SELinux - Security Enhanced Linux

luizvieira

A estrutura SELinux (Security Enhanced Linux) é uma camada de segurança extra para servidores que limita as ações dos usuários e programas pela imposição de políticas de segurança por todo o sistema operacional. As restrições impostas por suas políticas fornecem segurança extra contra acesso não autorizado.

[ Hits: 65.501 ]

Por: Luiz Vieira em 07/05/2009 | Blog: http://hackproofing.blogspot.com/

1 0

Denuncie Favoritos Indicar Impressora

Instalando o SELinux

Caso utilize uma distribuição Linux que não possua suporte a SELinux, é necessário instalar os seguintes pacotes:

libselinux1: contém as bibliotecas necessárias para o novo SELinux;
selinux-policy-default: contém arquivos de policiamento para a maioria dos programas usados, como postfix, sendmail etc;
checkpolicy: contém o compilador do policiamento de segurança;
policycoreutils: contém utilidades, como setfiles, load_policy, newrole etc;
selinux-utils: contém utilitários para algumas aplicações, como para pesquisar o policiamento;
selinux-doc: contém documentações;
libsemanage: contém algumas bibliotecas;
libsepol: contém algumas bibliotecas.

Pacotes adicionais a serem instalados no Debian

coreutils: contém versões modificadas de comandos, como cp, mv e ls;
procps: contém versões modificadas de comandos, como ps e top;
sysvinit: contém um "pach" para carregar o policiamento;
dpkg: é necessário para rotular os arquivos corretamente, após o pacote ser instalado;
logrotate: contém uma versão modificada do pacote logrotate, o qual preserva a segurança dos contextos dos novos arquivos no SELinux;
cron: é necessário para rodar scripts nos domínios corretos.

Para isso basta usar o comando "apt-get install" em seu terminal de comandos. E não é necessário realizar o boot na máquina antes de instalá-los, então eles podem ser instalados a qualquer momento.

Configurações básicas

Editando seu arquivo /etc/fstab e criando o /etc/selinux:

Antes de fazer o "reboot" do sistema, primeiramente é necessário editar o arquivo /etc/fstab, criar o diretório /etc/selinux e configurar as permissões para o modo 500. Então edite seu /etc/fstab incluindo o seguinte:

none /selinux selinuxfs noauto 0 0

Executando o comando "make relabel"

Se seu kernel é 2.6.x com suporte a XATTR, depois de criar o diretório /etc/selinux e editar o arquivo /etc/fstab, é necessário executar o comando:

# make -C /etc/selinux relabel

Este comando dá um novo rótulo para o arquivo de sistemas, com o correto contexto de segurança.

Porém se seu Kernel é 2.4.x, este comando não pode ser dado agora.

Editando /etc/pam.d/login e etc/pam.d/ssh

Antes de fazer o "reboot" do sistema é necessário editar os arquivos /etc/pam.d/login e /etc/pam.d/ssh para que o shell seja iniciado no contexto correto, então adicione "session required pam_selinux.so" em ambos estes arquivos.

Página anterior Próxima página

Páginas do artigo

   1. Conceitos iniciais
   2. Pré-requisitos
   3. Instalando o SELinux
   4. Contas de usuários
   5. Regras

Outros artigos deste autor

Uma pequena introdução ao Assembly para Linux

Resenha do livro: Praticando a Segurança da Informação

Segurança da Informação no Brasil, qual é nossa realidade?

Cheops: uma ótima ferramenta de rede

Análise de Malware em Forense Computacional

Leitura recomendada

Sudoers 1.8.12 - Parte IV - Manual

Apache2 + PHP5 com ModSecurity no Debian Squeeze

Hardering com Red Hat 5

Usuário especial para desligar servidores Linux

Verificação de integridade de arquivos - Ferramenta OSSEC

Comentários

[1] Comentário enviado por rl27 em 27/08/2009 - 16:35h

Parabéns Luiz!
Seu artigo ficou bem legal. Foi mais direto ao ponto.
Agora dá pra começar a estudar SELinux. :)
Na verdade comecei esses dias estudar o GNU/Linux com mais seriedade.
Redes e segurança da informação me interessam muito. Já tinha lido algumas coisas sobre SELinux. mas seu artigo deu uma clareada legal.
Valeu!
Abraço

0 0