SELinux Modunun Kontrol Edilmesi
Kök kullanıcı olarak getenforce veya sestatus'u çalıştırarak mevcut SELinux modu yapılandırmasını elde edebilirsiniz. İlki, standart çıktıya ya "Uygulanıyor" ya da "İzin Verici" olarak yazdırır. İkincisi, SELinuxfs bağlama noktası, geçerli mod, SELinux yapılandırma dosyasında görünen mod vb. Dahil olmak üzere ek ayrıntılar sağlar.
SLELinux modu, setenforce uygulaması kullanılarak çalışma zamanı sırasında kök kullanıcı tarafından değiştirilebilir.
Kullanımı:
setenforce [Zorlama | Müsamahakar | 1 | 0]
Sentenforce kullanılarak yapılan değişikliklerin sistemin yeniden başlatılması için kalıcı olmadığını unutmamak önemlidir.
SELinux devre dışı bırakılmak yerine izin verici olarak ayarlanmışsa, SELinux'a duyarlı tüm uygulamalar zorlama modu hala ayarlanmış gibi davranacaktır. SELinux, müsaadeli moddayken uygulamaların faaliyetlerini de denetlemeye devam edecektir. Bu, izin verilen modu kullanmakla SELinux'u tamamen devre dışı bırakmak arasındaki temel farktır.
Sistem önyüklemesi sırasında varsayılan mod değeri, / etc / selinux / config dosyasında SELINUX parametresi ile tanımlanır. SELINUX parametresi, zorlamayı, izin vermeyi veya devre dışı bırakmayı kabul eder.
Örneğin:
root> # cat / etc / selinux / config # Bu dosya sistemdeki SELinux durumunu kontrol eder. # SELINUX = şu üç değerden birini alabilir: # zorlama - SELinux güvenlik politikası uygulanır. # permissive - SELinux zorlamak yerine uyarılar yazdırır. # devre dışı - SELinux politikası yüklenmedi. SELINUX = zorlama # SELINUXTYPE = üç değerden birini alabilir: # hedefli - Hedeflenen süreçler korunur, # minimum - Hedeflenen politikanın değiştirilmesi. Yalnızca seçilen işlemler korunur. # mls - Çok Seviyeli Güvenlik koruması. SELINUXTYPE = hedeflenen kök> #
SELinux modunun önyükleme sırasında sürekli olarak beklenmedik bir moda geçtiği bir sorunu gidermeniz gerekirse, SELinux'un grub.conf'ta zorlama parametresini 0 veya 1 (izin verilen veya sırasıyla uygulayıcı).
SELinux'u Amanda ile iyi çalışacak şekilde yapılandırma
SELinux'un birincil işlevi zorunlu erişim kontrolünü zorlamak olduğu için, SELinux devre dışı bırakılmamışsa veya izin verilen moddaysa Amanda'yı çalıştırmak için ek adımlar gerektirebilir.
Zmanda'nın (Amanda Enterprise Edition) modern sürümleri, SELinux'u yükleme sırasında otomatik olarak izin verilen moda ayarlamaya çalışacaktır.
root> # ./amanda-enterprise-3.4-linux-x64.run Zmanda kurulumu, SELinux'u İzin Verilen duruma geçirmeyi gerektirir. Yükleyicinin kendisi bunu yapacak ve yükleme bittiğinde onu orijinal durumuna geri yükleyecektir. Devam etmek istiyor musun? [E / n]:
Zmanda yükleyicisi bunu gerçekleştirmek için semanage uygulamasını kullanır, bu nedenle lütfen yükleyiciyi çalıştırmadan önce örneğin hangi semanage'ı kontrol ederek semanage'ın yüklendiğinden emin olun. Semanage zaten kurulu değilse, uygulamayı şununla alabilirsiniz:
root> # yum sağlar * / semanage {ek çıktı gösterilmez} kök> # yum yükleme
Mümkünse SELinux'u uygulayan ortamlarda Amanda / Zmanda kurulumlarında sorun giderirken, SELinux'u geçici olarak izin verilen moda ayarlamayı deneyin. Aslında sorunun sebebinin SELinux olduğunu doğrulamak ve denetim günlüğü girişleri oluşturmak için testlerinizi yeniden deneyin.
Güvenlik politikanız nedeniyle SELinux'u izin verilen modda çalıştırmak mümkün değilse, SELinux'un Amanda'nın normal çalışmasına müdahale ettiğine dair bazı göstergeler vardır. Amanda ve / veya zmanda ile ilgili girişler için denetim günlüklerini kontrol edebilirsiniz:
root> # ausearch -m avc -c amanda
SELinux'un Amanda'yı reddetmesine ilişkin günlük girişlerini bulamıyorsanız, ancak izin verme modunda çalışırken herhangi bir sorun yoksa, bu, dontaudit kurallarının bir sonucu olabilir. Dontaudit kurallarını geçici olarak devre dışı bırakmak için şunları çalıştırabilirsiniz:
kök> # semodule -DB
Bu gerçekleştirildikten sonra, lütfen yüklemenizi, yedeklemenizi veya geri yüklemenizi tekrar çalıştırmayı deneyin ve denetim günlüğünü kontrol edin. SELinux uygulanabilir redleri kaydettikten sonra, yeniden etkinleştirdiğinizden emin olun. Dontaudit kurallar:
kök> # semodule -B
Bazı işletim sistemleri, Amanda sürümünüz için doğru bağlamları yansıtmayan Amanda için önceden yüklenmiş ilke modülleriyle birlikte gelir. Şu anda hangi modülün dahil olduğunu kontrol edebilirsiniz:
kök> # semodule -l | grep amanda
Tüm kurulu modülleri listelemek birkaç dakika sürebilir ve tabii ki 'amanda' ile eşleşen bir modül yoksa çıktı olmayacaktır. Eski veya bozuk bir Amanda politika modülü çalıştırdığınızı fark ederseniz, bunu kullanarak kaldırabilirsiniz:
kök> # semodule -r
Tüm SELinux bağlamları manuel olarak yapılandırılabilir, ancak bu, bu belgenin kapsamı dışındadır. Tamamen manuel bir çözümle ilgileniyorsanız, ayrıntılı bilgi için chcon ve restorecon man sayfalarına bakmalısınız.
Audit2allow ile özel ilke paketleri oluşturma
Çoğu ortamda, benzer işletim sistemlerini çalıştıran bir dizi Amanda istemci makinesi vardır ve bazen ek Amanda sunucularının konuşlandırılması gerekir. Bu senaryolarda her bir makinedeki güvenlik bağlamlarını manuel olarak gidermek ve değiştirmek verimli değildir. Bu, denetim2allow adlı bir aracın, ağdaki birden çok makineye dağıtılabilen özel ilke paketleri oluşturmak için yararlı olabileceği yerdir.
Öncelikle, görevlerinizi izin verilen modda çalıştırın ve bir tür uygulama dosyası oluşturun:
kök> # grep -E 'amanda | zmanda' /var/log/audit/audit.log | Audit2allow -m myamanda> myamanda.te
Tür uygulama dosyası oluşturulduktan sonra, bir operatör tarafından kontrol edildiğinden emin olun. Lütfen otomatik olarak oluşturulan çıktıyı bilgi güvenliği departmanınızın gerektirdiği şekilde değiştirin.
Tür uygulama dosyasını doğrularken, unutmayın: birçok uygulama -Z anahtarı aracılığıyla SELinux güvenlik bağlamını sağlayacaktır. Örneğin, 'ls, -Z', 'ps axZ' vb.
Tür uygulama dosyasının güvenlik politikanızın gereksinimlerini karşıladığı doğrulandıktan sonra, etkin bir ilke modülü olarak dahil edilmesi için bir ilke paketine dönüştürülmelidir. Bunu yapmak için aşağıdaki komutları uygulayabilirsiniz:
root> # checkmodule -mo myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp
Politika modülünü yüklemek için şunu çalıştırmalısınız:
root> # semodule -i myamanda.pp
Sahip olduğunuz bir hata alırsanız "MLS olmayan bir modüle bir MLS tabanı ile bağlanmaya çalışıldı" bunun yerine tür uygulama dosyasını Çok Katmanlı Güvenlik olarak dönüştürmeniz ve sonuçta ortaya çıkan politika paketini şu şekilde eklemeniz gerekir:
root> # checkmodule -M -m -o myamanda.mod myamanda.te root> # semodule_package -m myamanda.mod -o myamanda.pp
Ve sonra yukarıda açıklandığı gibi -i semodülünü kullanarak politika paketini dahil edin. Şimdi yedeklemelerinizi ve geri yüklemelerinizi zorlama modunda SELinux ile çalıştıracak şekilde ayarlanmış olmalısınız.
