GNU/Linux >> Tutoriales Linux >  >> Linux

Seguridad de Linux:manipulación de políticas de SELinux con booleanos

Linux con seguridad mejorada, más conocido como SELinux, existe desde hace un tiempo, y por una buena razón. Desarrollado originalmente por la Agencia de Seguridad Nacional, ha sido parte de la comunidad de código abierto desde 2000 y parte del kernel de Linux desde 2003. SELinux ayuda a los administradores a controlar cómo las diferentes partes de un sistema Linux pueden realizar acciones con precisión. controles.

Funcionamiento básico

En resumen, SELinux utiliza una base de datos de políticas para aprobar o denegar el acceso a archivos, aplicaciones o procesos en un sistema determinado. Las aplicaciones y los procesos se definen como sujetos que posteriormente solicitan acceso a archivos (conocidos como objetos ). Se toma una decisión en función de las políticas y los permisos almacenados en un AVC (caché de vector de acceso).

Cambios rápidos

¿Qué sucede cuando necesita usar un servicio que está bloqueado por una de estas políticas? Redefinir la política puede ser innecesario, dado el contexto. Aquí es donde los booleanos entran en escena. Un booleano es esencialmente un interruptor que permite cambios de política sobre la marcha en áreas específicas dentro de SELinux. Estos valores booleanos son cadenas que nos permiten realizar cambios de nivel micro en una política aplicada activamente.

[ También te pueden interesar: 5 consejos para empezar con la seguridad del servidor Linux]

¿Qué valores booleanos están disponibles?

Para ver una lista de los booleanos disponibles, puede usar getsebool -a . Cualquier usuario puede ejecutar este comando.

[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted...

¿Qué significan estos?

Hay una gran cantidad de interruptores disponibles aquí. Como puede ver en la lista anterior, la función de algunos de los interruptores booleanos no es exactamente obvia. Puede usar semanage boolean -l | grep boolean_name_string para enumerar un poco más de información sobre un valor booleano determinado.

NOTA :Necesita privilegios de administrador para ejecutar semanage comandos.

[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write             (off  ,  off)  Allow cobbler to anon write
cobbler_can_network_connect    (off  ,  off)  Allow cobbler to can network connect
cobbler_use_cifs               (off  ,  off)  Allow cobbler to use cifs
cobbler_use_nfs                (off  ,  off)  Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off  ,  off)  Allow httpd to can network connect cobbler
httpd_serve_cobbler_files      (off  ,  off)  Allow httpd to serve cobbler files

Puede ver arriba que estamos viendo todos los valores booleanos relacionados con el zapatero. De izquierda a derecha, vemos la cadena booleana, la configuración actual y predeterminada, y una breve descripción del interruptor.

Habilitar/deshabilitar booleanos

Para realizar cambios en el estado de un interruptor dado, usamos el siguiente comando:setsebool boolean_name_string on (off ). Por ejemplo:

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (on    , off)         Allow cobbler to anon write

Para deshabilitar la configuración, simplemente cambie la opción al final:

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (off    , off)         Allow cobbler to anon write

Debe indicarse que los cambios booleanos no persisten durante los reinicios de forma predeterminada. Para hacer un cambio persistente, agregue -P opción a la sintaxis de su comando.

[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on

[ ¿Quiere obtener más información sobre seguridad? Consulte la lista de verificación de cumplimiento y seguridad de TI. ] 

¿Más información?

Si necesita más información sobre SELinux o las opciones booleanas, consulte las páginas del manual de SELinux para booleanos, getsebool, setsebool, semanage, semanage-booleans y temas relacionados.

[ Pruebe Red Hat Enterprise Linux, un sistema operativo compatible con SELinux, de forma gratuita. ]


Linux
  1. Escanee su seguridad Linux con Lynis

  2. 5 consejos para comenzar con la seguridad del servidor Linux

  3. Sobrevivir a una auditoría de seguridad con Enterprise Linux

  4. Seguridad Linux:Proteja sus sistemas con fail2ban

  5. Cómo monitorear la seguridad del servidor Linux con Osquery

Pen testing con herramientas de seguridad de Linux

Comando wc Linux con ejemplos

Comando ip de Linux con ejemplos

Cómo auditar un sistema Linux remoto con Lynis Security Tool

Auditoría de seguridad de Linux con Lynis

Seguridad de Linux frente a Windows