SELinux - Segurança em Servidores GNU/Linux
Neste artigo demonstrarei um pouco, do conceito e prática, da tão poderosa ferramenta SELinux. Utilizei o CentOS 6 como base para meus testes. Lembrando que é um artigo mínimo, em relação a todas as opções existentes no SELinux.
[ Hits: 109.169 ]
Por: Bruno Rocha da Silva em 13/08/2012 | Blog: http://about.me/brunorochadasilva
Contextos de segurança
Em uma explicação básica, um contexto é um valor de dado assumido pelos objetos de uma classe.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
Onde:
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
Onde:
# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
drwxr-xr-x
Onde:
- d = Diretório (Tipo)
- rwx = Permissão para o dono do arquivo (Dono)
- r-x = Permissão para o grupo do do arquivo (Grupo)
- r-x = Permissão para os outros objetos do sistema (Outros)
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
- Usuário (user_u) – O campo usuário, indica o nome do usuário do SELinux, por exemplo, o usuário "system_u", indica processos, arquivos de configuração e daemons do sistema.
- Papel (role_r) – O campo papel, é uma forma de agrupar diferentes permissões a um determinado usuário (uma espécie de grupo).
- Tipo (type_t) – O campo tipo (também conhecido como domínio), indica qual é permissão primária de determinado objeto do SELinux, essa é a primeira etapa de verificação de permissão do sistema MAC.
- Nível (s*:c*) – O campo nível, indica em qual categoria determinado objeto se encontra, com relação à segurança. O mesmo utiliza a politica MCS/MLS (Multi-Category Security/ Multi-Level Security).
Por exemplo, o nível s0:c0 indica um objeto Confidencial para todos os que possuírem o mesmo nível.
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
System_u:object_r:etc_t:s0
Onde:
- system_u =Usuário SELinux dono do objeto
- object_r = Papel (ou papel) do SELinux
- etc_t = Domínio (ou tipo) do SELinux
- s0 = Nível de segurança do SELinux
Visualizando contextos MAC nos objetos do sistema
Para visualizar todos os processos que estão rodando no sistema, juntamente com os contextos do SELinux, vamos utilizar o comando abaixo:# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
system_u:object_r:boot_t:s0
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
unconfined_u: unconfined_r: unconfined_t:s0-s0:c0.c1023ls
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Páginas do artigo
1. O SELinux2. Contextos de segurança
3. O comando Semanage
4. Os comandos Chcon e Restorecon
5. Variáveis booleanas
6. O comando Semodule
7. Auditoria e logs
Outros artigos deste autor
Atirando o pau no gato com Metasploit
Leitura recomendada
Elastic SIEM - Instalação e Configuração do LAB (Parte I)
Servidores Proxy - Segurança da Informação
Administrando Linux via web (parte 1)
As melhores ferramentas de segurança pra Linux
Comentários
[2] Comentário enviado por removido em 13/08/2012 - 23:50h
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
[6] Comentário enviado por premoli em 01/11/2013 - 09:31h
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
[7] Comentário enviado por smallboy em 23/11/2013 - 15:22h
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
[8] Comentário enviado por rogeriosilverio em 23/01/2014 - 11:44h
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
[10] Comentário enviado por eniorm em 18/02/2017 - 11:55h
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
[11] Comentário enviado por removido em 02/03/2017 - 13:44h
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Resolver algumas mensagens de erro do SSH
Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run
Tópicos
O que você está ouvindo agora? [2] (189)
warsaw parou de funcionar após atualização do sistema (solução) (10)
Top 10 do mês
-
Xerxes
1° lugar - 74.517 pts -
Fábio Berbert de Paula
2° lugar - 52.231 pts -
Daniel Lara Souza
3° lugar - 18.477 pts -
Mauricio Ferrari
4° lugar - 17.346 pts -
Buckminster
5° lugar - 14.609 pts -
Alberto Federman Neto.
6° lugar - 14.323 pts -
edps
7° lugar - 13.884 pts -
Diego Mendes Rodrigues
8° lugar - 13.059 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.574 pts -
Andre (pinduvoz)
10° lugar - 12.507 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
