SELinux - Security Enhanced Linux

A estrutura SELinux (Security Enhanced Linux) é uma camada de segurança extra para servidores que limita as ações dos usuários e programas pela imposição de políticas de segurança por todo o sistema operacional. As restrições impostas por suas políticas fornecem segurança extra contra acesso não autorizado.

[ Hits: 64.450 ]

Por: Luiz Vieira em 07/05/2009 | Blog: http://hackproofing.blogspot.com/


Instalando o SELinux



Caso utilize uma distribuição Linux que não possua suporte a SELinux, é necessário instalar os seguintes pacotes:
  • libselinux1: contém as bibliotecas necessárias para o novo SELinux;
  • selinux-policy-default: contém arquivos de policiamento para a maioria dos programas usados, como postfix, sendmail etc;
  • checkpolicy: contém o compilador do policiamento de segurança;
  • policycoreutils: contém utilidades, como setfiles, load_policy, newrole etc;
  • selinux-utils: contém utilitários para algumas aplicações, como para pesquisar o policiamento;
  • selinux-doc: contém documentações;
  • libsemanage: contém algumas bibliotecas;
  • libsepol: contém algumas bibliotecas.

Pacotes adicionais a serem instalados no Debian

  • coreutils: contém versões modificadas de comandos, como cp, mv e ls;
  • procps: contém versões modificadas de comandos, como ps e top;
  • sysvinit: contém um "pach" para carregar o policiamento;
  • dpkg: é necessário para rotular os arquivos corretamente, após o pacote ser instalado;
  • logrotate: contém uma versão modificada do pacote logrotate, o qual preserva a segurança dos contextos dos novos arquivos no SELinux;
  • cron: é necessário para rodar scripts nos domínios corretos.

Para isso basta usar o comando "apt-get install" em seu terminal de comandos. E não é necessário realizar o boot na máquina antes de instalá-los, então eles podem ser instalados a qualquer momento.

Configurações básicas

Editando seu arquivo /etc/fstab e criando o /etc/selinux:

Antes de fazer o "reboot" do sistema, primeiramente é necessário editar o arquivo /etc/fstab, criar o diretório /etc/selinux e configurar as permissões para o modo 500. Então edite seu /etc/fstab incluindo o seguinte:

none /selinux selinuxfs noauto 0 0

Executando o comando "make relabel"

Se seu kernel é 2.6.x com suporte a XATTR, depois de criar o diretório /etc/selinux e editar o arquivo /etc/fstab, é necessário executar o comando:

# make -C /etc/selinux relabel

Este comando dá um novo rótulo para o arquivo de sistemas, com o correto contexto de segurança.

Porém se seu Kernel é 2.4.x, este comando não pode ser dado agora.

Editando /etc/pam.d/login e etc/pam.d/ssh

Antes de fazer o "reboot" do sistema é necessário editar os arquivos /etc/pam.d/login e /etc/pam.d/ssh para que o shell seja iniciado no contexto correto, então adicione "session required pam_selinux.so" em ambos estes arquivos.

Página anterior     Próxima página

Páginas do artigo
   1. Conceitos iniciais
   2. Pré-requisitos
   3. Instalando o SELinux
   4. Contas de usuários
   5. Regras
Outros artigos deste autor

Armitage: a nova interface gráfica do Metasploit

Explorando celulares Android via Web com airbase-ng

ARP Poisoning: compreenda os princípios e defenda-se

Elevação de privilégios locais

Análise de Malware em Forense Computacional

Leitura recomendada

Segurança em seu Linux

Autenticação via hardware: o módulo pam_blue

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

SysLog: Sistema de log do Linux

Segurança no Linux: Antivírus, Firewall, Wine - Mitos e Verdades

  
Comentários
[1] Comentário enviado por rl27 em 27/08/2009 - 16:35h

Parabéns Luiz!
Seu artigo ficou bem legal. Foi mais direto ao ponto.
Agora dá pra começar a estudar SELinux. :)
Na verdade comecei esses dias estudar o GNU/Linux com mais seriedade.
Redes e segurança da informação me interessam muito. Já tinha lido algumas coisas sobre SELinux. mas seu artigo deu uma clareada legal.
Valeu!
Abraço

[2] Comentário enviado por ferrarini em 07/10/2012 - 13:12h

parabéns


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts