👈 🧓🏼 🧛🏾 पाक कला NSA SELinux 👔 🚓 👨🏻‍🔬

हाय हमर! इस पोस्ट के साथ, मैं एनएसए विषय पर सम्मानित समुदाय को गपशप से थोड़ा विचलित करना चाहता हूं, और इसके बजाय "टर्न सेन्स्यूक्स" और "एक छोटे से हिस्से को समझने के लिए सबसे अच्छे वर्षों को समर्पित" के बीच एक क्रॉस लिखकर उनकी प्रौद्योगिकियों में से एक के विवरण में अंतर भरें। वास्तव में, ये दोनों दृष्टिकोण सत्य से समान रूप से दूर हैं - प्रौद्योगिकी काफी सरल, पारदर्शी है और आपको बहुत कुछ करने की अनुमति देती है। हालांकि, मैं बड़ी संख्या में पत्र, और बल्कि संकीर्ण लक्षित दर्शकों के बारे में चेतावनी देना चाहता हूं, क्योंकि निम्नलिखित सभी के लिए दिलचस्प नहीं होगा। यदि आप लंबे समय से यह समझना चाहते हैं कि SELinux क्या है, लेकिन यह नहीं पता था कि किस तरफ जाना है, तो यह लेख आपके लिए है। यदि आप लंबे समय तक यह सब जानते हैं और इसे सफलतापूर्वक लागू करते हैं, तो मैंने पर्याप्त अशुद्धियां की हैं ताकि हम टिप्पणियों में इस पर चर्चा कर सकें। खैर, विश्व-प्रसिद्ध सूचना सुरक्षा विशेषज्ञ बहुत ही सुरक्षित रूप से छोड़ सकते हैं और खेलना शुरू कर सकते हैं, मेरे पास जारी रखने की योजना है :-)
मैं सामान्य रूप से एनएसए से संबंधित विषयों पर स्पर्श नहीं करूंगा, आरएसए, वायरटैपिंग और अन्य मीडिया पहलुओं को डिक्रिप्ट करने की क्षमता - कोई प्रचार, कोई FUD, केवल तकनीक। हम अलग-अलग स्रोतों में गतिविधि की अलग-अलग डिग्री प्राप्त करेंगे, हमारी स्थितियों को एमएलएस के बहुत दिल से जोड़ेंगे, संभवतः हमारी कमजोरियों (हम भी गलतियां करते हैं) का परिचय देते हैं, और उसके बाद हम परीक्षण को ~~बंद करने~~ और चलाने की ~~कोशिश करते हैं~~ । दूसरे शब्दों में, मैं वर्णन करता हूं कि क्या और कैसे, और उसके बाद आप किसी अज्ञात जानवर के रूप में SELinux को नहीं देखते हैं और संभावित दुश्मन से निवासी बुराई है, लेकिन आप साहसपूर्वक अच्छे के लिए इस तकनीक का उपयोग करना शुरू करते हैं। विशेष रूप से यह देखते हुए कि यह आपके सभी एंड्रॉइड (> 4.3) और कई वितरणों में पहले से ही शामिल है।
तो, अगर आप अभी भी रुचि रखते हैं, और आप कई स्पॉइलर में से एक में एक सप्ताह तक बैठने से डरते नहीं हैं, तो

प्रारंभिक रीडिंग

मेरा मतलब है, आपके पास पहले से ही आभासी वातावरण में अपने पसंदीदा वितरण को तैनात करने के लिए पर्याप्त लिनक्स अनुभव है। मैं डेबियन के उदाहरण पर सब कुछ करूंगा, लेकिन यदि आप इस पथ को दोहराने का फैसला करते हैं, तो यह सब (और बहुत आवश्यक) सबसे सुविधाजनक और परिचित वितरण किट पर किया जा सकता है - इस प्रक्रिया में आप इसके बारे में बहुत कुछ सीखेंगे। मैंने इस लेख को शैक्षिक सामग्री के रूप में लिखने की कोशिश की ताकि कोई भी कदम से कदम दोहरा सके। मेरा यह भी मतलब है कि अंग्रेजी में तकनीकी दस्तावेज पढ़ना आपके लिए मुश्किल नहीं होगा - रूसी में SELinux पर अभी भी बहुत कम जानकारी है।

सामान्य प्रौद्योगिकी सूचना

SELinux के इर्द-गिर्द इतनी अफवाहें हैं कि आपको आश्चर्य होगा कि हमारी परिचयात्मक मात्रा कितनी छोटी है, केवल तीन चीजें हैं:

आरएच गाइड : यदि कोई टीम स्पष्ट नहीं है, तो उच्च संभावना के साथ आपको इसमें एक विवरण मिलेगा। इसे एक अलग टैब में खोलें, उपयोगी।
एली बिलॉयर द्वारा एक व्याख्यान का सारांश : इसे तथ्यों का मुख्य संग्रह मानें। इससे आप जल्दी से समझ सकते हैं कि क्या है, और पता है कि Google से क्या पूछना है।
लेखन नीतियां । दस साल पुराने दस्तावेज़ के बावजूद, यह आंतरिक डिवाइस SELinux को समझने के लिए पर्याप्त महत्वपूर्ण बिंदुओं का वर्णन करता है, और इसे कैसे चुनना है।

यह मुख्य बात है कि मैं सेटअप के साथ आगे बढ़ने से पहले पढ़ने की सलाह देता हूं, अन्यथा आप इन दस्तावेजों पर लगातार लौटेंगे। कई अन्य संसाधन हैं , लेकिन यदि आप बूलियन चर को चालू / बंद करने के अलावा कुछ करना चाहते हैं, तो आप निश्चित रूप से उन तक पहुंचेंगे।

इसलिए, जब आप यह सब पढ़ेंगे, तो हम खुद को सरल सवालों के साथ परख सकते हैं:

Unconfined_t / unconfined_u क्या है, और SELinux पर इसका परीक्षण क्यों नहीं किया जा सकता है?
एक विशेष मामला, एमएलएस या एमसीएस क्या है?
* .Te और * .if से * .fc में क्या अंतर है?

उत्तर

असीमित डोमेन / उपयोगकर्ता। उसी सफलता के साथ, आप SELinux को किसी अन्य मशीन पर कॉन्फ़िगर कर सकते हैं।
एमसीएस। MLS == MLS_SENS = 1 के साथ MCS।
मौलिक रूप से - कुछ भी नहीं। हालांकि txt लिखने में, मुख्य Makefile को ठीक करने के लिए मत भूलना।

समस्या बयान और पूर्व निर्धारित

अब जबकि हम पहले से ही जानते हैं कि हम क्या चाहते हैं, लेकिन यह नहीं जानते कि हम इसे कैसे लागू करेंगे, हम प्रयोग के लक्ष्यों को तैयार कर सकते हैं:

हम SELinux MLS को कॉन्फ़िगर करना चाहते हैं (क्योंकि हमने इसे ले लिया है, इसे अधिकतम करने के लिए करते हैं, और रिपॉजिटरी से तैयार नहीं ~~है-> अगला-> सहमत~~ );
हम एक आधार के रूप में RefPolicy लेना चाहते हैं ;
ठीक है, उसके बाद हम सबसे खराब स्थिति की जांच करना चाहते हैं - उन्होंने हमें तोड़ दिया, और न केवल टूट गया, बल्कि यूआईडी = 0 मिला, और न केवल इसे मिला, बल्कि निरंतर शेल एक्सेस के साथ, और हम उपयोगकर्ता_यू को रूट को फिर से बनाना भूल गए। मैं जानबूझकर विशेष रूप से ऐसी कई धारणाएं बनाता हूं, हम सबसे खराब स्थिति पर विचार करेंगे;
हम न्यूनतम आवश्यक प्रतिलिपि कॉन्फ़िगर करेंगे, अन्यथा यह एक लेख नहीं होगा, लेकिन लगभग पांच सौ पृष्ठों की एक गाथा;

सर्वर

आपकी अनुमति से, मैं इसे स्पॉइलर के नीचे रखूंगा। YMMV, आपके पास डेबियन नहीं हो सकता है, और KVM में स्थापना अलग नहीं है। वर्चुअल वातावरण में न्यूनतम कॉन्फ़िगरेशन में स्थापित कोई भी वितरण करेगा। वर्चुअल - क्योंकि यह अधिक सुविधाजनक है, न्यूनतम - क्योंकि यह तेज़ है।

विवरण

विशिष्ट डेबियन विशेषज्ञ स्थापना, छोटी बारीकियाँ:

डिस्क ब्रेकडाउन (जितना 4GB!):
- / dev / vda1 64MB के रूप में / बूट, ext2।
- बाकी के रूप में LUKS: aes256: cbc-Essiv: पासफ़्रेज़, सभी सेटिंग्स डिफ़ॉल्ट रूप से अधिकतम हैं।
- शेष के अंदर - सब कुछ LVM के अंतर्गत है।

यहाँ तुरंत fstab है

root@sandbox:~# cat /etc/fstab # /etc/fstab: static file system information. # <file system> <mount point> <type> <options> <dump> <pass> /dev/vda1 /boot ext2 defaults 0 2 /dev/mapper/vg0-root / btrfs defaults 0 1 /dev/mapper/vg0-usr /usr btrfs defaults 0 2 /dev/mapper/vg0-var /var btrfs defaults 0 2 /dev/mapper/vg0-tmp /tmp btrfs defaults 0 2 /dev/mapper/vg0-rhome /root btrfs defaults 0 2 /dev/mapper/vg0-swap none swap sw 0 0

बाद में परीक्षण सुविधा के लिए अलग सेक्शन बनाए गए हैं।
हमने एक एसएसएच सर्वर के साथ एक न्यूनतम प्रणाली रखी, इससे ज्यादा कुछ नहीं।
स्थापना को पूरा करने से पहले, हम तुरंत शेल को कॉल करते हैं और सिस्टम कुंजी को याद करते हैं:
```
 root@sandbox:~# ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key 256 f6:9b:ad:dd:93:cb:3d:c2:83:76:45:c3:02:e8:6a:1d root@sandbox (ECDSA) 
```

स्थापना के बाद, हम ssh के माध्यम से जाते हैं और अपने प्रयोगों के लिए सिस्टम को आधार संस्करण में लाते हैं, मेरे मामले में यह कुछ इस तरह था:

 sed -i 's/wheezy/jessie/g' /etc/apt/sources.list # that's no bloody enterprise aptitude update && aptitude dist-upgrade -VR # let's go testing, it's stable enough aptitude install vim bash-completion deborphan -VR # a little comfort couldn't hurt aptitude install policycoreutils auditd setools selinux-basics -VR # last is just helper scripts, optional vim /etc/network/interfaces # make interfaces static aptitude purge isc-dhcp-client console-setup console-setup-linux kbd iproute module-init-tools $(deborphan)

हम ssh के लिए कुंजी बनाते हैं, उन्हें रूट के लिए सर्वर पर रजिस्टर करते हैं:

 @local$ ssh-keygen -b 521 -t ecdsa -f selinux-test @remote# mkdir /root/.ssh && cat selinux-test.pub > /root/.ssh/authorized_keys2 && chown && chmod

खैर, अंत में, हम इकट्ठा होते हैं और अपनी कर्नेल डालते हैं - हम नीति के नवीनतम संस्करण, मॉड्यूल के न्यूनतम आवश्यक सेट का समर्थन करना चाहते हैं, PaX और GRSecurity पैच के साथ प्रयोग करने के लिए (जो वैसे तो SELinux के साथ भी मिलता है, लेकिन मैं शायद इसका एक और समय का वर्णन करूंगा)। सामान्य तौर पर, वैनिला कर्नेल हमें वर्तमान चरण में सबसे अच्छा सूट करता है। हां, डेबियन रास्ते के बारे में बात कर रहे दर्शकों की आवाज, मैं आपको सुनता हूं - लेकिन आज समुराई का तरीका इस तरह के ढांचे तक सीमित नहीं है। इस प्रयोग में, हम अभी भी बिना किसी प्रतिबंध के UID = 0 हैं, और हम जो चाहते हैं वह करते हैं। तो, एरिज़ोना (या स्थानीय virtualka) के लिए थोड़ा सा हीटिंग:

 mkdir src && cd src && wget -c http://kernel.org/pub/linux/kernel/v3.0/linux-3.10.18.tar.bz2 && tar jxf linux*tar.bz2 && cd linux* && make menuconfig && make -j$((2* $(grep processor /proc/cpuinfo | wc -l))) deb-pkg && make clean

कॉन्फ़िगरेशन चरण में, SELinux सक्षम करें (हाँ, यह वाक्य अभीष्ट है!): सेलिनक्स कर्नेल ऑप्स, इमेजशेक के लिए क्षमा करें, हैबस्ट्रेज मेरी आईडी के साथ ठीक नहीं है

.config

 # if you are lazy to configure yourself, here's my .config, usable on KVM+libvirt wget -O - $aboveimage | dd bs=1 skip=3991 | xzcat

हमारा मानना है कि प्रयोगों का आधार तैयार है।

स्वचालित नीति सभा

स्थानीय मशीन पर नीतियों को एकत्र करना और उन्हें सर्वर पर एक डिबेट पैकेज के रूप में स्थापित करना मेरे लिए अधिक सुविधाजनक था। इसलिए मैंने कम से कम प्रतिरोध का रास्ता अपनाया।

up'n'enter शैली

 wget http://oss.tresys.com/files/refpolicy/refpolicy-2.20130424.tar.bz2 tar jxf refpolicy-2.20130424.tar.bz2 cp -rp refpolicy custom #all our modifications asroot# mkdir /usr/share/selinux/custom # so we can 'make install' here asroot# mkdir /etc/selinux/custom asroot# chown $USER:$USER /etc/selinux/custom /usr/share/selinux/custom asroot# touch /etc/selinux/custom/setrans.conf && chown $USER:$USER /etc/selinux/custom/setrans.conf # we'll need it later asroot# aptitude install selinux-utils python-selinux policycoreutils checkpolicy # these are for policy build

अगला, पैकेज बिल्ड स्क्रिप्ट:

 #!/bin/bash # sample deb build for custom selinux policy # harvests policy from local system version='0.0.1' name='selinux-policy-custom' description='Custom MLS SELinux policy' cf="${name}-control" cc="${name}-Copyright" # depends and conflicts shamessly ripped from selinux-policy-mls read -d '' cheader << EOF Section: non-free Priority: optional Homepage: http://selinux/ Standards-Version: 3.9.2 Package: ${name} Version: ${version} Maintainer: secadm_r <here.can+be@your.email> Pre-Depends: Depends: policycoreutils (>= 2.1.0), libpam-modules (>= 0.77-0.se5), python, libselinux1 (>= 2.0.35), libsepol1 (>= 2.1.0) Conflicts: cron (<= 3.0pl1-87.2sel), fcron (<= 2.9.3-3), logrotate (<= 3.7.1-1), procps (<= 1:3.1.15-1), selinux-policy-refpolicy-strict, selinux-policy-refpolicy-targeted, sysvinit (<= 2.86.ds1-1.se1) Architecture: all Copyright: ./selinux-policy-custom-Copyright Description: ${description} EOF read -d '' postinst << "EOF" File: postinst 755 #!/bin/sh -e set -e if [ "$1" = configure ]; then /usr/sbin/semodule -s custom -b /usr/share/selinux/custom/base.pp $(find /usr/share/selinux/custom/ -type f ! -name base.pp | xargs -r -n1 echo -n " -i") fi #DEBHELPER# exit 0 EOF function make_policy() { cd custom make clean rm -rf /usr/share/selinux/custom/* make install cd .. } function make_files() { echo 'SELinux custom policy copyright:TODO' > ${cc} echo -e "$cheader" > ${cf} echo -e "$postinst" >> ${cf} echo -en "\nFiles: " >> ${cf} # our setrans file echo -e " /etc/selinux/custom/setrans.conf /etc/selinux/custom" >> ${cf} # /etc/selinux dir find /etc/selinux/custom -type f ! -name \*LOCK | xargs -r -n1 -If -- sh -c 'echo " f $(dirname f)"' >> ${cf} # /usr/share/selinux/custom dir find /usr/share/selinux/custom -type f | xargs -r -n1 -If -- sh -c 'echo " f $(dirname f)"' >> ${cf} } function cleanup() { rm -f ${cc} ${cf} } function build_deb() { equivs-build ${cf} [ $? -eq 0 ] && cleanup } rm ./${name}*deb # glob is ok make_policy make_files build_deb scp -P 22 -i ~/.ssh/selinux-test selinux*deb root@selinux:/tmp/

पूर्ण पुनरावर्तन का समय ~ 30 सेकंड हो गया, इसलिए स्क्रिप्ट ऑपरेशन का सामान्य सिद्धांत चुना गया - "माथे", जिसे कहा जाता है, मुझे लगता है, आरपीएम असेंबली के लिए अनुकूलित करना आसान है:

हम सब कुछ साफ करते हैं (स्वच्छ बनाते हैं)
हम नीतियां बनाते हैं और स्थापित करते हैं (स्थापित करें)
हमें वह सब कुछ मिला है जो स्थापित है (हम जानते हैं कि कहां देखना है), पैकेज इकट्ठा करें
सर्वर में / tmp भरें
पोस्टस्टीन में, वह खुद पाएगा कि उसने अपडेट किया है, सेमोड्यूअल खींचे और पॉलिसी को फिर से लोड करे

SELinux, पहला परिचित।

सर्वर तैयार है, बिल्ड सिस्टम तैयार है, संदर्भ नीति भरी हुई है, अब आप मज़ेदार भाग शुरू कर सकते हैं । (इस चरण के बारे में, लेख के पहले से मौजूद वॉल्यूम का मूल्यांकन करते हुए, देशद्रोही विचार ने इसे 2 5 :-) में विभाजित किया।
पहली असेंबली के लिए, मानदंड निर्धारित करें, मैंने इन्हें चुना:

 $ sed '/^#/d;/^$/d' build.conf TYPE = mls NAME = custom DISTRO = debian UNK_PERMS = reject DIRECT_INITRC = n MONOLITHIC = n UBAC = y CUSTOM_BUILDOPT = MLS_SENS = 4 MLS_CATS = 32 MCS_CATS = 32 QUIET = n

अपस्ट्रीम से अंतर न्यूनतम हैं: MLS सक्षम है (जिसका अर्थ है कि विधानसभा के दौरान नीति / mls और config / appconfig-mls से सभी पैरामीटर शामिल किए जाएंगे); डिबियन के लिए डिस्ट्रो-विशिष्ट मैक्रो शामिल हैं, जो वास्तव में आवश्यक नहीं है; यदि पॉलिसी परिलक्षित नहीं होती है तो कर्नेल में परिभाषित किए जाने पर पॉलिसी लोड नहीं होगी - अचानक कर्नेल बहुत नया है; खैर, मैंने स्तरों और श्रेणियों की संख्या को काफी कम कर दिया है - हमारे पास गोपनीयता के केवल 4 स्तर होंगे, प्रत्येक में 32 श्रेणियां होंगी। अभी के लिए, यह हमारे लिए पर्याप्त है।

सार सुमेरु अनो

एक प्रयोग के रूप में, MONOLITHIC = y को सेट करने का प्रयास करें और इसे सेट किए बिना एक नीति संकलित करें - नीति बनाएं। परिणाम नीति है। नीति का पाठीय प्रतिनिधित्व। यहीं, एक सरल रूप में, मैक्रोज़ के पूरे ढेर से कृपया एम 4 तैनात किया गया, वह सब कुछ जो SELinux अनुमति देगा, वर्णित है। दूसरे शब्दों में (चेतावनी: खराब सादृश्य समय!): अगर secadm_r सुरक्षा परिषद के प्रमुख की तरह है, पहुँच स्तर और सहिष्णुता को मंजूरी दे रहा है, तो SELinux एक सामान्य सुरक्षा अधिकारी है जो इन सूचियों की जाँच कर रहा है, और नीति में .conf, वास्तव में, खेतों के साथ सूचियाँ:
1. कौन (स्कॉनटेक्स्ट) - कहाँ (टोंटेक्स्ट) - किससे (वर्ग) - क्यों (कॉल) (प्लस, एमएलएस के मामले में: मुझे अपना प्रवेश स्तर भी दिखाओ, और अगर यह इससे कम होना चाहिए, तो मैं भी नियमों को नहीं देखूंगा )।

हम सभी आवश्यक कॉन्फ़िगरेशन बनाते हैं, जिसे हम अपनी आवश्यकताओं के लिए संपादित करेंगे: आत्मविश्वास बनाएं । सबसे पहले, दिखाई देने वाली नीति / मॉड्यूल को संपादित करें ।conf और सही - मैं कंबाइंड समूह में लगभग सभी मॉड्यूल को अक्षम (modulename = off) करता हूं। प्लस - तेजी से विधानसभा, कम मॉड्यूल। माइनस - संदर्भों के संभावित कम आंकलन। मैं एक उदाहरण के साथ समझाऊंगा:

संदर्भ / देव / xconsole, हालांकि लॉगिंग से अधिक संबंधित है, xserver मॉड्यूल में परिभाषित किया गया है;
इसे निष्क्रिय करने के बाद, संदर्भ को निर्देशिका / देव / से विरासत में मिला;
और उच्च संभावना के साथ वह सब कुछ जो / dev / xconsole में लिखना चाहता था, और Refololicy में ध्यान में रखा गया था, तुरंत टूट गया। अपनी पसंद का सही - या तो xserver मॉड्यूल सक्षम करें, या इसके किसी भी स्थानीय मॉड्यूल में संदर्भ को फिर से परिभाषित करें।

contrib_off

 grep -A5 contrib policy/modules.conf | grep "= module$" | wc -l # total number grep -A5 contrib policy/modules.conf | grep "= module$" | sed 's/ = module//' | xargs -r -n1 -I__n -- sh -c 'sed -i "s/^__n = module$/__n = off/" policy/modules.conf' # kekeke # turn some servicess off too (xserver + postgresql) # turn _on_ logrotate,mta,postfix,ulogd, and whatever you think you need

जैसे ही हमने मॉड्यूल को संपादित करना शुरू किया ।conf , हमने नो रिटर्न का बिंदु पास किया, जिसके बाद हमें समझना चाहिए कि हम क्या कर रहे हैं और क्यों कर रहे हैं। संदर्भों की संभावित गलतफहमी इस बात का पहला उदाहरण है कि हमारे कार्य प्रणाली को कैसे प्रभावित करते हैं।
आगे देखते हुए, मैं तुरंत अद्भुत ऑडिट 2 क्लॉक यूटिलिटी के बारे में थोड़ा सा कहता हूं: यह ऑडिट खाता है, और एक काफी समझ में आता है (विशेष रूप से -Rev कीज़ के साथ) हमें वह देता है जो हमें पॉलिसी में जोड़ने की आवश्यकता है ताकि ये संदेश लॉग में अब दिखाई न दें। यदि आप कहीं भी हैं (और यह लगभग हर जगह है) तो इंटरनेट पर आप एक सिफारिश को पूरा करेंगे

 grep something-something /var/log/audit/audit.log | audit2allow -M mymegamodule semodule -i mymegamodule

इसके बाद ही इसका पालन करें यदि आप जानते हैं कि आप अभी क्या कर रहे हैं - कमांड के इस सेट का मतलब है कि SELinux सब कुछ (संभवतः लालची) को कुछ-कुछ करने की अनुमति देगा, और कुछ और भी। इसके अलावा, एमएलएस के मामले में, यह विधि बिल्कुल काम नहीं करेगी - क्योंकि एमएलएस में यह एक अनुमति नियम बनाने के लिए पर्याप्त नहीं है, पहुंच को सहिष्णुता और श्रेणियों पर लगाए गए सभी प्रतिबंधों को पूरा करना होगा। इस तरह की हरकतें एक ईमानदार प्रवेश के लिए कठिन हैं: "हाँ, आज मैं अपने सिर के साथ बिल्कुल भी नहीं सोचना चाहता, मेरे लिए सब कुछ हल करना आसान है।" अपने सिस्टम से बाहर एक थिएटर न बनाएं, और इस तरह से SELinux को कॉन्फ़िगर न करें - यह एक फ़ायरवॉल पर सभी पैकेटों को पकड़ने और उन्हें स्क्रिप्ट के साथ अनुमत नियमों में बदलने जैसा है।

अब यह स्थापित करने के लिए चलने का समय है, और यदि सब कुछ ठीक है, तो हमारे पैकेज को इकट्ठा करें और इसे सर्वर पर डालें:

 dpkg -i /tmp/selinux-policy-custom*deb sed -i 's/^SELINUX=.*$/SELINUX=enforcing/;s/^SELINUXTYPE=.*$/SELINUXTYPE=custom/' /etc/selinux/config selinux-activate # if you installed helper package selinux-basics # if not: touch /.autorelabel # add 'selinux=1 security=selinux' to cmdline reboot # let's rock!

सिस्टम रिबूट होगा, स्थापित पॉलिसी में परिभाषित संदर्भों ( / etc / selinux / custom / contexts / files / * ) को लागू करें, फिर से रिबूट करें और लॉग इन करने की पेशकश करें।

"रॉकिंग" कब हो रही है और यह "हिला" कब है

महाराज, यह सब हो गया। कुछ भी काम नहीं करता। हम होस्ट द्वारा भी ssh - कनेक्शन बंद नहीं कर सकते। SELinux से मिलो। एली बिलौएर द्वारा उल्लेखनीय रूप से सटीक रूप में तैयार की गई:

SELinux क्या है?
संक्षेप में: एक मशीन जो आपको अनुमति देती है उसे अस्वीकार कर दिया जाता है।

हालाँकि, यह अच्छा है अगर आप इस बिंदु पर पहुँचें। यह ठीक वैसा ही व्यवहार है जिसकी हमें आवश्यकता है, और अब हम यह समझने लगेंगे कि यह हमें अनुमति क्यों नहीं देता।

संख्यात्मक जोड़ी का सार, इस बार बिना खराब उपमाओं के

यदि आप प्रारंभिक प्रलेखन को ध्यान से पढ़ते हैं, तो आप शायद निर्णय लेने की प्रक्रिया को याद करते हैं:

DAC पहले। यदि यह निषिद्ध है, तो यह SELinux को भी नहीं मिलेगा, अस्वीकार की गई अनुमति सामान्य, यूनिक्स, उस समय से हम सभी को परिचित होगी, जब हम अपने पहले * nix सिस्टम से परिचित हो गए थे।
फिर मैक। यदि कोई मिलान अनुमति नहीं मिली है, तो अस्वीकृत की अनुमति पहले से ही SELinux से होगी। कुछ वितरण (आरएच) पर, " SELinux को रोक रहा है " वाली लाइनें लॉग में दिखाई देंगी, कुछ नहीं होंगी, लेकिन सभी के पास ऑडिट में कुछ होगा।

कुल मिलाकर, सबसे अधिक संभावना है कि वितरण नीति में RefPolicy में बस कुछ नहीं है। आइए इसे ढूंढें और इसे जोड़ें।

अरे हाँ, मैं यह कहना भूल गया कि इस क्षण से शुरू करने के लिए, आपको न केवल ssh के माध्यम से सर्वर तक पहुँच की आवश्यकता होगी, यह काम नहीं कर सकता। सौभाग्य से, हमारे मामले में यह एक आभासी सर्वर है, हमेशा VNC / SPICE / etc (FSKN के लिए लिंक विशेषज्ञ) होता है। हम स्थानीय स्तर पर जाने की कोशिश करते हैं - यह इसे अंदर नहीं जाने देता है। महान स्थिति तुरंत यह बताती है कि इससे कैसे

बाहर जाओ

घबराओ मत।
हम रिबूट करते हैं - उदाहरण के लिए, Ctrl + Alt + Del, acpid भेजना हमारे लिए सब कुछ करेगा।
हम बूट स्टेज पर ग्रब पकड़ते हैं, सेलिनक्स = 1 से सेलिनक्स = 0 में बदलते हैं
हम बूट करते हैं, जड़ के रूप में जाते हैं।

इस स्तर पर, ~~हमारी असफलताओं के~~ सभी कारणों में लेखापरीक्षा शामिल है। हम प्रवेश क्यों नहीं कर पाए। क्योंकि अब हमने SELinux विकलांग के साथ बूट किया, पहली बात यह है कि ऑडिट को कॉपी करना है। आगे के विश्लेषण के लिए पिछले बूट से कॉपी करें, क्योंकि SELinux सक्षम होने के साथ, हम अभी ऐसा करने में सक्षम नहीं हैं।

 cp /var/log/audit/audit.log /root wc -l /root/audit.log 195

आपदा का पैमाना छोटा है, दो सौ लाइनें हैं। यह धीरे-धीरे पहाड़ नीचे जाने का समय है:

लॉग कैसे पढ़ें
```
 type=DAEMON_START msg=audit(1383338997.597:1957): auditd start, ver=2.3.2 format=raw kernel=3.10.17-vm-slnx auid=4294967295 pid =1319 subj=system_u:system_r:auditd_t:s3:c0.c31 res=success 
```
पहली पंक्ति हमें बताती है कि ऑडिट सफलतापूर्वक (रेस) शुरू हुआ, और system_u की ओर से, system_r की भूमिका, डोमेन ऑडिट_ टी में, यह हमारे अधिकतम स्तर (s3) की सभी श्रेणियों (c0.c31) से संबंधित है। बीएलपी के अनुसार, इसका मतलब है कि किसी भी स्तर से जानकारी सफलतापूर्वक ऑडिट (राइट अप) के हाथों में आ सकती है, और यह किसी भी स्तर (नीचे पढ़ें) से पढ़ सकता है। यदि यह पूरी तरह से स्पष्ट नहीं है, तो इस बात को याद करें कि इस वास्तुकला को किसने विकसित किया है और जानकारी दर्ज करने से उनका क्या मतलब है - स्रोत से जानकारी स्थानांतरित करना (जो लिखता है) प्राप्तकर्ता को (जहां यह लिखता है)। और फिर सब कुछ गिर जाता है - शीर्ष गुप्त स्तर वास्तव में गुप्त स्तर (यानी, नीचे, नीचे) के लिए अपना डेटा नहीं लिख सकता है - वे समझौता हो जाएंगे, इसलिए " कोई लिख नहीं "। " रीड अप " के बारे में, उम्मीद है, अधिक स्पष्ट। एमएलएस में भी अतिरिक्त प्रतिबंध हैं, लेकिन ~~उन्होंने मुझे~~ इसके बारे में ~~चुप रहने के लिए कहा~~ ।
```
 type=SYSCALL msg=audit(1383338997.620:219): arch=40000003 syscall=102 success=no exit=-13 a0=3 a1=afbe1c10 a2=a779b000 a3=ffffffc8 items=0 ppid=1338 pid=1346 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 ses=4294967295 tty=(none) comm="acpid" exe="/usr/sbin/acpid" subj=system_u:system_r:initrc_t:s0-s3:c0.c31 key=(null) 
```
दूसरी पंक्ति हमें बताती है कि एसपीड डेमन, सभी संभव अधिकतम रेजलिया (uid = 0 gid = 0 euid = 0 suid = 0 fsuid = 0 egid = 0 sgid = 0 fsgid = 0) के साथ, जड़ और bofh sysop, का उपयोग करके initrc_t संदर्भ (शुरू) एक्सेस किया गया (टाइप करें = SYSCALL) सॉकेट (syscall = 102), और ( अचानक ) को मान्यता नहीं दी गई, बुलाया नहीं गया, और, परिणामस्वरूप, (सफलता = कोई निकास = -13) भेजा गया था। हालांकि, यह आश्चर्यजनक नहीं होना चाहिए, क्योंकि हम सभी जानते हैं कि लिनक्स सबसे महत्वपूर्ण जड़ नहीं है, अधिक महत्वपूर्ण हैं :-)
मन की पूछताछ के लिए एक पहेली - वह किस सॉकेट में बदल गया? *
```
 type=AVC msg=audit(1383338997.810:233): avc: denied { search } for pid=1470 comm="restorecond" name="/" dev="tmpfs" ino=376 scontext=system_u:system_r:restorecond_t:s0-s3:c0.c31 tcontext=system_u:object_r:var_run_t:s3:c0.c31 tclass=dir 
```
खैर, तीसरी लाइन ले लो, बीच से। लॉग एवीसी (एक्सेस वेक्टर कैश) हमारे लिए सबसे दिलचस्प है। ऊपर, उदाहरण के लिए, इंगित करता है कि स्थापित नीति में एक अनुमति नियम नहीं है ताकि स्रोत (स्कोनटेक्स्ट) ऊपर दिए गए सहिष्णुता के साथ restorecond_t डोमेन में काम कर रहा है, एक खोज ({खोज) और tclass = dir निर्देशिका में इनोड = 376 के साथ करता है संदर्भ के साथ var_run_t। किस बात का चित्रण? सही है, नहीं पढ़ा। क्या लग रही थी? Find / var / run -inum 376 इस सवाल का जवाब देगा। बस एक समान रेखा से ऑडिट 2 क्लू अनुमति नियम बना देगा।

और इसी तरह। जैसा कि आप देख सकते हैं, इन लॉग में कुछ भी जटिल नहीं है। गुणात्मक रूप से SELinux कठिन नहीं है, इसे परिमाणित करना कठिन है, और पहले असामान्य है, लेकिन इससे अधिक कुछ नहीं। फिर, अगर कुछ स्पष्ट नहीं है, तो आप हमेशा Google में एक अवैयक्तिक स्ट्रिंग चला सकते हैं या यहाँ खोज कर सकते हैं । इसलिए, हम मानते हैं कि अब हम लॉग को पढ़ और समझ सकते हैं।

* मुझे एक अनुमान नहीं है, टिप्पणियों में लिखें।
कैसे ठीक करें?
दो मुख्य विकल्प हैं जिनका आप सामना कर सकते हैं:
- अमान्य संदर्भ
- नियम की अनुमति का अभाव
वे सभी अनुमति से इनकार किए गए मामलों के 90% को कवर करते हैं, और ऑडिट 2 क्लो उन में बहुत अच्छा काम करता है। कई मामलों में, इसे ठीक करने का विकल्प, पहला विकल्प या दूसरा, आपका है।
तीसरा विकल्प, जो शायद ही कभी देखा जाता है, लेकिन सबसे अधिक स्पष्ट नहीं है, एमएलएस प्रतिबंधों (नीति की कमी का उल्लंघन) का उल्लंघन है, और इस मामले में एक अनुमति नियम जोड़ने से मदद नहीं मिलेगी, आपको एमएलएस के बहुत दिल में जाना होगा और प्रतिबंधों को संपादित करना होगा। यहां, पहले से ही हर बदलाव को पूरी समझ के साथ किया जाना चाहिए कि यह क्यों बनाया जा रहा है और वास्तव में इसे क्या तय करना चाहिए। आपके सुरक्षा के स्तर को कम करने के लिए विचारहीन परिवर्तन की गारंटी है। आपको (फिर से) चेतावनी दी गई है।
अब कैनवस समर्थक समाधान विधियों के बारे में हैं, आकार के कारण से निपटने में:
- गलत संदर्भ समाधान
  अमान्य संदर्भ का एक उदाहरण:
  root@sandbox:~# ls -laZ /lib/systemd/systemd-udevd -rwxr-xr-x. 1 root root system_u:object_r:bin_t:s0 210380 Sep 23 12:24 /lib/systemd/systemd-udevd @local$ grep systemd-udevd custom/policy/ -R custom/policy/modules/system/udev.fc:/usr/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
  डेबियन / लिब में, RefPolicy / usr / lib में। नियम:
  root@sandbox:~# semanage fcontext -m -t udev_exec_t /lib/systemd/systemd-udevd # try to modify /usr/sbin/semanage: File context for /lib/systemd/systemd-udevd is not defined root@sandbox:~# semanage fcontext -a -t udev_exec_t /lib/systemd/systemd-udevd # ok, add root@sandbox:~# grep udev /etc/selinux/custom/contexts/files/file_contexts.local /lib/systemd/systemd-udevd system_u:object_r:udev_exec_t:s0
  वीर्यपात एक तरीका है। ऐसा परिवर्तन उचित है, लेकिन हमारे मामले में यह पॉलिसी अपडेट से बच नहीं सकता है (यदि हम अपने /etc/selinux/custom/contexts/files/file_contexts.local को सप्लाई करना शुरू करते हैं)। एक अन्य विकल्प स्थानीय रूप से पुनर्परिभाषित करना, पॉलिसी का पुनर्निर्माण करना, इसे रोल करना (और उसी समय पॉलिसी सेट करना) है।
- अनुमति नियम की कमी के लिए समाधान
  उदाहरण के लिए इस लाइन को लें:
  type=AVC msg=audit(1383338997.860:251): avc: denied { module_request } for pid=1524 comm="sshd" kmod="net-pf-10" scontext=system_u:system_r:sshd_t:s0-s3:c0.c31 tcontext=system_u:system_r:kernel_t:s3:c0.c31 tclass=system
  लॉग का डिक्रिप्शन सरल है, लेकिन समय के साथ इस टायर की निरंतर खोज। इसे लॉग में छोड़ें, और मशीन को हमारे लिए काम करने दें:
  root@sandbox:~# audit2allow -Rev -i /root/log require { type kernel_t; type sshd_t; class system module_request; } #============= sshd_t ============== # audit(1383338997.860:251): # scontext="system_u:system_r:sshd_t:s0-s3:c0.c31" tcontext="system_u:system_r:kernel_t:s3:c0.c31" # class="system" perms="module_request" # comm="sshd" exe="" path="" # message="type=AVC msg=audit(1383338997.860:251): avc: denied { # module_request } for pid=1524 comm="sshd" kmod="net-pf-10" # scontext=system_u:system_r:sshd_t:s0-s3:c0.c31 # tcontext=system_u:system_r:kernel_t:s3:c0.c31 tclass=system " allow sshd_t kernel_t:system module_request;
  और यहाँ पहले से ही, हम सोचने लगते हैं - हम खुद से सरल प्रश्न पूछते हैं:
  क्या चल रहा है? sshd ने कर्नेल में मॉड्यूल को लोड करने के लिए कहा। ठीक है, नेट-पीएफ -10 की बहुत जरूरत नहीं है, क्योंकि हमारे पास ipv6 नहीं है।
  हमें क्या पेशकश की गई थी? Sshd_t डोमेन को कर्नेल में मॉड्यूल लोड करने की अनुमति दें। बेशक, अगर हम अनुमति देते हैं, तो ऐसी कोई गलती नहीं होगी। और अगर वह एक दुश्मन मॉड्यूल के लिए पूछता है?
  वे इंटरनेट पर क्या लिखते हैं? हेहे । धन्यवाद, लेकिन नहीं, इस कार्यक्षमता को हल करने के लिए हमें वास्तव में बूलियन चर की आवश्यकता नहीं है।
  हम क्या कर रहे हैं? हां, हमने इस दिशा में भीख मांगने के लिए मना किया है, जो उन्होंने दिया उस पर काम करने दें। जब हमें ipv6 की आवश्यकता होगी, तो ssh शुरू होने से पहले ही हम इसे डाउनलोड कर लेंगे।
  हम अपना खुद का मिनिमॉड्यूल लिखकर तय करते हैं, यह सरल है। हम संरचना का वर्णन पढ़ते हैं। उसी समय, हम अपने सभी मॉड्यूल (स्थानीय रूप से) के लिए एक ढांचा बनाते हैं:
  mkdir policy/modules/local && cd policy/modules/local echo '<summary>Local layer -- differences from reference policy.</summary>' > metadata.xml echo '## <summary>sshd local policy</summary>' > sshd_local.if echo '## no file contexts redefined here' > sshd_local.fc cat > sshd_local.te <<EOF > policy_module(sshd_local, 0.0.1) > ################################################################## > require { > type kernel_t; > type sshd_t; > class system module_request; > } > #============= sshd_t ============== > # dont audit requests for module load > # NOTE: this may hide some denials in the future > dontaudit sshd_t kernel_t:system module_request; > > EOF
  जैसा कि आप देख सकते हैं, हमने नियम को NOTaudit sshd_t kernel_t: सिस्टम मॉड्यूल_request में बदल दिया ; - इसका मतलब निषेध करना है, और लॉग पर लिखना नहीं है। वैसे, यदि आप इस तथ्य से सामना कर रहे हैं कि कुछ कार्यक्षमता काम नहीं करती है, और लॉग खाली है, तो सबसे अधिक संभावना है कि यह केवल डूडाउट नियम है। बस उनके बिना पॉलिसी का पुनर्निर्माण करें: सेमोड्यूले -DB , और लॉग में संदेशों के प्रवाह के लिए तैयार हो जाएं।
  हम मॉड्यूल में अपने मॉड्यूल को निर्दिष्ट करते हैं ।conf, पॉलिसी एकत्र करें, इसे सर्वर पर अपलोड करें, देखें:
  root@sandbox:/tmp# sesearch --allow -s sshd_t -t kernel_t | grep system root@sandbox:/tmp# sesearch --dontaudit -s sshd_t -t kernel_t | grep system root@sandbox:/tmp# dpkg -i selinux-policy-custom_0.0.1_all.deb (Reading database ... 20371 files and directories currently installed.) Preparing to replace selinux-policy-custom 0.0.1 (using selinux-policy-custom_0.0.1_all.deb) ... Unpacking replacement selinux-policy-custom ... Setting up selinux-policy-custom (0.0.1) ... root@sandbox:/tmp# sesearch --dontaudit -s sshd_t -t kernel_t | grep system dontaudit sshd_t kernel_t : system module_request ; root@sandbox:/tmp# semodule -l | grep sshd_local sshd_local 0.0.1
  नियम दिखाई दिया, मॉड्यूल लोड किया गया है। क्या यह मुश्किल है? ओह ठीक है। लंबे और सुनसान? अरे हाँ।
- MLS प्रतिबंधों के लिए समाधान
  यहाँ समस्या है (बिगाड़ने का स्तर नौ हज़ार से अधिक है !! 1one):
  समस्या
  type=AVC msg=audit(1383338997.630:221): avc: denied { sendto } for pid=1351 comm="acpid" path="/dev/log" scontext=system_u:system_r:initrc_t:s0-s3:c0.c31 tcontext=system_u:system_r:syslogd_t:s3:c0.c31 tclass=unix_dgram_socket type=SYSCALL msg=audit(1383338997.630:221): arch=40000003 syscall=102 success=no exit=-13 a0=3 a1=afbe15d0 a2=a779b000 a3=ffffffc8 items=0 ppid=1 pid=1351 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 ses=4294967295 tty=(none) comm="acpid" exe="/usr/sbin/acpid" subj=system_u:system_r:initrc_t:s0-s3:c0.c31 key=(null)
  यहाँ वर्णन है:
  क्षय
  root@sandbox:~# audit2allow -Rev -i /tmp/x require { type syslogd_t; type initrc_t; class unix_dgram_socket sendto; } #============= initrc_t ============== # audit(1383338997.630:221): # scontext="system_u:system_r:initrc_t:s0-s3:c0.c31" tcontext="system_u:system_r:syslogd_t:s3:c0.c31" # class="unix_dgram_socket" perms="sendto" # comm="acpid" exe="" path="" # message="type=AVC msg=audit(1383338997.630:221): avc: denied { sendto } for # pid=1351 comm="acpid" path="/dev/log" # scontext=system_u:system_r:initrc_t:s0-s3:c0.c31 # tcontext=system_u:system_r:syslogd_t:s3:c0.c31 tclass=unix_dgram_socket "#!!!! This avc is a constraint violation. You will need to add an attribute to either the source or target type to make it work. #Constraint rule: # Possible cause source context and target context 'level' differ allow initrc_t syslogd_t:unix_dgram_socket sendto;
  यहाँ मौजूदा नियम हैं:
  sesearch
  root@sandbox:~# sesearch --allow -s initrc_t -t syslogd_t -c unix_dgram_socket Found 2 semantic av rules: allow initrc_t syslogd_t : unix_dgram_socket sendto ; allow unconfined_domain_type domain : unix_dgram_socket { ioctl read write create getattr setattr lock relabelfrom relabelto append bind connect listen accept getopt setopt shutdown recvfrom sendto recv_msg send_msg name_bind } ;
  जैसा कि आप देख सकते हैं, संकल्प नियम पहले से ही है। इसके अलावा, एमएलएस संस्करण में नहीं, इस पहुंच की अनुमति होगी।
  offtopic
  इसी समय, आप अपुष्ट डोमेन की सुंदरता की सराहना कर सकते हैं। सब कुछ संभव है, इसके लिए वह "असीमित" है। इस कारण से, सख्त के अलावा किसी अन्य चीज पर SELinux का परीक्षण करने से बहुत समझ में नहीं आता है। और यहां तक कि अगर आपके पास एक सख्त लेकिन परीक्षण की गई वस्तु है - अपुष्ट, तो, सामान्य तौर पर, SELinux की आवश्यकता और विश्वसनीयता के बारे में निष्कर्ष निकालना बहुत जल्दी है, भले ही आप वास्तव में, वास्तव में :-) चाहते हों
  निर्णय। हमें वांछित प्रतिबंध लगता है, पढ़ें:
  mlsconstrain unix_dgram_socket sendto (( l1 eq l2 ) or (( t1 == mlsnetwriteranged ) and ( l1 dom l2 ) and ( l1 domby h2 )) or (( t1 == mlsnetwritetoclr ) and ( h1 dom l2 ) and ( l1 domby l2 )) or ( t1 == mlsnetwrite ) or ( t2 == mlstrustedobject )); # scontext=system_u:system_r:initrc_t:s0-s3:c0.c31 # tcontext=system_u:system_r:syslogd_t:s3:c0.c31
  सॉकेट पर कुल, tto (t1 t2 को लिखता है) को अनुमति दी जाती है यदि:
  t1 t2 (s0 != s3),
  t1 mlsnetwriteranged (, seinfo -amlsnetwriteranged -x ), ,
  t1 mlsnetwritetoclr (, ),
  t1 mlsnetwrite (, setrans_t),
  t2 mlstrustedobject (, syslogd_t , devlog_t)
  , . , audit2allow , . /dev/log:
  root@sandbox:~# ls -laZ /dev/log srw-rw-rw-. 1 root root system_u:object_r:devlog_t:s3:c0.c31 0 Nov 1 23:06 /dev/log
  «WTF?!» — . tcontext~syslogd_t, devlog_t? ps:
  root@sandbox:~# ps -auxZ | grep [r]syslog system_u:system_r:syslogd_t:s3:c0.c31 root 1338 0.0 0.3 30784 972 ? Ssl Nov01 0:00 /usr/sbin/rsyslogd
  : rsyslog, syslogd_t, , , /dev/log; /dev/log devlog_t . , sendto , , . SELinux, Stephen Smalley. , . syslogd_t mlstrustedobject, /proc/`pidof rsyslog`/ mlstrustedobject. , , Fedora . , — , , , , . , :
  $ grep '' syslogd_local.* syslogd_local.fc:# no file contexts redefined here syslogd_local.if:## <summary>syslogd local policy</summary> syslogd_local.te:policy_module(syslogd_local, 0.0.1) syslogd_local.te:################################################################## syslogd_local.te:require { syslogd_local.te: type syslogd_t; syslogd_local.te:} syslogd_local.te: syslogd_local.te:#============= syslogd_t ============== syslogd_local.te:# mark syslogd_t as mlstrustedobject syslogd_local.te:# this is possible security hole, TODO: get some heavy brain augmentation and investigate syslogd_local.te:mls_trusted_object(syslogd_t);
  . modules.conf .

क्या ठीक करना है?

, . , permissive (/etc/selinux/config), , audit.log c , , newrole, ssh. enforcing, . auditd ssh:

 root@sandbox:~# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: custom Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: denied Max kernel policy version: 28 root@sandbox:~# cat /var/log/audit/audit.log type=DAEMON_START msg=audit(1383360996.062:2774): auditd start, ver=2.3.2 format=raw kernel=3.10.17-vm-slnx auid=4294967295 pid=1278 subj=system_u:system_r:auditd_t:s3:c0.c31 res=success type=CONFIG_CHANGE msg=audit(1383360996.180:20): audit_backlog_limit=320 old=64 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditctl_t:s0-s3:c0.c31 res=1 type=LOGIN msg=audit(1383361036.430:21): login pid=1568 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=1 type=LOGIN msg=audit(1383361038.410:22): login pid=1571 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=2 root@sandbox:~# id -Z root:secadm_r:secadm_t:s0-s3:c0.c31

, , , , , , , -, . .

तो, हम सभी सेट अप हैं, सिस्टम बूट मोड को लागू करने में। इस समय तक, एक नियम के रूप में, एक चौकस पाठक को पहले से ही मॉडर्नाइजेशन का व्यापक ज्ञान है, राजनीति की संरचना में धाराप्रवाह है, ईमानदारी से प्यार करता है (या कोई कम वास्तव में नफरत नहीं करता है), एम 4 सिंटैक्स, एनएससी मेलिंग सूची में शामिल है, SELinux पर जानकारी के दो दर्जन स्रोतों और नाम से एक दर्जन डेवलपर्स जानता है। ।
यह क्षेत्र में थोड़ी गहराई पर चढ़ने का समय है, प्रलेखन में बहुत अधिक वर्णित नहीं है।

एमएलएस

यदि आप सुरक्षा का आकलन करने के लिए सभी प्रकार के मानदंड से परिचित हैं , तो आप शायद जानते हैं कि, सबसे पहले, उनमें से कई ( अलग-अलग (पीडीएफ) प्रोफाइल (पीडीएफ) प्रोफाइल हैं , जिनमें से अधिकांश विभिन्न प्रकार के अर्धसैनिक संगठनों द्वारा विकसित किए गए हैं), और कुछ पारित होने के दौरान प्रस्तुत आवश्यकताओं की कठोरता को चिह्नित करते हुए तोते की संख्या । एमएलएस मौजूदा SELinux प्रतिबंधों, ऊर्ध्वाधर (स्तरों) और क्षैतिज (श्रेणियों) पर नियंत्रण के दो और स्तरों को जोड़ता है। पहला "सहिष्णुता" से अधिक कुछ नहीं है, जहां एक उच्च सहिष्णुता एक अधीनस्थ तक पहुंचता है ("शीर्ष रहस्य" "गुप्त" दस्तावेजों को पढ़ सकता है), और दूसरा एक ही स्तर की विभिन्न श्रेणियां हैं, जहां एक श्रेणी को पढ़ने की अनुमति है बाकी पढ़ने की अनुमति का मतलब नहीं है।
चूंकि नियंत्रण के इन दोनों स्तरों को किसी भी ऑब्जेक्ट को सौंपा जा सकता है जो SELinux के साथ काम करता है, यह आपको सूचना के वर्गीकरण और इसके प्रवाह के लिए लगभग किसी भी आवश्यकताओं को लागू करने की अनुमति देता है:

किसी भी ऑब्जेक्ट के लिए पदानुक्रमित पहुँच, TopSecret -> गुप्त -> अवर्गीकृत। पूरी सूची फ्लास्क निर्देशिका में है;
दोनों फ़ाइलों को चिह्नित करना और, उदाहरण के लिए, डेटाबेस में नेटवर्क कनेक्शन या टेबल;
सिस्टम में उपयोगकर्ता अधिकारों की परवाह किए बिना निचले स्तर तक सूचना रिसाव की रोकथाम;
प्रमाणीकरण के आधार पर किसी भी उपयोगकर्ता (रूट सहित) के लिए डिफ़ॉल्ट एक्सेस प्रतिबंध, भूमिकाओं के आगे भेदभाव के साथ।
और 99% सिस्टम के लिए अन्य ओवरकिल।

बेशक, इस सब के लिए सावधानीपूर्वक अध्ययन की आवश्यकता है, सबसे पहले, सिस्टम की वास्तुकला, अन्यथा हमारे पास तब अनुबंध कर्मचारी होंगे जो हस्ताक्षर "टॉप सीक्रेट" के साथ इंस्टाग्राम पर दस्तावेज़ों को बाहर करेंगे :-)
इस प्रयोग के हिस्से के रूप में, मैंने इन स्तरों और श्रेणियों का उपयोग किया:

 root@sandbox:~# cat /etc/selinux/custom/setrans.conf Domain=Playbox # levels s0=SystemLow s3:c0.c31=SystemHigh s0-s3:c0.c31=SystemLow-SystemHigh s1=Confidential s2=Secret # employee categories s1.c0=Ninjas s1.c1=Pirates s1.c2=Jesuses # secret stuff s2.c0=Aliens s2.c1=BigBrother

अब हम अपने वेब सर्वर को कॉन्फ़िगर करेंगे जैसे कि यह विशेष रूप से आंतरिक पहुंच के लिए अभिप्रेत था, अर्थात्। s1 (गोपनीय) स्तर पर सख्ती से काम करता है। यह प्रदर्शन के लिए आवश्यक नहीं है, लेकिन सामान्य विकास के लिए उपयोगी है। बेशक, हम IPSec और पैकेट लेबलिंग को कॉन्फ़िगर नहीं करेंगे, अन्यथा कोई भी इसे नहीं देखेगा, हम खुद को स्थानीय संदर्भ तक सीमित रखते हैं। चूँकि हमने केवल टेस्ट मशीन पर कॉन्फ़िगर किया है, आइए एक सर्वर चुनें जो कि RefPolicy में वर्णित नहीं है:

nginx

nginx, , MCS ( s0). NIH . , , dpkg -L lsof , :

 /usr/sbin/nginx -- gen_context(system_u:object_r:nginx_exec_t,s1:c0.c2) /etc/init.d/nginx gen_context(system_u:object_r:nginx_initrc_exec_t,s1:c0.c2) /etc/nginx(/.*)? gen_context(system_u:object_r:nginx_etc_t,s1:c0.c2) /var/log/nginx(/.*)? gen_context(system_u:object_r:nginx_var_log_t,s1:c0.c2) /var/run/nginx(/.*)? gen_context(system_u:object_r:nginx_var_run_t,s1:c0.c2) /var/www(/.*)? gen_context(system_u:object_r:nginx_var_www_t,s1:c0.c2) /var/lib/nginx(/.*)? gen_context(system_u:object_r:nginx_var_lib_t,s1:c0.c3)

, , (, , ..), . s1 (Confidential), . , . , , ( newrole -r secadm_r ), premissive ( setenforce 0 ), ( restorecon -RFvv / ), nginx sysadm_r ( run_init /etc/init.d/nginx start ). audit.log , . modname.if, , , «» :

 template(`web_server_template',` type $1_t, web_server; allow blah blah; # so we can call web_server_template(nginxN) in modname.te ')

modname.if , «» . . , , :

 root@sandbox:~# cat nginx_local.te policy_module(nginx_local, 0.0.1) ################################################################## type nginx_t; type nginx_exec_t; type nginx_initrc_exec_t; type nginx_etc_t; type nginx_var_log_t; type nginx_var_run_t; type nginx_var_www_t; type nginx_var_lib_t; corecmd_executable_file(nginx_exec_t); init_script_file(nginx_initrc_exec_t) files_type(nginx_etc_t) logging_log_file(nginx_var_log_t) files_pid_file(nginx_var_run_t) files_type(nginx_var_www_t) files_type(nginx_var_lib_t) init_ranged_daemon_domain(nginx_t, nginx_exec_t, s1:c0.c2)

corecommands.if, . — , MLS, , nginx .
, , (grep nginx /var/log/audit/audit.log | grep 'sysctl'), , , sysctl:

 # /read kernel sysctl values require { type sysctl_kernel_t; class dir { search }; class file { open read }; } allow nginx_t sysctl_kernel_t:dir { search }; allow nginx_t sysctl_kernel_t:file { open read };

socket:

 # socket bind require { type node_t; type http_port_t; class tcp_socket { name_bind setopt bind create listen node_bind }; class capability { net_bind_service setuid setgid }; } allow nginx_t http_port_t:tcp_socket { name_bind }; allow nginx_t node_t:tcp_socket { node_bind }; allow nginx_t self:tcp_socket { bind create setopt listen }; allow nginx_t self:capability { net_bind_service setuid setgid };

और इसी तरह। audit2allow, MLS. require , , , . , -

 policy_module(nginx_local, 0.0.1) ################################################################## type nginx_t; type nginx_exec_t; type nginx_initrc_exec_t; type nginx_etc_t; type nginx_var_log_t; type nginx_var_run_t; type nginx_var_www_t; type nginx_var_lib_t; corecmd_executable_file(nginx_exec_t); init_script_file(nginx_initrc_exec_t) files_type(nginx_etc_t) logging_log_file(nginx_var_log_t) files_pid_file(nginx_var_run_t) files_type(nginx_var_www_t) files_type(nginx_var_lib_t) init_ranged_daemon_domain(nginx_t, nginx_exec_t, s1:c0.c2) # rules # /sys and /sys/devices/systemcpu/online require { type sysfs_t; class dir { search }; class file { read open }; } allow nginx_t sysfs_t:dir { search }; allow nginx_t sysfs_t:file { read open }; # /read kernel sysctl values require { type sysctl_kernel_t; type sysctl_t; class dir { search }; class file { open read }; } allow nginx_t sysctl_kernel_t:dir { search }; allow nginx_t sysctl_kernel_t:file { open read }; allow nginx_t sysctl_t:dir search; # self configs and symlinks require { type nginx_etc_t; class dir { open read search }; class file { open read getattr }; class lnk_file { read }; } allow nginx_t nginx_etc_t:dir { open read search }; allow nginx_t nginx_etc_t:file { open read getattr }; allow nginx_t nginx_etc_t:lnk_file { read }; # /etc/localtime, /etc/passwc, etc (no pun intended) require { type locale_t; type etc_t; class file { read open getattr }; } allow nginx_t locale_t:file { read open getattr }; allow nginx_t etc_t:file { read open getattr }; # pid file require { type var_run_t; class dir { search write add_name remove_name } ; class file { write read create open unlink }; } allow nginx_t var_run_t: dir { search }; allow nginx_t nginx_var_run_t: file { read write create open unlink }; allow nginx_t nginx_var_run_t: dir { search write add_name remove_name }; # libs require { type var_lib_t; class dir { search getattr }; } allow nginx_t var_lib_t:dir search; allow nginx_t nginx_var_lib_t: dir { search getattr }; # socket bind require { type node_t; type http_port_t; class tcp_socket { name_bind setopt bind create listen node_bind }; class capability { net_bind_service setuid setgid }; } allow nginx_t http_port_t:tcp_socket { name_bind }; allow nginx_t node_t:tcp_socket { node_bind }; allow nginx_t self:tcp_socket { bind create setopt listen }; allow nginx_t self:capability { net_bind_service setuid setgid }; # socket accept require { class tcp_socket { read write accept }; } allow nginx_t self:tcp_socket { read write accept }; # logs require { type var_log_t; class dir { search }; class file { open append }; } allow nginx_t var_log_t:dir { search }; allow nginx_t nginx_var_log_t:dir { search }; allow nginx_t nginx_var_log_t:file { open append }; # www require { class dir { search getattr }; class file { read getattr open }; } allow nginx_t nginx_var_www_t:dir { search getattr }; allow nginx_t nginx_var_www_t:file { read getattr open };

, .

उदाहरण के लिए, हमें उपयोगकर्ता और भूमिकाएँ मिलती हैं:

 root/sysadm_r@sandbox:~# adduser alice ...skipped... root/sysadm_r@sandbox:~# adduser bob ...skipped... root/secadm_r@sandbox:~# semanage user -a -R user_r -L s1 -r s1-s1:c0 ninjas root/secadm_r@sandbox:~# semanage user -a -R user_r -L s2 -r s2-s2:c0 aliens root/secadm_r@sandbox:~# semanage login -a -s ninjas alice root/secadm_r@sandbox:~# semanage login -a -s aliens bob # or, ninjas to supervise alice root/secadm_r@sandbox:~# restorecon -RFvv /home/ # thats all, folks.

कुल हमें मिलता है:

दोनों उपयोगकर्ता अपने न्यूनतम स्तर से नीचे निर्देशिका में डेटा नहीं लिख सकते हैं;
दोनों उपयोगकर्ता अपने सहिष्णुता स्तर से ऊपर की वस्तुओं से नहीं पढ़ सकते हैं;
दोनों उपयोगकर्ता अपनी श्रेणी द्वारा सीमित हैं। अन्य डोमेन पढ़ने के लिए अनुमति नियम जोड़ते समय, वे श्रेणी c0 के साथ केवल फ़ाइलों को पढ़ने में सक्षम होंगे;
root , ;
- SELinux ID, alice, ( DAC ) ;
, , core — s0, — s1.

Funky time

खैर, अब, अंत में, स्लाइड्स होंगे। एक पूर्ण प्रदर्शन के लिए, मैंने एनएसए के बगल में, इस लेख के लिए एक छोटा वीपीएसके खरीदा, और उस पर मैंने जो कुछ भी किया, उसे जल्दी से पूरा कर लिया। इस प्रणाली पर सीधे, आप देख सकते हैं कि SELinux क्या है, रूट के नीचे जाएं और rm -rf / * पहला और सबसे महत्वपूर्ण लिखें, सभी प्रकार की स्क्रिप्ट / विभाजन और रूटकिट्स चलाएं, सामान्य तौर पर, एनएसए को एक कुजकिन मां को यह दिखाएं। लेकिन इससे पहले कि आप इस आकर्षक बात करते हैं, चलो फिर से इसे मान लेते हैं, दोनों मान्यताओं और सीमाओं के मामले में:

इस प्रशिक्षण पाठ्यक्रम के भाग के रूप में, हम:

हम मानते हैं कि किसी को भी सर्वर तक रूट एक्सेस मिला है।
हम मानते हैं कि वह ssh के माध्यम से लॉग इन कर सकता है और एक इंटरैक्टिव शेल चला सकता है।
हम मानते हैं कि हमारा रूट user_u पर त्वरित नहीं है, जैसा कि रसेल कोकर ने अपने प्ले मशीन में किया था । बेशक, यह धारणा उत्पादन में अनुशंसित नहीं है (पिछले सभी की तरह, निश्चित रूप से :-)
हम मानते हैं कि हमने कर्नेल को अनुकूलित नहीं किया है (कोई ग्रेस नहीं है, मैंने इसे लेख और परीक्षणों में शामिल नहीं करने का फैसला किया है)
हम मानते हैं कि हमारे पास लगभग कोई फ़ायरवॉल नहीं है।

यदि किसी सुरक्षा स्थिति के लिए आईएस में एक शब्द है, जिसके विवरण में "पुश अप" और "रोल" जैसे शब्द हैं, तो यह है। कुल समझौता से अलग होने वाला सब SELinux है। समझौता अपरिहार्य है, लेकिन कब तक बहुत दिलचस्प है।

लेकिन इसके अलावा, कुछ ऐसा भी है जिसके लिए SELinux का इरादा नहीं है, अर्थात्:

SELinux . :(){ :|:& };: . fork bombs, - — ; , , — — , .
SELinux . . , SELinux iptables — , . , SELinux, :-)
हम सर्वर को न्यूनतम कॉन्फ़िगरेशन में मानते हैं, कोई संकलक / डिबगर्स नहीं हैं और यह सब आमतौर पर ठेस पर नहीं होता है। एमएलएस प्ले मशीन का पूर्ण संस्करण बाद में होगा जब मैं इसे वीपीएस पर नहीं, बल्कि अधिक नियंत्रित बुनियादी ढांचे पर तैनात करूंगा। लेकिन वहाँ scp है - आप कुछ दिलचस्प कॉपी कर सकते हैं।
और हां, SELinux विकसित करने वाली संस्था की सर्वश्रेष्ठ परंपराओं में, कंसोल रिकॉर्डिंग को उसी समय सर्वर पर भी परीक्षण किया जा रहा है :-) और आप स्वयं समझ रहे हैं कि NSA, एरिज़ोना, एरिया 51 पास हैं, और यहाँ रूट एक्सेस है। मुझे लिखना है, अचानक एक कार को मेरे सीपीयू में धकेला जा रहा है। रिकॉर्ड निकालें - आप एक महान साथी भी हैं, और टिप्पणियों में भी लिखें।
0 दिन - अपने विवेक पर। यदि यह चबूतरे पर है, तो मैं निश्चित रूप से चापलूसी करूंगा। हालांकि, मैं किससे कहूं :-)

मैंने एक डोमेन शुरू नहीं किया है, यह एक खिलौना संस्करण 0.0.2 के लिए है। संस्करण 0.0.1

यहां

: http://162.213.198.69

और हां, एक अलग अनुरोध कृपया व्यवहार करें। सभी रूट प्रक्रियाओं को मारने और दूसरों को परेशान करने की आवश्यकता नहीं है, उपयोगकर्ता बिल्कुल एक है।

नोट

* टिम मिनचिन, लुलाबी

पाक कला NSA SELinux