SELinuxservice
Материал из pNp Wiki
Конфигурирование SELinux для поддержки сервиса
Предварительные требования
- Виртуальная машина с двумя сетевыми интерфейсами
- Установленные пакеты:
bash-completion,policycoreutils,policycoreutils-python,policycoreutils-devel,setroubleshoot-server
Общая информация
SELinux представляет собой систему принудительного контроля доступа и позволяет разделить
пользовательские данные от сервисов которые были скомпрометированы. SELinux позволяет
определить какой процесс, к каким сущностям (файлы, директории, порты) может иметь доступ. Уровень доступа к сущностям
носит название контекст. Терминология SELinux:
| Название элемента | Описание |
|---|---|
| Policy | Набор правил, определяющих какой источник может иметь доступ к какой цели |
| Source domain | Объект, пытающийся получить доступ к цели. Обычно пользователь или процесс |
| Target domain | Сущность, к которой пытается получить доступ источник. Обычно файл или порт |
| Context | Метка безопасности, использующаяся для классификации объектов в SELinux |
| Rule | Конкретная часть политики, которая определяет какой источник имеет какие правила доступа к какой цели. |
| Lables | Тоже самое, что и контекст, определяет какой источник имеет какие правила доступа к какой цели. |
В системе SELinux может находится в 3 состояниях:
enforcing - Политики SELinux включены и применяются.
permissive - Политики SELinux включены, однако, вместо их применения, печатаются предупреждения. Данное поведение рекомендовано для отладки и поиска ошибок.
disabled - Политики SELinux не применяются. Не рекомендовано к использованию, ибо ведет к несдаче экзамена.
