Debian i SELinux – instalacja oraz użytkowanie

SELinux to wiodące rozwiązanie w zakresie zabezpieczania serwerów Linuksowych. Z poniższej notki dowiesz się jak je zainstalować i skonfigurować w Debianie.

Debian

Najpierw należy zainstalować niezbędne pakiety. Dokonany tego wykonując polecenie wajig install selinux-policy-refpolicy-strict.

debian:~# wajig install selinux-policy-refpolicy-strict
Reading package lists... Done
Building dependency tree... Done
Suggested packages:
  logcheck syslog-summary
Recommended packages:
  checkpolicy setools
The following NEW packages will be installed:
  selinux-policy-refpolicy-strict
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 1542kB of archives.
After unpacking 22.5MB of additional disk space will be used.
Get:1 http://ftp.cz.debian.org etch/main selinux-policy-refpolicy-strict 0.0.20061018-5 [1542kB]
Fetched 1542kB in 3s (462kB/s)
Selecting previously deselected package selinux-policy-refpolicy-strict.
(Reading database ... 18616 files and directories currently installed.)
Unpacking selinux-policy-refpolicy-strict (from .../selinux-policy-refpolicy-strict_0.0.20061018-5_all.deb) ...
Setting up selinux-policy-refpolicy-strict (0.0.20061018-5) ...
Notice: Trying to link (but not load) a refpolicy-strict policy.
This process may fail -- you should check the results, and
you need to switch to this policy yourself anyway.
Locating modules
Calculating dependencies between modules
Ordering modules based on dependencies
Selecting modules based on installed packages
Loaded base policy
Loaded module udev.pp
Loaded module inetd.pp
Loaded module finger.pp
Loaded module tcpd.pp
Loaded module remotelogin.pp
Loaded module telnet.pp
Loaded module pythonsupport.pp
Loaded module gpg.pp
Loaded module usbmodules.pp
Loaded module sasl.pp
Loaded module loadkeys.pp
Loaded module dmidecode.pp
Loaded module portmap.pp
Loaded module procmail.pp
Loaded module rpc.pp
Loaded module ftp.pp
Loaded module apm.pp

Następnie każdemu plikowi, katalogowi, urządzenia itp należy nadać kontekst. Dokonamy tego przy pomocy komendy fixfiles relabel.

debian:~# fixfiles relabel

Files in the /tmp directory may be labeled incorrectly, this command
can remove all files in /tmp.  If you choose to remove files from /tmp,
a reboot will be required after completion.
Do you wish to clean out the /tmp directory [N]?
/sbin/setfiles: labeling files under /
matchpathcon_filespec_eval: hash table stats: 21020 elements, 19185/65536 buckets used, longest chain length 2
/sbin/setfiles: labeling files under /boot
matchpathcon_filespec_eval: hash table stats: 18 elements, 18/65536 buckets used, longest chain length 1
/sbin/setfiles: Done.

Następnie włączamy SELinux podczas startu systemu, zrobimy to przez modyfikacje parametrów startowych systemu (edycja pliku /etc/selinux/config)

Praca z SELinux

Spis modułów dostępnych wraz z pakietem

Jeżeli zainstalowalismy i używamy polityki refpolicy-strict wszystkie dostępne moduły znajdziemy w katalogu /usr/share/selinux/refpolicy-strict/.

Dodanie nowego modułu do systemu SELinux

Jeżeli zainstalujemy nowe oprogramowanie, które będzie wymagało specialnych uprawnień i do którego istnieje moduł polityk, możemy ten moduł przy pomocy jednego polecenia  semodule -i
dodać do systemu, np w przypadku

Dodaj komentarz