Como definir uma política no SELinux

Uma das principais razões pelas quais as pessoas escolhem o Linux é a segurança que ele oferece. É por isso que você encontrará Linux em servidores e estações de trabalho profissionais. SELinux é um recurso de segurança do Linux. Faz parte do kernel padrão do Linux há algum tempo, e qualquer distro moderna tem suporte para SELinux.

Existem várias maneiras diferentes de operar o SELinux. Isso é definido pela política SELinux. Neste guia, você aprenderá mais sobre as políticas do SELinux e como definir uma política no SELinux.

Visão geral da política SELinux

Vamos fazer um rápido resumo do SELinux e suas políticas. SELinux é um acrônimo para “Security-Enhanced Linux.”Inclui uma série de patches de segurança para o kernel Linux. SELinux foi originalmente desenvolvido pela National Security Agency (NSA) e lançado para a comunidade de desenvolvimento de código aberto em 2000 sob a licença GPL. Foi fundido com o kernel Linux principal em 2003.

O SELinux fornece MAC (Controle de Acesso Obrigatório) em vez do DAC (Controle de Acesso Discricionário) padrão. Isso permite a implementação de algumas políticas de segurança que não seriam possíveis de serem implementadas de outra forma.

As políticas SELinux são conjuntos de regras que orientam o mecanismo de segurança SELinux. Uma política define tipos de objetos de arquivo e domínios para processos. As funções são usadas para limitar o acesso a domínios. As identidades dos usuários determinam quais funções podem ser alcançadas.
Existem duas políticas SELinux disponíveis:

• Direcionado: a política padrão. Implementa controle de acesso a processos direcionados. Os processos são executados em um domínio confinado onde o processo tem acesso limitado aos arquivos. Se um processo confinado for comprometido, o dano é mitigado. No caso de serviços, apenas serviços específicos são colocados nesses domínios.
• MLS: Significa Segurança Multinível. Verifique a documentação do Red Hat sobre a política SELinux MLS.

Os processos que não são direcionados serão executados em um domínio não confinado. Processos em execução em domínios não confinados desfrutam de acesso quase completo. Se tal processo for comprometido, o SELinux não oferece mitigação. O invasor pode obter acesso a todo o sistema e recursos. No entanto, as regras DAC ainda se aplicam aos domínios não confinados.
A seguir está uma pequena lista de exemplos de domínios não confinados:

• domínio initrc_t: programas init
• domínio do kernel_t: processos do kernel
• unconfined_t domain: usuários logados no sistema Linux

Alterando a Política SELinux

Os exemplos a seguir são realizados no CentOS 8. Todos os comandos neste artigo são executados como usuário root. Para outras distros, confira o tutorial apropriado sobre como habilitar SELinux.
Para mudar uma política no SELinux, comece verificando o status do SELinux. O status padrão deve ser SELinux habilitado no modo “Enforcing” com a política “direcionada”.

$ sestatus

Para alterar a política do SELinux, abra o arquivo de configuração do SELinux em seu editor de texto favorito.

$ vim / etc / selinux / config

Aqui, nosso alvo é a variável “SELINUXTYPE” que define a política SELinux. Como você pode ver, o valor padrão é “direcionado.”

Todas as etapas demonstradas neste exemplo são realizadas no CentOS 8. No caso do CentOS, a política MLS não vem instalada por padrão. Este também é o caso em outras distros. Aprenda a configurar o SELinux no Ubuntu aqui. Certifique-se de instalar o programa primeiro. No caso do Ubuntu, CentOS, openSUSE, Fedora, Debian e outros, o nome do pacote é “selinux-policy-mls.”

$ dnf install selinux-policy-mls

Nesse caso, mudaremos a política para MLS. Altere o valor da variável de acordo.

$ SELINUXTYPE = mls

Salve o arquivo e saia do editor. Para colocar essas mudanças em vigor, você deve reinicializar o sistema.

$ reboot

Verifique a mudança emitindo o seguinte.

$ sestatus

Alterando os modos do SELinux

SELinux pode operar em três modos diferentes. Esses modos determinam como a política é aplicada.

• Reforçado: qualquer ação contra a política é bloqueada e relatada no registro de auditoria.
• Permissivo: qualquer ação contra a política só é relatada no registro de auditoria.
• Desativado: SELinux está desativado.

Para alterar temporariamente o modo no SELinux, use o comando setenforce. Se o sistema for reiniciado, o sistema irá reverter para a configuração padrão.

$ setenforce Aplicação

$ setenforced Permissivo

Para alterar permanentemente o modo no SELinux, você deve ajustar o arquivo de configuração do SELinux.

$ vim / etc / selinux / config

Salve e feche o editor. Reinicie o sistema para colocar as alterações em vigor.
Você pode verificar a mudança usando o comando sestatus.

$ sestatus

Conclusão

SELinux é um mecanismo poderoso para reforçar a segurança. Esperançosamente, este guia ajudou você a aprender como configurar e gerenciar o comportamento do SELinux.
Computação feliz!