SELinux - Segurança em Servidores GNU/Linux
Neste artigo demonstrarei um pouco, do conceito e prática, da tão poderosa ferramenta SELinux. Utilizei o CentOS 6 como base para meus testes. Lembrando que é um artigo mínimo, em relação a todas as opções existentes no SELinux.
[ Hits: 109.378 ]
Por: Bruno Rocha da Silva em 13/08/2012 | Blog: http://about.me/brunorochadasilva
Contextos de segurança
Em uma explicação básica, um contexto é um valor de dado assumido pelos objetos de uma classe.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
Onde:
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
Onde:
# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
drwxr-xr-x
Onde:
- d = Diretório (Tipo)
- rwx = Permissão para o dono do arquivo (Dono)
- r-x = Permissão para o grupo do do arquivo (Grupo)
- r-x = Permissão para os outros objetos do sistema (Outros)
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
- Usuário (user_u) – O campo usuário, indica o nome do usuário do SELinux, por exemplo, o usuário "system_u", indica processos, arquivos de configuração e daemons do sistema.
- Papel (role_r) – O campo papel, é uma forma de agrupar diferentes permissões a um determinado usuário (uma espécie de grupo).
- Tipo (type_t) – O campo tipo (também conhecido como domínio), indica qual é permissão primária de determinado objeto do SELinux, essa é a primeira etapa de verificação de permissão do sistema MAC.
- Nível (s*:c*) – O campo nível, indica em qual categoria determinado objeto se encontra, com relação à segurança. O mesmo utiliza a politica MCS/MLS (Multi-Category Security/ Multi-Level Security).
Por exemplo, o nível s0:c0 indica um objeto Confidencial para todos os que possuírem o mesmo nível.
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
System_u:object_r:etc_t:s0
Onde:
- system_u =Usuário SELinux dono do objeto
- object_r = Papel (ou papel) do SELinux
- etc_t = Domínio (ou tipo) do SELinux
- s0 = Nível de segurança do SELinux
Visualizando contextos MAC nos objetos do sistema
Para visualizar todos os processos que estão rodando no sistema, juntamente com os contextos do SELinux, vamos utilizar o comando abaixo:# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
system_u:object_r:boot_t:s0
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
unconfined_u: unconfined_r: unconfined_t:s0-s0:c0.c1023ls
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Páginas do artigo
1. O SELinux2. Contextos de segurança
3. O comando Semanage
4. Os comandos Chcon e Restorecon
5. Variáveis booleanas
6. O comando Semodule
7. Auditoria e logs
Outros artigos deste autor
Atirando o pau no gato com Metasploit
Leitura recomendada
Teste de Intrusão com Metasploit
Armitage: a nova interface gráfica do Metasploit
Alta disponibilidade com IP compartilhado - UCARP
Acesso remoto de forma simples e segura
Buffer Overflow: Entendendo e explorando
Comentários
[2] Comentário enviado por removido em 13/08/2012 - 23:50h
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
[6] Comentário enviado por premoli em 01/11/2013 - 09:31h
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
[7] Comentário enviado por smallboy em 23/11/2013 - 15:22h
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
[8] Comentário enviado por rogeriosilverio em 23/01/2014 - 11:44h
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
[10] Comentário enviado por eniorm em 18/02/2017 - 11:55h
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
[11] Comentário enviado por removido em 02/03/2017 - 13:44h
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
O que é o THP na configuração de RAM do Linux e quando desabilitá-lo
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Dicas
Como unir duas coleções de ROMs preservando as versões traduzidas (sem duplicatas)
Como instalar o Telegram Desktop no Ubuntu 24.04
Overclocking Permanente para Drastic no Miyoo Mini Plus
Problemas de chaves (/usr/share/keyrings) no Debian
Converter os repositórios Debian para o novo formato com as chaves
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 62.429 pts -
Fábio Berbert de Paula
2° lugar - 36.167 pts -
Buckminster
3° lugar - 18.626 pts -
Mauricio Ferrari
4° lugar - 13.565 pts -
Sidnei Serra
5° lugar - 12.341 pts -
Alberto Federman Neto.
6° lugar - 11.640 pts -
edps
7° lugar - 10.942 pts -
Daniel Lara Souza
8° lugar - 10.508 pts -
Diego Mendes Rodrigues
9° lugar - 9.678 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.225 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
