selinux

Raoul raoul at raoul.shacknet.nu
Tue Aug 29 17:44:52 EEST 2006


On Tue, 2006-08-29 at 15:38 +0300, Christos Ricudis wrote:

> Pairnoume ena leitourgiko systhma me 5-10 apla kai eykolws diaxeirisima, 
> an kai merikws aneparkh, security primitives.
> 
> Prospa8oume na tou enswmatwsoume ena montelo asfaleias trabhgmeno apo ta 
> mallia wste na mporei na prosarmostei se
> applications pou den exoun sxediastei wste na epitrepoun "fysiologikh" 
> enswmatwsh tous s'auto to montelo.

Τραγικό παράδειγμα η μισή και πλέον ημέρα που ξόδεψα για να κάνω το
αναθεματισμένο webalizer να δουλέψει με selinux. Ακόμη κι αν φόρτωσα ένα
ειδικό module που ενεργοποιεί όλα τα audits, πάλι στο audit log
συνέχιζαν να μην εμφανίζονται AVC denials και φυσικά το webalizer
συνέχιζε να μην μπορεί να διαβάσει logs εντός των home directories. Παρά
τις φιλότιμες προσπάθειες που έκανα να γράψω policy από μόνος μου, δεν
κατάφερα τίποτα σπουδαίο.

> To montelo, xarin enos "fine-grained" access control, mas dinei th 
> dynatothta dhmiourgias policies twn opoiwn ta interactions me to 
> application software pou xrhsimopoioume einai toso periploka pou kanoun 
> poly dyskolo to verification tou kata poson h efarmogh enos dedomenou 
> policy se ena dedomeno application mas prosferei "asfaleia" xwris na 
> dhmiourgei leitourgika problhmata, poso mallon h eks'arxhs dhmiourgia 
> enos tetoiou policy.
> 
> Gia na dieykolynoume to administration nightmare poy molis 
> dhmiourghsame, arxizoume na kanoume modularization sta policies , na 
> empisteyomaste vendor-supplied security policies, kai na dhmiourgoume 
> ypshloterou epipedou administrative ergaleia poy prospa8oun na 
> dhmiourghsoun aytomatws h hmiaytomatws security policies, pragma pou mas 
> metaferei ena epipedo pio makria apo thn katanohsh twn security policies 
> pou dhmiourgoume kai tou interaction tous me tis efarmoges poy 8eloume 
> na prostateysoume.

Εδώ να σημειώσω ότι για το δικό μου επίπεδο (home user) δεν θα υπήρχε
ούτε μία στο εκατομμύριο να γράψω custom policy χωρίς κάποιο αυτόματο ή
ημιαυτόματο εργαλείο, ιδιαίτερα από τη στιγμή που δεν βρίσκω πουθενά
documentation για τα διάφορα types, roles, domains. Η αλήθεια είναι ότι
αυτά τα εργαλεία με βοήθησαν να καταλάβω σε γενικές γραμμές την selinux
policy.

Όμως για έναν επαγγελματία sysadmin αντιλαμβάνομαι ότι όλα αυτά που
γράφεις είναι απολύτως σημαντικά. Φυσικά δεν είμαι καν σε θέση να
φανταστώ πόσο φόρτο και πονοκέφαλο προκαλούν όλα αυτά όταν έχεις να
κάνεις με δεκάδες μηχανήματα και περίπλοκα configurations.

> To sigouro einai oti ola ayta mas dhmiourgoun mia poly eyxaristh 
> psyxologia asfaleias. Alla emena giati kati eksakolou8ei na mh m'aresei 
> ka8olou ?

Το βασικό ερώτημά μου είναι παρόμοιο και συνοψίζεται στο παρακάτω
παράδειγμα:
- στήνω πχ τον apache ώστε να δουλεύει όπως θέλω χωρίς selinux.
- ενεργοποιώ το selinux σε permissive mode.
- δοκιμάζω με τον browser όλες τις πιθανές normal χρήσεις ενός website,
περνάω όλα τα avc denials από κάποιο εργαλείο δημιουργίας policy και
φορτώνω τελικά τη νέα policy.
- ενεργοποιώ το selinux σε enforcing mode.
- Επαναλαμβάνω το βήμα 3 αρκετές φορές γιατί κάτι μου είχε ξεφύγει
(ταυτόχρονα βρίζοντας ασύστολα)
- τελικά το web site φαίνεται να δουλεύει σωστά (100% κάτι μου έχει
ξεφύγει, αλλά το προσπερνάω).

Τελικά, μετά από όλον αυτόν το κόπο, αυτό που κατάφερα είναι να κάνω τον
apache να δουλεψει με selinux. Με άλλα λόγια, το selinux επιτρέπει στον
apache να κάνει όλα όσα έκανε όταν αυτό ήταν απενεργοποιημένο.

Αν υπάρχει κάποιο bug στον ίδιο τον σερβερ ή σε κάποιο χρησιμοποιούμενο
web application, είναι βέβαιο ότι η selinux policy θα προστατέψει το
υπόλοιπο σύστημα ?

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20060829/cfacbe4b/attachment.pgp>


More information about the Linux-greek-users mailing list