Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Trace:
модуль_selinux

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
Next revision Both sides next revision
модуль_selinux [2018/02/06 09:29]
val [Конфигурация] 		модуль_selinux [2020/07/16 14:55]
val [Управление разрешениями с использованием boolean]
Line 4: Line 4:
  
   * [[https://​defcon.ru/​os-security/​1264/​|Знакомимся с SELINUX и пытаемся понять,​ почему Дэн Уолш плачет]]   * [[https://​defcon.ru/​os-security/​1264/​|Знакомимся с SELINUX и пытаемся понять,​ почему Дэн Уолш плачет]]
 +  * [[https://​max-ko.ru/​14-upravlenie-selinux.html|Управление SELinux]]
 +
 +  * [[http://​itstickers.besthw.net/​selinux-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82-zabbix-%D0%B0%D0%B3%D0%B5%D0%BD%D1%82/​|SELinux блокирует Zabbix-агент]]
 +
 +  * [[https://​docs.fedoraproject.org/​ru-RU/​Fedora/​13/​html/​Security-Enhanced_Linux/​index.html|Security-Enhanced Linux. Linux с улучшенной безопасностью]]
   * [[https://​www.opennet.ru/​base/​sec/​selinux_setup.txt.html|Настройка и использование SELinux (selinux limit security linux mac acl)]]   * [[https://​www.opennet.ru/​base/​sec/​selinux_setup.txt.html|Настройка и использование SELinux (selinux limit security linux mac acl)]]
   * [[https://​www.ibm.com/​developerworks/​ru/​library/​l-se_linux_01/​index.html|Часть 1. SELinux - история появления,​ архитектура и принципы работы]]   * [[https://​www.ibm.com/​developerworks/​ru/​library/​l-se_linux_01/​index.html|Часть 1. SELinux - история появления,​ архитектура и принципы работы]]
Line 14: Line 19:
 # sestatus # sestatus
  
-yum install policycoreutils-python +id -Z
- +
-# man semanage +
-</​code><​code>​ +
-... +
-semanage {import,​export,​login,​user,​port,​interface,​module,​node,​fcontext,​boolean,​permissive,​dontaudit} +
-</​code><​code>​ +
-# semanage fcontext -l+
 </​code>​ </​code>​
 +
 +===== Установка типов (доменов) контекста безопасности для файловой системы =====
  
   * [[Сервис HTTP#​Установка и запуск сервера Apache]]   * [[Сервис HTTP#​Установка и запуск сервера Apache]]
Line 33: Line 33:
 # mv /​root/​index.html /​var/​www/​html/​index.html # mv /​root/​index.html /​var/​www/​html/​index.html
 # ls -Za /​var/​www/​html/​ # ls -Za /​var/​www/​html/​
 +
 # chcon -v -t httpd_sys_content_t /​var/​www/​html/​index.html # chcon -v -t httpd_sys_content_t /​var/​www/​html/​index.html
 +
 +  или более правильно
 +
 +# yum install setroubleshoot
 +# sealert -a /​var/​log/​audit/​audit.log
 +
 +# yum install policycoreutils-python-utils
 +# semanage fcontext -l | grep '/​var/​www'​
 +
 +# restorecon -v /​var/​www/​html/​index.html
 </​code>​ </​code>​
  
-  ​* [[Сервис Firewall#​CentOS]] firewalld+===== Добавление сетевых портов к типу (домену) контекста безопасности ===== 
 + 
 +  ​* [[Сервис Firewall#​CentOS]] firewalld ​(для демонстрации темы можно отключить) 
 +  * [[https://​blog.tinned-software.net/​change-ssh-port-in-centos-with-selinux/​|Change SSH port in CentOS with SELinux]]
  
 <​code>​ <​code>​
 # ps axZ | grep ssh # ps axZ | grep ssh
-yum install setools-console + 
-sesearch ​--allow | grep sshd_t | grep port+ss -tupanZ | grep ssh 
 + 
 +runcon ​-t sshd_t ​-r system_r -u system_u /​usr/​sbin/​sshd -p 2222 -d 
 + 
 +# semanage port -l | grep ssh
  
 # semanage port -a -t ssh_port_t -p tcp 2222 # semanage port -a -t ssh_port_t -p tcp 2222
-# yum install policycoreutils-devel +
-# sepolicy network -a /​usr/​sbin/​sshd+
 # semanage port -d -t ssh_port_t -p tcp 22 # semanage port -d -t ssh_port_t -p tcp 22
 </​code>​ </​code>​
  
-  * [[Сервис XINETD]] +===== Управление разрешениями с использованием boolean ===== 
-  * [[Средства программирования shell#Web сервер на shell]]+ 
 +  * [[http://​itstickers.besthw.net/​zabbix-server-is-not-running-the-information-displayed-may-not-be-current/​|Zabbix server is not running: the information displayed may not be current]]
  
 <​code>​ <​code>​
-# runcon -t inetd_child_t -r system_r -u system_u cat /​etc/​passwd +# semanage boolean -l | grep zabbix
-# runcon -t httpd_t -r system_r -u system_u cat /​etc/​passwd +
-</​code><​code>​ +
-# semanage boolean -l+
 ... ...
-httpd_can_connect_ldap+ 
 +или 
 + 
 +# getsebool -a | grep zabbix
 ... ...
 +
 +# setsebool -P httpd_can_connect_zabbix on
 </​code>​ </​code>​
 ===== Разработка модулей ===== ===== Разработка модулей =====
Line 72: Line 92:
 <​code>​ <​code>​
 # sestatus # sestatus
 +
 +# setenforce 0
  
 # cat /​etc/​selinux/​config # cat /​etc/​selinux/​config
модуль_selinux.txt · Last modified: 2024/04/26 14:33 by val

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki