Security-Enhanced Linux (SELinux) es una arquitectura de seguridad para los sistemas linux que otorga a los administradores mayor control sobre las personas que
pueden acceder al sistema. Originalmente, la Agencia de Seguridad
Nacional (NSA) de Estados Unidos desarrolló este producto como una serie
de parches para el kernel de linux utilizando los módulos de seguridad de Linux (LSM).
SELinux se puso a disposición de la comunidad open source en el año 2000, y se integró al kernel upstream de Linux en 2003
Cuando una aplicación o un proceso, conocidos como sujetos, solicitan acceso a algún objeto, por ejemplo un archivo, SELinux consulta la caché de vector de acceso (AVC), donde se almacenan los permisos de los objetos y los sujetos.
En caso de que SELinux no pueda tomar una decisión en función de los permisos almacenados en la caché, envía la solicitud al servidor de seguridad, que analiza el contexto de seguridad de la aplicación o del proceso y del archivo. El contexto de seguridad se aplica desde la base de datos de políticas de SELinux. Luego, se otorga o se niega el permiso.
En caso de que se niegue, aparecerá el mensaje "avc: denied" en /var/log.messages.
La política específica es la opción predeterminada, y comprende una serie de procesos, tareas y servicios, mientras que la MLS es muy compleja y, generalmente, solo la utilizan los organismos gubernamentales.
Para saber con qué configuración se ejecuta el sistema, basta con consultar el archivo /etc/sysconfig/selinux. El archivo contendrá una sección donde se indicará si SELinux se encuentra en modo permisivo, impositivo o deshabilitado, y qué política se debería cargar.
Este producto trabaja como sistema de etiquetado, lo cual significa que hay una etiqueta de SELinux asociada a cada archivo, proceso y puerto del sistema. Las etiquetas son un método lógico para agrupar elementos, y el kernel las gestiona durante el proceso de arranque.
El formato de las etiquetas es user:role:type:level (el nivel es opcional). El usuario, la función y el nivel se utilizan en implementaciones más avanzadas de SELinux, como la MLS. El tipo de la etiqueta es el aspecto más importante de la política específica.
SELinux utiliza la aplicación del tipo de etiqueta para aplicar cierta política definida en el sistema; es decir, las políticas de SELinux definen si un proceso que se ejecuta con cierto tipo de etiqueta puede acceder a un archivo que tiene determinado tipo de etiqueta.
Para que el sistema vuelva a etiquetar el sistema de archivos automáticamente, cree un archivo vacío con el nombre .autorelabel en el directorio raíz y reinicie el sistema. En caso de haber demasiados errores, deberá reiniciar el sistema en modo permisivo para que el arranque se ejecute correctamente. Una vez que todos los elementos se hayan vuelto a etiquetar, establezca el modo de SELinux en impositivo con /etc/selinux/config y reinicie el sistema, o ejecute el comando setenforce 1.
Si el administrador de sistemas no conoce bien la línea de comandos, puede utilizar las herramientas gráficas disponibles para gestionar SELinux.
SELinux brinda una capa de seguridad adicional para su sistema, que se encuentra integrada en las distribuciones linux.Si su sistema está en riesgo, debe permanecer activado para poder protegerlo.
Como desabilitarlo:
setenforce 0
sed -i "s/SELINUX=.*/SELINUX=permissive/" /etc/sysconfig/selinux
con ayuda de sed podrias hacer un scrip
SELinux se puso a disposición de la comunidad open source en el año 2000, y se integró al kernel upstream de Linux en 2003
¿Cómo funciona SELinux?
SELinux define los controles de acceso para las aplicaciones, los procesos y los archivos dentro de un sistema. Utiliza las políticas de seguridad, que consisten en un conjunto de reglas que indican a SELinux a qué se puede acceder.Cuando una aplicación o un proceso, conocidos como sujetos, solicitan acceso a algún objeto, por ejemplo un archivo, SELinux consulta la caché de vector de acceso (AVC), donde se almacenan los permisos de los objetos y los sujetos.
En caso de que SELinux no pueda tomar una decisión en función de los permisos almacenados en la caché, envía la solicitud al servidor de seguridad, que analiza el contexto de seguridad de la aplicación o del proceso y del archivo. El contexto de seguridad se aplica desde la base de datos de políticas de SELinux. Luego, se otorga o se niega el permiso.
En caso de que se niegue, aparecerá el mensaje "avc: denied" en /var/log.messages.
La configuración de SELinux
Hay muchas formas de configurar SELinux para proteger el sistema. Las más comunes son la política específica o la seguridad de varios niveles (MLS).La política específica es la opción predeterminada, y comprende una serie de procesos, tareas y servicios, mientras que la MLS es muy compleja y, generalmente, solo la utilizan los organismos gubernamentales.
Para saber con qué configuración se ejecuta el sistema, basta con consultar el archivo /etc/sysconfig/selinux. El archivo contendrá una sección donde se indicará si SELinux se encuentra en modo permisivo, impositivo o deshabilitado, y qué política se debería cargar.
Aplicación de tipo y etiquetado de SELinux
La aplicación de tipo y el etiquetado son los conceptos más importantes de SELinux.Este producto trabaja como sistema de etiquetado, lo cual significa que hay una etiqueta de SELinux asociada a cada archivo, proceso y puerto del sistema. Las etiquetas son un método lógico para agrupar elementos, y el kernel las gestiona durante el proceso de arranque.
El formato de las etiquetas es user:role:type:level (el nivel es opcional). El usuario, la función y el nivel se utilizan en implementaciones más avanzadas de SELinux, como la MLS. El tipo de la etiqueta es el aspecto más importante de la política específica.
SELinux utiliza la aplicación del tipo de etiqueta para aplicar cierta política definida en el sistema; es decir, las políticas de SELinux definen si un proceso que se ejecuta con cierto tipo de etiqueta puede acceder a un archivo que tiene determinado tipo de etiqueta.
Habilitación de SELinux
Si SELinux está deshabilitado en su entorno, puede habilitarlo editando /etc/selinux/config y estableciendo el ajuste SELINUX=permissive. Dado que no estaba habilitado actualmente, no es conveniente configurarlo como impositivo de inmediato, ya que es probable que haya elementos mal etiquetados en el sistema que podrían impedir su arranque.Para que el sistema vuelva a etiquetar el sistema de archivos automáticamente, cree un archivo vacío con el nombre .autorelabel en el directorio raíz y reinicie el sistema. En caso de haber demasiados errores, deberá reiniciar el sistema en modo permisivo para que el arranque se ejecute correctamente. Una vez que todos los elementos se hayan vuelto a etiquetar, establezca el modo de SELinux en impositivo con /etc/selinux/config y reinicie el sistema, o ejecute el comando setenforce 1.
Si el administrador de sistemas no conoce bien la línea de comandos, puede utilizar las herramientas gráficas disponibles para gestionar SELinux.
SELinux brinda una capa de seguridad adicional para su sistema, que se encuentra integrada en las distribuciones linux.Si su sistema está en riesgo, debe permanecer activado para poder protegerlo.
- Enforcing: El estado de cumplimiento niega todo acceso no autorizado. En este estado, nos referimos a él como SELinux habilitado.
- Permissive: En Permisivo, SELinux imprime advertencias. A diferencia del primer estado, este estado permite el acceso no autorizado pero muestra una advertencia.
- Disable: El estado Desactivar de SELinux significa que la función está desactivada y permite el acceso sin advertencias.
Como desabilitarlo:
setenforce 0
sed -i "s/SELINUX=.*/SELINUX=permissive/" /etc/sysconfig/selinux
con ayuda de sed podrias hacer un scrip
Comentarios
Publicar un comentario