Cómo establecer una política en SELinux

Una de las principales razones por las que la gente elige Linux es la seguridad que ofrece. Es por eso que encontrará Linux en servidores y estaciones de trabajo profesionales. SELinux es una característica de seguridad de Linux. Ha sido parte del kernel estándar de Linux durante bastante tiempo, y cualquier distribución moderna tiene soporte para SELinux.

Hay varias formas diferentes de operar SELinux. Esto está definido por la política de SELinux. En esta guía, aprenderá más sobre las políticas de SELinux y cómo establecer una política en SELinux.

Descripción general de la política de SELinux

Hagamos un resumen rápido de SELinux y sus políticas. SELinux es un acrónimo de "Security-Enhanced Linux.”Comprende una serie de parches de seguridad para el kernel de Linux. SELinux fue desarrollado originalmente por la Agencia de Seguridad Nacional (NSA) y lanzado a la comunidad de desarrollo de código abierto en 2000 bajo la licencia GPL. Se fusionó con el kernel de Linux de la línea principal en 2003.

SELinux proporciona MAC (Control de acceso obligatorio) en lugar del DAC (Control de acceso discrecional) predeterminado. Esto permite la implementación de algunas políticas de seguridad que no serían posibles de implementar de otra manera.

Las políticas de SELinux son conjuntos de reglas que guían el motor de seguridad de SELinux. Una política define tipos de objetos de archivo y dominios para procesos. Los roles se utilizan para limitar el acceso a los dominios. Las identidades de usuario determinan qué roles se pueden lograr.
Hay dos políticas SELinux disponibles:

• Dirigido: la política predeterminada. Implementa control de acceso a procesos específicos. Los procesos se ejecutan en un dominio confinado donde el proceso tiene acceso limitado a los archivos. Si un proceso confinado se ve comprometido, el daño se mitiga. En el caso de los servicios, solo se colocan servicios específicos en estos dominios.
• MLS: significa seguridad multinivel. Consulte la documentación de Red Hat sobre la política MLS de SELinux.

Los procesos que no están dirigidos se ejecutarán en un dominio no confinado. Los procesos que se ejecutan en dominios no confinados disfrutan de un acceso casi completo. Si dicho proceso se ve comprometido, SELinux no ofrece ninguna mitigación. El atacante puede obtener acceso a todo el sistema y los recursos. Sin embargo, las reglas de DAC aún se aplican a los dominios no confinados.
A continuación, se muestra una breve lista de ejemplos de dominios no confinados:

• dominio initrc_t: programas init
• dominio kernel_t: procesos del kernel
• dominio inconfined_t: usuarios conectados al sistema Linux

Cambio de la política de SELinux

Los siguientes ejemplos se realizan en CentOS 8. Todos los comandos de este artículo se ejecutan como usuario root. Para otras distribuciones, consulte el tutorial apropiado sobre cómo habilitar SELinux.
Para cambiar una política en SELinux, comience por verificar el estado de SELinux. El estado predeterminado debe ser SELinux habilitado en el modo "Cumplimiento" con la política "dirigida".

$ sestatus

Para cambiar la política de SELinux, abra el archivo de configuración de SELinux en su editor de texto favorito.

$ vim / etc / selinux / config

Aquí, nuestro objetivo es la variable "SELINUXTYPE" que define la política de SELinux. Como puede ver, el valor predeterminado es "segmentado."

Todos los pasos demostrados en este ejemplo se realizan en CentOS 8. En el caso de CentOS, la política MLS no viene instalada por defecto. Es probable que este también sea el caso en otras distribuciones. Aprenda a configurar SELinux en Ubuntu aquí. Asegúrese de instalar el programa primero. En el caso de Ubuntu, CentOS, openSUSE, Fedora, Debian y otros, el nombre del paquete es “selinux-policy-mls."

$ dnf instalar selinux-policy-mls

En este caso, cambiaremos la política a MLS. Cambie el valor de la variable en consecuencia.

$ SELINUXTYPE = mls

Guarde el archivo y salga del editor. Para que estos cambios surtan efecto, debe reiniciar el sistema.

$ reiniciar

Verifique el cambio emitiendo lo siguiente.

$ sestatus

Cambio de modos SELinux

SELinux puede operar en tres modos diferentes. Estos modos determinan cómo se aplica la política.

• Aplicado: cualquier acción contra la política se bloquea y se informa en el registro de auditoría.
• Permisivo: cualquier acción contra la política solo se informa en el registro de auditoría.
• Deshabilitado: SELinux está deshabilitado.

Para cambiar temporalmente el modo en SELinux, use el comando setenforce. Si se reinicia el sistema, el sistema volverá a la configuración predeterminada.

$ setenforce Enforcing

$ setenforce permisivo

Para cambiar permanentemente el modo en SELinux, debe modificar el archivo de configuración de SELinux.

$ vim / etc / selinux / config

Guarde y cierre el editor. Reinicie el sistema para que los cambios surtan efecto.
Puede verificar el cambio usando el comando sestatus.

$ sestatus

Conclusión

SELinux es un mecanismo poderoso para hacer cumplir la seguridad. Con suerte, esta guía lo ayudó a aprender a configurar y administrar el comportamiento de SELinux.
Computación feliz!