La política de SELinux describe los permisos de acceso para todos los usuarios, programas, procesos, archivos y dispositivos sobre los que actúan. SELinux implementa una de dos políticas diferentes:
- Dirigido :esta política predeterminada aplica controles de acceso a ciertos procesos (dirigidos).
- MLS :seguridad multinivel
Seleccione el tipo de política de la GUI de SELinux o configure la directiva SELINUXTYPE en el archivo /etc/selinux/config. Ejemplo:
# vim /etc/selinux/config SELINUXTYPE=targeted
Con la política específica, los procesos específicos se ejecutan en su propio dominio, denominado dominio confinado. En un dominio confinado, los archivos a los que tiene acceso un proceso objetivo son limitados. Si un atacante compromete un proceso confinado, el acceso del atacante a los recursos y el posible daño que puede causar también es limitado. SELinux deniega el acceso a estos recursos y registra la denegación.
Solo se colocan servicios específicos en estos dominios de seguridad distintos que están confinados por la política. Por ejemplo, un usuario se ejecuta en un dominio completamente no confinado mientras que los servicios que escuchan en una red las solicitudes de los clientes, como named, httpd y sshd, se ejecutan en un dominio específico y confinado adaptado a su funcionamiento. Los procesos que se ejecutan como usuario raíz de Linux y realizan tareas para los usuarios, como la aplicación passwd, también están confinados.
Los procesos que no están dirigidos se ejecutan en un dominio no confinado. Las reglas de política de SELinux permiten que los procesos que se ejecutan en dominios no confinados tengan casi todo el acceso. Si un proceso no confinado se ve comprometido, SELinux no evita que un atacante obtenga acceso a los recursos y datos del sistema. Las reglas de DAC aún se aplican en un dominio no confinado. Los siguientes son ejemplos de dominios no confinados:
- dominio initrc_t :los programas de inicio se ejecutan en este dominio no confinado.
- dominio kernel_t :Los procesos del núcleo no confinado se ejecutan en este dominio.
- dominio unconfined_t :los usuarios de Linux iniciaron sesión en el sistema que se ejecuta en este dominio.
Muchos dominios que están protegidos por SELinux tienen páginas man que describen cómo personalizar sus políticas. La configuración de cada política se instala en el /etc/selinux/[SELINUXTYPE] directorios. El siguiente ejemplo muestra una lista parcial de /etc/selinux directorio con políticas específicas y MLS instaladas:
# ll -lrt /etc/selinux/ total 16 -rw-r--r--. 1 root root 546 Jan 1 2017 config drwxr-xr-x. 2 root root 6 Aug 4 2017 tmp -rw-r--r--. 1 root root 2321 Aug 4 2017 semanage.conf drwxr-xr-x. 7 root root 4096 Feb 19 19:20 targeted drwx------. 2 root root 6 Feb 19 19:20 final drwxr-xr-x. 7 root root 4096 Mar 5 16:39 mls
La política específica se instala de manera predeterminada, pero la política MLS no. Para usar la política MLS, instale el paquete selinux-policy-mls:
# yum install selinux-policy-mlsGuía para principiantes de SELinux
Cómo deshabilitar o configurar SELinux en modo permisivo
Cómo verificar si SELinux está habilitado o deshabilitado
Cómo habilitar/deshabilitar los modos SELinux en RHEL/CentOS
Qué Cuáles son los modos SELinux y cómo configurarlos