本文適用於 阿曼達企業(AE)

檢查SELinux模式

您可以通過以root用戶身份運行getenforce或sestatus來獲取當前的SELinux模式配置。前者只是將“ Enforcecing”或“ Permissive”打印到標準輸出。後者提供了其他詳細信息,包括SELinuxfs掛載點,當前模式,在SELinux配置文件中顯示的模式等。

超級用戶可以在運行時使用setenforce應用程序更改SLELinux模式。

用法:

setenforce [強制|寬容| 1 | 0]

重要的是要記住,使用sendenforce進行的更改對於系統重新啟動而言並不持久。

如果將SELinux設置為寬鬆(而不是禁用),則任何支持SELinux的應用程序的行為都將像仍然設置了強制模式一樣。 SELinux還將在許可模式下繼續審核應用程序的活動。這是使用許可模式和完全禁用SELinux之間的主要區別。

通過SELINUX參數在/ etc / selinux / config文件中定義了系統啟動時mode的默認值。 SELINUX參數接受強制,允許或禁用。

例如:

root> # cat / etc / selinux / config #該文件控制SELinux在系統上的狀態。 # SELINUX =可以採用以下三個值之一:#強制-強制執行SELinux安全策略。 #允許-SELinux打印警告而不是強制執行。 #已禁用-未加載SELinux策略。 SELINUX =強制執行# SELINUXTYPE =可以採用以下三個值之一:#目標-保護目標進程,最小#-修改目標策略。僅選定的進程受保護。 #毫升-多層安全保護。 SELINUXTYPE =目標根> #

如果您需要解決SELinux模式在啟動時始終切換到意外模式的問題,請注意,也可以通過將enforcing參數設置為0或1(允許)在grub.conf中配置SELinux或強制執行)。

配置SELinux與Amanda配合使用

因為SELinux的主要功能是強制執行強制訪問控制,所以如果未禁用SELinux或處於許可模式,則可能需要其他步驟來運行Amanda。

Zmanda(Amanda企業版)的現代版本將嘗試在安裝時自動將SELinux設置為許可模式。

root> # ./amanda-enterprise-3.4-linux-x64.run安裝Zmanda需要將SELinux切換到Permissive狀態。安裝程序本身將執行此操作,並在安裝完成後將其還原到原始狀態。你想繼續嗎? [是/否]:

Zmanda安裝程序使用semanage應用程序來完成此操作,因此請在運行安裝程序之前通過檢查例如哪個semanage來確保安裝了semanage。如果尚未安裝semanage,則可以通過以下方式獲取該應用程序:

root> # yum提供* / semanage {未顯示其他輸出} root> # yum安裝

在可能的情況下在實施SELinux的環境中對Amanda / Zmanda安裝進行故障排除時,請嘗試將SELinux暫時設置為許可模式。重試測試以確認SELinux實際上是問題的原因,並生成審核日誌條目。

如果由於您的安全策略而無法在許可模式下運行SELinux,則表明SELinux正在干擾Amanda的正常運行。您可以檢查審核日誌中與amanda和/或zmanda相關的條目:

root> # ausearch -m avc -c阿曼達

如果無法找到有關SELinux拒絕Amanda的日誌條目,但是在許可模式下運行時沒有問題,則可能是dontaudit規則的結果。要暫時禁用dontaudit規則,可以運行:

根> # semodule -DB

執行此操作後,請嘗試再次運行安裝,備份或還原,並檢查審核日誌。 SELinux記錄了適用的拒絕之後,請確保重新啟用 不要審計 規則:

根> # semodule -B

某些操作系統預裝了適用於Amanda的策略模塊,這些模塊可能無法反映您所用Amanda版本的正確上下文。您可以使用以下方法檢查當前包含的模塊:

根目錄> # semodule -l | grep阿曼達

列出所有已安裝的模塊可能需要一些時間,當然,如果沒有與“ amanda”匹配的模塊,則將沒有輸出。如果發現您正在運行舊的或損壞的Amanda策略模塊,則可以使用以下方法將其刪除:

根> # semodule -r 

可以手動配置所有SELinux上下文,但這超出了本文檔的範圍。如果您對完全手動的解決方案感興趣,則應參考chcon和restorecon手冊頁以獲取詳細信息。

使用audit2allow創建自定義策略包

在大多數環境中,有許多運行類似操作系統的Amanda客戶端計算機,有時還需要部署其他Amanda服務器。在這種情況下,手動故障排除和更改每台計算機上的安全上下文效率不高。在這裡,稱為audit2allow的工具可用於創建可部署到網絡上多台計算機的自定義策略包。

首先,以許可模式運行任務並創建一個類型強製文件:

root> # grep -E'amanda | zmanda'/var/log/audit/audit.log | audit2allow -m myamanda> myamanda.te

創建類型強製文件後,請確保操作員對其進行了檢查。請根據您的信息安全部門的要求修改自動生成的輸出。

驗證類型強製文件時,請記住:許多應用程序將通過-Z開關提供SELinux安全上下文。例如,“ ls,-Z”,“ ps axZ”等。

一旦驗證類型強制執行文件滿足安全策略的要求,就必須將其轉換為策略包以包括為活動策略模塊。為此,您可以執行以下命令:

根目錄> # checkmodule -mo myamanda.mod myamanda.te根目錄> # semodule_package -m myamanda.mod -o myamanda.pp

要加載策略模塊,應運行:

根目錄> # semodule -i myamanda.pp

如果遇到錯誤 “試圖將非MLS模塊與MLS基礎鏈接” 您需要將類型強製文件轉換為“多層安全性”,並包括如下所示的結果策略包:

根目錄> # checkmodule -M -m -o myamanda.mod myamanda.te根目錄> # semodule_package -m myamanda.mod -o myamanda.pp

然後如上所述使用semodule -i包括策略包。現在,您應該設置為在強制模式下使用SELinux運行備份和還原。