Zásada SELinux popisuje přístupová oprávnění pro všechny uživatele, programy, procesy, soubory a zařízení, se kterými jednají. SELinux implementuje jednu ze dvou různých zásad:
- Cílené :Tato výchozí zásada aplikuje řízení přístupu na určité (cílené) procesy.
- MLS :Víceúrovňové zabezpečení
Vyberte typ politiky z GUI SELinux nebo nastavte direktivu SELINUXTYPE v souboru /etc/selinux/config. Příklad:
# vim /etc/selinux/config SELINUXTYPE=targeted
S cílenou politikou běží cílené procesy ve vlastní doméně, která se nazývá omezená doména. V omezené doméně jsou soubory, ke kterým má cílový proces přístup, omezené. Pokud je omezený proces ohrožen útočníkem, přístup útočníka ke zdrojům a možné škody, které mohou způsobit, jsou také omezené. SELinux odepře přístup k těmto zdrojům a zaprotokoluje odmítnutí.
Pouze specifické služby jsou umístěny do těchto odlišných bezpečnostních domén, které jsou omezeny politikou. Uživatel například běží ve zcela neomezené doméně, zatímco služby, které v síti naslouchají požadavkům klientů, jako jsou named, httpd a sshd, běží ve specifické omezené doméně přizpůsobené jejímu provozu. Procesy, které běží jako uživatel root v Linuxu a provádějí úlohy pro uživatele, jako je aplikace passwd, jsou také omezeny.
Procesy, které nejsou cíleny, běží v neomezené doméně. Pravidla zásad SELinux umožňují téměř veškerý přístup procesům běžícím v neomezených doménách. Pokud dojde ke kompromitaci neomezeného procesu, SELinux nezabrání útočníkovi získat přístup k systémovým zdrojům a datům. Pravidla DAC stále platí v neomezené doméně. Následují příklady neomezených domén:
- doména initrc_t :init programy běží v této neomezené doméně.
- doména kernel_t :V této doméně běží neomezené procesy jádra.
- doména unconfined_t :Uživatelé systému Linux přihlášení do systému běží v této doméně.
Mnoho domén, které jsou chráněny SELinuxem, má manuálové stránky popisující, jak upravit jejich zásady. Konfigurace pro každou zásadu je nainstalována v /etc/selinux/[SELINUXTYPE] adresáře. Následující příklad ukazuje částečný výpis /etc/selinux adresář s nainstalovanými cílovými i MLS zásadami:
# ll -lrt /etc/selinux/ total 16 -rw-r--r--. 1 root root 546 Jan 1 2017 config drwxr-xr-x. 2 root root 6 Aug 4 2017 tmp -rw-r--r--. 1 root root 2321 Aug 4 2017 semanage.conf drwxr-xr-x. 7 root root 4096 Feb 19 19:20 targeted drwx------. 2 root root 6 Feb 19 19:20 final drwxr-xr-x. 7 root root 4096 Mar 5 16:39 mls
Cílená zásada je standardně nainstalována, ale zásada MLS nikoli. Chcete-li použít zásadu MLS, nainstalujte balíček selinux-policy-mls:
# yum install selinux-policy-mlsPrůvodce SELinux pro začátečníky
Jak zakázat nebo nastavit SELinux na Permisivní režim
Jak zkontrolovat, zda je SELinux povolen nebo zakázán
Jak povolit/zakázat režimy SELinux v RHEL/CentOS
Co jsou režimy SELinux a jak je nastavit