După ce am trecut în revistă Security-Enhanced Linux (SELinux), a sosit și timpul unui exercițiu practic, asemănător cu ceea ce se poate da în timpul examinării în vederea obținerii certificării RHCSA. Trebuie reținut că o cerință din cadrul examinării RHCSA poate fi îndeplinită în mai multe moduri - alegeți-o pe cea pe care o cunoașteți cel […]

Copiați fișierele și directoarele în loc să le mutați. La copiere se atribuie contexte de securitate SELinux corecte.

Politica targeted din SELinux este cu adevărat mare, sistemul de operare consumând timp și resurse pentru a căuta informații de fiecare dată când trebuie să ia o decizie. De aceea, este folosit un cache care stochează cele mai recente decizii allow/deny ale politicii folosite. Acest cache se numește Active Vector Cache (AVC). Din acest motiv, […]

Așa cum am menționat într-un alt articol, politica targeted decide acordarea accesului unui obiect Linux la un alt obiect Linux în funcție de atributul de securitate "type", ceea ce înseamnă că celelate atribute de securitate SELinux nu contează prea mult. Totuși, trebuie să știm câte ceva și despre celelelalte atribute. Atributul de securitate "user"

Comportamentul prestabilit al politicii targeted poate fi personalizat prin configurarea unor parametri care pot activa sau dezactiva anumite reguli ale acestei politici. Parametrii rerspectivi pot lua doar două valori - off sau on. Politica SELinux are anumite reguli condiționale care sunt activate sau dezactivate, în funcție de valorile curente ale unui set de politici booleene. Acest […]

Știm deja că, atunci când creăm un fișier sau un director nou, SELinux îi atribuie automat anumite atribute de securitate. Comanda semanage fcontext -l ne oferă informații despre modul în care SELinux determină ce context de securitate este necesar să fie atribuit tuturor fișierelor și folderelor din sistem:

În articolul anterior am menționat că o politică SELinux este ca o carte uriașă care conține regulile politicii respective. SELinux conține 3 astfel de politici: targeted, minimum și mls (voi folosi termenii în engleză, pentru o mai bună recunoaștere - peste tot veți întâlni doar acești termeni, nicidecum traducerea lor). Tipul politicii se definește în fișierul […]

SELinux operează la nivel de kernel, ceea ce înseamnă că, dacă un obiect Linux (un proces, un user, etc.) încearcă să acceseze un alt obiect (de exemplu, un fișier de configurare), kernelul verifică politica SELinux atribuită obiectelor date pentru a vedea dacă accesul ar trebui permis sau nu. În fond, SELinux se compune din două […]

SELinux poate fi dezactivat complet, sau poate rula în modul pasiv (permissive) sau activ (enforcing). Așadar, înainte de a începe să folosim SELinux, trebuie să înțelegem aceste 3 moduri de lucru. SELinux dezactivat (disabled) În modul dezactivat (disabled), SELinux este oprit. Aceasta înseamnă că niciun obiect linux nu este etichetat, adică nu are atașat un […]