymagania polityki bezpieczeństwa, należy go przekonwertować na pakiet strategii, aby dołączyć go jako aktywny moduł zasad. Aby to zrobić, możesz wykonać następujące polecenia:
root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp
Aby załadować moduł zasad, należy następnie uruchomić:
root> # semodule -i myamanda.pp
Jeśli pojawi się błąd, który masz „Próbowano połączyć moduł inny niż MLS z bazą MLS” zamiast tego będziesz musiał przekonwertować plik wymuszający typ na Multi-Layer Security i dołączyć wynikowy pakiet zasad w następujący sposób:
root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp
Następnie dołącz pakiet zasad przy użyciu semodule -i, jak opisano powyżej. Powinieneś teraz być skonfigurowany do uruchamiania kopii zapasowych i przywracania z SELinux w trybie wymuszania.
