SELinux Lockdown, 3: Permissive Mode Vs. Permissive Domains

оригинал - SELinux Lockdown Part Three: Permissive Mode Vs. Permissive Domains

Продолжаю выкладывать перевод цикла статей по использованию SELinux. Оригинал на английском языке опубликован в блоге Доминика Грифта (Dominick Grift).

Разрешающий режим SELinux (SELinux Permissive Mode) это состояние, в котором SELinux разрешает нарушения политики SELinux на уровне всей системы. В этом состоянии нарушения политики только регистрируются. Разрешающий режим может быть использован для устранения неполадок и тестирования проблем, связанных с SELinux. Трудности с разрешающим состоянием на уровне всей системы связаны с разумной необходимостью перевода системы в безопасную среду и вывода её из эксплуатации. В некоторых редких случаях можно с целью минимизации рисков, вызванных разрешающим режимом, рассмотреть подключаемый модуль аутентификации (Pluggable Authentication Module) SEPermit, но часто данной меры недостаточно, потому что он только запрещает вход Linux пользователям. Системные службы остаются уязвимы к нарушениям политик.

Недавно с целью устранения данных проблем были представлены разрешающие домены SELinux (SELinux Permissive Domains). С разрешающими доменами можно перевести отдельный домен безопасности SELinux в разрешающее состояние. Используя разрешающие домены можно оставить систему в эксплуатации и, например, запретить доступ к данному домену при помощи IPTables, TCP Wrappers, PAM или используя другие методы.

Для добавления и удаления разрешающих доменов SELinux используется команда semanage. Вам не нужно знать в каком домене безопасности работает процесс, чтобы сделать этот домен безопасности разрешающим доменом. Команда ps с опцией -Z поможет узнать эту информацию.

Пример того как сделать разрешающим домен безопасности с названием httpd_t для Apache:

sudo semanage permissive -a httpd_t

Пример того как сделать домен безопасности с названием httpd_t для Apache снова принудительным:

sudo semanage permissive -d httpd_t

Пример того как используя команду semanage просмотреть разрешающие домены SELinux:

sudo semanage permissive -l

Вывод:
Отдавайте предпочтение разрешающим доменам SELinux, а не разрешающему режиму.
Добавляйте, просматривайте и удаляйте разрешающие домены с использованием команды semanage.

Справка: man semanage, man tcpd, man pam_sepermit, man iptables