[2] SELinux – Polityka

14 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Jeśli SELinux jest w trybie [Enforcing/Permissive], można wybrać typ polityki. W razie potrzeby możesz zmodyfikować wybraną politykę dla własnego środowiska.

Możliwe jest ustawienie typu polityki w pliku [/etc/selinux/config].

Domyślna polityka CentOS Stream 8 to polityka [targeted].

Jednak w przypadku zmiany typu polityki konieczne jest zainstalowanie pliku polityki.

W przypadku CentOS Stream 8 Minimal tylko [targeted] zasady są domyślnie instalowane.

Jeśli przejdziesz na politykę bez instalowania pliku polityki, system się nie uruchomi, więc bądź ostrożny!

[1] Ustaw typ polityki w sekcji [SELINUXTYPE=***].

# domyślnie [tergeted]
[root@vlsr01 ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# dla przykładu zmienimy nan zasady [minimum]
# zainstaluj najpierw plik z zasadami polityki – NIE ZAPOMNIJ O TYM!
[root@vlsr01 ~]# dnf install selinux-policy-minimum

# plik zasad polityki jest zainstalowany w katalogu [minimum]
[root@vlsr01 ~]# ll /etc/selinux
razem 8
-rw-r--r--. 1 root root  548 03-06 09:44 config
drwxr-xr-x. 5 root root  133 03-14 20:01 minimum
-rw-r--r--. 1 root root 2647 02-25 08:07 semanage.conf
drwxr-xr-x. 5 root root  133 03-06 10:55 targeted

[root@vlsr01 ~]# mcedit /etc/selinux/config
# zmień [SELINUXTYPE]
# zmień także typ SELINUX na [permissive], zmień etykiety plików
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=minimum

# ustaw etykiety plików i zrestartuj system aby zastosować zmiany
[root@vlsr01 ~]# touch /.autorelabel
[root@vlsr01 ~]# reboot
[root@vlsr01 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             minimum # zmieniona
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

[2] Istnieją 3 rodzaje polityk dostarczonych z pakietem RPM, takie jak przykłady w pliku konfiguracyjnym.

Policy/Zasady Opis/Description
Targeted Niniejsza Polityka stosuje kontrolę dostępu do procesów, które często są celem ataków. (Domyślna)
Minimum Dołączone pliki ustawień tej polityki są takie same jak w przypadku polityki [Targeted], ale więcej minimalnych procesów jest przeznaczonych dla kontroli dostępu niż polityka [Targeted].
MLS Wielopoziomowa polityka bezpieczeństwa. Implementuje model Bell-LaPadula (BLP) i umożliwia zastosowanie bardziej złożonych kontroli.