Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:linux:selinux [2010/08/31 08:28]
benoit
+++ informatique:linux:selinux [2018/09/06 19:10] (Version actuelle)
@@ Ligne 160: / Ligne 160: @@
   semanage port -d -t http_port_t -p tcp 81
-==== Autorisations particulières ====
-Pour beaucoup de cas communs, il est possible d'activer des droits particuliers à l'aide de booléens. Les booléens sont des paramètres que l'on peut activer ou désactiver selon l'utilisation particulière qu'on fait des services protégés.
-Pour lister les autorisations particulières qui peuvent être autorisées lancer l'une des commandes suivantes :
-  getsebool -a
-  semanage boolean -l
-SE Linux ne permet pas pardéfaut à un utilisateur **sysadm_u** de se connecter directement en SSH. Pour que SE Linux permette cette action :
-  setsebool ssh_sysadm_login on
 ==== Labelliser les objets ====
@@ Ligne 192: / Ligne 184: @@
   reboot
-==== Auditer les règles ====
+==== Auditer les règles et ajouter des autorisations ====
 Auditer les règles permet de régler un certain nombre le problèmes d'accès lié à SELinux.
@@ Ligne 211: / Ligne 203: @@
 Pour créer des modules de règles à partir des interdictions suivre les instructions suivantes :
-  mkdir -p /etc/selinux/default/src/policy
+  mkdir -p /etc/selinux/default/src/policy && cd /etc/selinux/default/src/policy
-  cd /etc/selinux/default/src/policy
+  semodule -R
   cat /var/log/audit/audit.log |audit2allow -l -m local >> local.te
   checkmodule -M -m -o local.mod local.te
   semodule_package -o local.pp -m local.mod
   semodule -i local.pp
+  semodule -l
+  sesearch --allow
 Description des actions réalisées ci-dessus :
   - On crée un répertoire pour stocker nos fichiers sources SELinux et on se positionne dedans
-  - On affiche les logs ''/var/log/audit/audit.log'' et on génère un fichier des descriptions des nouvelles règles
+  - On recharge les modules SE Linux... Il faut attendre quelques minutes, voir quelques heures, pour laisser l'audit relever des interdictions.
+  - On affiche les logs ''/var/log/audit/audit.log'' et on génère un fichier de description des nouvelles règles à partir des interdictions relevées depuis le dernier rechargement des modules SE Linux.
   - On compile le fichier ''local.te'' pour en faire un module
   - On crée le paquetage SELinux ''local.pp''
   - On installe le paquetage SELinux ''local.pp''
+  - On vérifie que le module **local** est bien chargé
+  - On analyse si nos nouvelles règles sont bien intégrées
 **Attention :!: Vérifiez bien le contenu de ''local.te'' et modifiez le manuellement si besoin, car il se peut que vous ne vouliez pas autoriser certaines règles.**
@@ Ligne 229: / Ligne 226: @@
 Exemple d'un fichier **local.te** :
   module local 1.0;
   require {
+        type semanage_t;
         type postfix_pickup_t;
         type httpd_sys_content_t;
         type crond_t;
+        type selinux_config_t;
         class capability sys_chroot;
-        class dir search;
+        class dir { rename search };
   }
   #============= crond_t ==============
   allow crond_t httpd_sys_content_t:dir search;
   #============= postfix_pickup_t ==============
   allow postfix_pickup_t self:capability sys_chroot;
+  #============= semanage_t ==============
+  allow semanage_t selinux_config_t:dir rename;
-On peut constater qu'une partie du fichier décrit les prérequis :
+On peut distinguer 3 parties dans le fichier :
-  * type prérequis : **httpd_sys_content_t** **postfix_pickup_t** et **crond_t** et qu'il faut un certain nombre de class.
+  * l'entête
-  * class prérequise : **capability { sys_chroot }**, **dir { search }**
+  * Les pré-requis
+  * Les règles
-Et l'autre partie décrit les règles :
+**Entête : **L'entête doit comporter le nom valide du module local et la version : **module local 1.0;**
-  * allow crond_t httpd_sys_content_t:dir search;
-  * allow postfix_pickup_t self:capability sys_chroot;
-Vérifiez que le module **local** est bien chargé :
+**Pré-requis** : Il faut déclarer les type et les class nécessaires à la création du module :
-  semodule -l
+  * type prérequis : **httpd_sys_content_t, postfix_pickup_t, crond_t, semanage_t, selinux_config_t** et qu'il faut un certain nombre de class.
+  * class pré-requises : **capability sys_chroot**, **dir { rename search };**
-Vérifier que les nouvelles autorisations sont bien prises en charge à l'aide de la commande :
+**Règles** : Définir les autorisations. __Si les types et class ne sont pas déclarés dans les prérequis, les règles ne pourront pas être créées__:
-  sesearch --allow
+  * **allow crond_t httpd_sys_content_t:dir search;**
+  * **allow postfix_pickup_t self:capability sys_chroot;**
+  * **allow semanage_t selinux_config_t:dir rename;**
+==== Autorisations particulières ====
+Pour beaucoup de cas communs, il est possible d'activer des droits particuliers à l'aide de booléens. Les booléens sont des paramètres que l'on peut activer ou désactiver selon l'utilisation particulière qu'on fait des services protégés.
+Pour lister les autorisations particulières qui peuvent être autorisées lancer l'une des commandes suivantes :
+  getsebool -a
+  semanage boolean -l
+SE Linux ne permet pas pardéfaut à un utilisateur **sysadm_u** de se connecter directement en SSH. Pour que SE Linux permette cette action :
+  setsebool ssh_sysadm_login on
 ===== Quelques conseils pour changer vos habitudes après activation de SELinux =====
@@ Ligne 285: / Ligne 300: @@
 ===== Documentation et articles =====
-Ci-dessous, tous les articles et tutoriels qui m'ont aider à créer cette page sur SELinux :
+Ci-dessous, tous les articles et tutoriels qui m'ont aidé à créer cette page sur SELinux :
   * Voici un article où le concept de SE Linux est très bien expliqué : [[http://www.linuxcertif.com/doc/Comprendre%20SELinux/]]
   * Documentation de SE Linux sous RedHat : {{informatique:linux:manage-selinux-rhel5.pdf}}

ZikossWiki

Outils pour utilisateurs

Outils du site

Différences

Outils de la page