SELinux

Stručný popis instalace a konfigurace SELinuxu v Debianu.

Předpokládám distribuční kernel nebo podporu SELinuxu v jádře (CONFIG_AUDIT, SELinux, XATTRs). Souborové systémy ext2, ext3, xfs a jfs. Nedoporučuje se exim, na místo něj je velmi doporučován postfix. Je potřeba jej vyhodit z jailu příkazem postfix-nochroot. Do /etc/udev/udev.conf přidám pro zakázání .static:

no_static_dev="1"

Dále zakážu zálohování /etc/shadow a gshadow v /etc/cron.daily/standard.

Nainstaluji balíčky selinuxu:

#aptitude --without-recommends install selinux-basics selinux-policy-default

Není špatné (také bez doporučených) instalovat selinux-policy-doc. Aktivace podpory selinuxu v jádře zapneme

#selinux-activate

Po restartu, který zabere nějakou dobu (oštítkování souborového systému) se systém restartne ještě jednou. Pak hotovou instalaci otestujeme:

#check-selinux-installation

Pokud se neobjeví závažné chyby ani v syslogu, máme funkční selinux. Můžeme přepnout do enforce mode:

#setenforce 1

Definitivně zapneme enforce mód

#selinux-config-enforcing

Hotovo. Enforce zakážeme nastavením enforcing=0 v příkazovém řádku jádra.

Podívejme se na kontext shellu:

#id -Z

Které procesy jsou confinovány:

#ps axZ |grep -v unconfined_t|grep -v kernel_t|grep -v initrc_t

Pro instalované služby jsou moduly zavedeny při instalaci selinuxu. Pro nově přidávané služby je potřeba modul přidat dodatečně (zde apache):

#semodule -i /usr/share/selinux/default/apache.pp

Pro vypsání file kontextů používáme ls -Z.

Pro změny typů souborů používáme chcon:

#chcon -u system_u -t named_cache_t /etc/bind/slaves