[2] SELinux – Polityka
14 marca 2022Jeśli SELinux jest w trybie [Enforcing/Permissive], można wybrać typ polityki. W razie potrzeby możesz zmodyfikować wybraną politykę dla własnego środowiska.
Możliwe jest ustawienie typu polityki w pliku [/etc/selinux/config].
Domyślna polityka CentOS Stream 8 to polityka [targeted].
Jednak w przypadku zmiany typu polityki konieczne jest zainstalowanie pliku polityki.
W przypadku CentOS Stream 8 Minimal tylko [targeted] zasady są domyślnie instalowane.
Jeśli przejdziesz na politykę bez instalowania pliku polityki, system się nie uruchomi, więc bądź ostrożny!
[1] Ustaw typ polityki w sekcji [SELINUXTYPE=***].
# domyślnie [tergeted] [root@vlsr01 ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted # dla przykładu zmienimy nan zasady [minimum] # zainstaluj najpierw plik z zasadami polityki – NIE ZAPOMNIJ O TYM! [root@vlsr01 ~]# dnf install selinux-policy-minimum # plik zasad polityki jest zainstalowany w katalogu [minimum] [root@vlsr01 ~]# ll /etc/selinux razem 8 -rw-r--r--. 1 root root 548 03-06 09:44 config drwxr-xr-x. 5 root root 133 03-14 20:01 minimum -rw-r--r--. 1 root root 2647 02-25 08:07 semanage.conf drwxr-xr-x. 5 root root 133 03-06 10:55 targeted [root@vlsr01 ~]# mcedit /etc/selinux/config # zmień [SELINUXTYPE] # zmień także typ SELINUX na [permissive], zmień etykiety plików # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=minimum # ustaw etykiety plików i zrestartuj system aby zastosować zmiany [root@vlsr01 ~]# touch /.autorelabel [root@vlsr01 ~]# reboot [root@vlsr01 ~]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: minimum # zmieniona Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
[2] Istnieją 3 rodzaje polityk dostarczonych z pakietem RPM, takie jak przykłady w pliku konfiguracyjnym.
Policy/Zasady | Opis/Description |
Targeted | Niniejsza Polityka stosuje kontrolę dostępu do procesów, które często są celem ataków. (Domyślna) |
Minimum | Dołączone pliki ustawień tej polityki są takie same jak w przypadku polityki [Targeted], ale więcej minimalnych procesów jest przeznaczonych dla kontroli dostępu niż polityka [Targeted]. |
MLS | Wielopoziomowa polityka bezpieczeństwa. Implementuje model Bell-LaPadula (BLP) i umożliwia zastosowanie bardziej złożonych kontroli. |