Hello World

====== Модуль SELinux ======

===== Конфигурация =====

  * [[https://defcon.ru/os-security/1264/|Знакомимся с SELINUX и пытаемся понять, почему Дэн Уолш плачет]]
  * [[https://max-ko.ru/14-upravlenie-selinux.html|Управление SELinux]]

  * [[https://habr.com/ru/companies/otus/articles/460387/|Руководство для начинающих по SELinux]]
  * [[https://www.opennet.ru/base/sec/selinux_setup.txt.html|Настройка и использование SELinux (selinux limit security linux mac acl)]]
  * [[https://www.ibm.com/developerworks/ru/library/l-se_linux_01/index.html|Часть 1. SELinux - история появления, архитектура и принципы работы]]

  * [[https://www.server-world.info/en/note?os=CentOS_7&p=selinux&f=11|SELinux : Use sesearch]]


<code>
# sestatus -v

# id -Z
</code>

===== Установка типов (доменов) контекста безопасности для файловой системы =====

  * [[Сервис HTTP#Установка и запуск сервера Apache]]

<code>
# echo "<h1>Hello World</h1>" > /var/www/html/index.html
# ls -Za /var/www/html/

# echo "<h1>Hello World 2</h1>" > /root/index.html
# mv /root/index.html /var/www/html/index.html
# ls -Za /var/www/html/

# chcon -v -t httpd_sys_content_t /var/www/html/index.html

  или более правильно

# yum install setroubleshoot
# sealert -a /var/log/audit/audit.log

# yum install policycoreutils-python-utils
# semanage fcontext -l | grep '/var/www'

# restorecon -v /var/www/html/index.html
</code>

===== Добавление сетевых портов к типу (домену) контекста безопасности =====

  * [[Сервис Firewall#CentOS]] firewalld (для демонстрации темы можно отключить)

  * [[https://access.redhat.com/documentation/ru-ru/red_hat_enterprise_linux/5/html/deployment_guide/rhlcommon-section-0085|50.2.11. Running a Command in a Specific Security Context]]
  * [[https://blog.tinned-software.net/change-ssh-port-in-centos-with-selinux/|Change SSH port in CentOS with SELinux]]

<code>
# ps axZ | grep ssh

# ss -tupanZ | grep ssh

# runcon -t sshd_t -r system_r -u system_u /usr/sbin/sshd -p 2222 -d

# semanage port -l | grep ssh

# semanage port -a -t ssh_port_t -p tcp 2222

# semanage port -d -t ssh_port_t -p tcp 22
</code>

===== Управление разрешениями с использованием boolean =====

  * [[https://wiki.centos.org/TipsAndTricks/SelinuxBooleans|SELinux Booleans]]
  * [[https://serverfault.com/questions/666045/zabbix-server-selinux-policy|Zabbix server SELinux policy]]

<code>
# semanage boolean -l | grep zabbix
...

или

# getsebool -a | grep zabbix
...

# setsebool -P httpd_can_connect_zabbix on
</code>

===== Аудит SELinux Policy утилитой sesearch =====

  * [[https://www.lisenet.com/2019/auditing-the-selinux-policy-with-sesearch/|Auditing the SELinux Policy with sesearch]]

<code>
# yum install -y setools-console

# sesearch --allow | tee se_allow.txt
...
allow sshd_t ssh_port_t:tcp_socket name_bind;
...
allow httpd_t zabbix_port_t:tcp_socket name_connect; [ httpd_can_connect_zabbix ]:True
...
</code>

===== Разработка модулей =====

  * [[https://wiki.gentoo.org/wiki/SELinux/Tutorials/Creating_your_own_policy_module_file|SELinux/Tutorials/Creating your own policy module file]]
  * [[http://www.billauer.co.il/selinux-policy-module-howto.html|Writing a targeted policy module for SELinux (howto tutorial slides)]]

===== Отключение =====

  * [[http://www.crypt.gen.nz/selinux/disable_selinux.html|How to Disable SELinux]]

<code>
# sestatus

# setenforce 0

# cat /etc/selinux/config
</code><code>
...
SELINUX=disabled
...
</code>