SELinux - Security Enhanced Linux

luizvieira

A estrutura SELinux (Security Enhanced Linux) é uma camada de segurança extra para servidores que limita as ações dos usuários e programas pela imposição de políticas de segurança por todo o sistema operacional. As restrições impostas por suas políticas fornecem segurança extra contra acesso não autorizado.

[ Hits: 65.270 ]

Por: Luiz Vieira em 07/05/2009 | Blog: http://hackproofing.blogspot.com/

1 0

Denuncie Favoritos Indicar Impressora

Instalando o SELinux

Caso utilize uma distribuição Linux que não possua suporte a SELinux, é necessário instalar os seguintes pacotes:

libselinux1: contém as bibliotecas necessárias para o novo SELinux;
selinux-policy-default: contém arquivos de policiamento para a maioria dos programas usados, como postfix, sendmail etc;
checkpolicy: contém o compilador do policiamento de segurança;
policycoreutils: contém utilidades, como setfiles, load_policy, newrole etc;
selinux-utils: contém utilitários para algumas aplicações, como para pesquisar o policiamento;
selinux-doc: contém documentações;
libsemanage: contém algumas bibliotecas;
libsepol: contém algumas bibliotecas.

Pacotes adicionais a serem instalados no Debian

coreutils: contém versões modificadas de comandos, como cp, mv e ls;
procps: contém versões modificadas de comandos, como ps e top;
sysvinit: contém um "pach" para carregar o policiamento;
dpkg: é necessário para rotular os arquivos corretamente, após o pacote ser instalado;
logrotate: contém uma versão modificada do pacote logrotate, o qual preserva a segurança dos contextos dos novos arquivos no SELinux;
cron: é necessário para rodar scripts nos domínios corretos.

Para isso basta usar o comando "apt-get install" em seu terminal de comandos. E não é necessário realizar o boot na máquina antes de instalá-los, então eles podem ser instalados a qualquer momento.

Configurações básicas

Editando seu arquivo /etc/fstab e criando o /etc/selinux:

Antes de fazer o "reboot" do sistema, primeiramente é necessário editar o arquivo /etc/fstab, criar o diretório /etc/selinux e configurar as permissões para o modo 500. Então edite seu /etc/fstab incluindo o seguinte:

none /selinux selinuxfs noauto 0 0

Executando o comando "make relabel"

Se seu kernel é 2.6.x com suporte a XATTR, depois de criar o diretório /etc/selinux e editar o arquivo /etc/fstab, é necessário executar o comando:

# make -C /etc/selinux relabel

Este comando dá um novo rótulo para o arquivo de sistemas, com o correto contexto de segurança.

Porém se seu Kernel é 2.4.x, este comando não pode ser dado agora.

Editando /etc/pam.d/login e etc/pam.d/ssh

Antes de fazer o "reboot" do sistema é necessário editar os arquivos /etc/pam.d/login e /etc/pam.d/ssh para que o shell seja iniciado no contexto correto, então adicione "session required pam_selinux.so" em ambos estes arquivos.

Página anterior Próxima página

Páginas do artigo

   1. Conceitos iniciais
   2. Pré-requisitos
   3. Instalando o SELinux
   4. Contas de usuários
   5. Regras

Outros artigos deste autor

Linux no Pendrive

PNL para Hacking

Forense em Máquinas Virtuais

Bypass de firewall com tunelamento por DNS

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Leitura recomendada

Protegendo seu Linux de ataques de brute force via ssh

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Instalação e configuração do HexChat com a rede Tor

Metasploit Community Edition - Instalation

Vulnerabilidade em mais de 6 milhões de sites com flash

Comentários

[1] Comentário enviado por rl27 em 27/08/2009 - 16:35h

Parabéns Luiz!
Seu artigo ficou bem legal. Foi mais direto ao ponto.
Agora dá pra começar a estudar SELinux. :)
Na verdade comecei esses dias estudar o GNU/Linux com mais seriedade.
Redes e segurança da informação me interessam muito. Já tinha lido algumas coisas sobre SELinux. mas seu artigo deu uma clareada legal.
Valeu!
Abraço

0 0