SELinux - Segurança em Servidores GNU/Linux
Neste artigo demonstrarei um pouco, do conceito e prática, da tão poderosa ferramenta SELinux. Utilizei o CentOS 6 como base para meus testes. Lembrando que é um artigo mínimo, em relação a todas as opções existentes no SELinux.
[ Hits: 110.203 ]
Por: Bruno Rocha da Silva em 13/08/2012 | Blog: http://about.me/brunorochadasilva
Contextos de segurança
Em uma explicação básica, um contexto é um valor de dado assumido pelos objetos de uma classe.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
Onde:
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
Onde:
# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
drwxr-xr-x
Onde:
- d = Diretório (Tipo)
- rwx = Permissão para o dono do arquivo (Dono)
- r-x = Permissão para o grupo do do arquivo (Grupo)
- r-x = Permissão para os outros objetos do sistema (Outros)
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
- Usuário (user_u) – O campo usuário, indica o nome do usuário do SELinux, por exemplo, o usuário "system_u", indica processos, arquivos de configuração e daemons do sistema.
- Papel (role_r) – O campo papel, é uma forma de agrupar diferentes permissões a um determinado usuário (uma espécie de grupo).
- Tipo (type_t) – O campo tipo (também conhecido como domínio), indica qual é permissão primária de determinado objeto do SELinux, essa é a primeira etapa de verificação de permissão do sistema MAC.
- Nível (s*:c*) – O campo nível, indica em qual categoria determinado objeto se encontra, com relação à segurança. O mesmo utiliza a politica MCS/MLS (Multi-Category Security/ Multi-Level Security).
Por exemplo, o nível s0:c0 indica um objeto Confidencial para todos os que possuírem o mesmo nível.
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
System_u:object_r:etc_t:s0
Onde:
- system_u =Usuário SELinux dono do objeto
- object_r = Papel (ou papel) do SELinux
- etc_t = Domínio (ou tipo) do SELinux
- s0 = Nível de segurança do SELinux
Visualizando contextos MAC nos objetos do sistema
Para visualizar todos os processos que estão rodando no sistema, juntamente com os contextos do SELinux, vamos utilizar o comando abaixo:# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
system_u:object_r:boot_t:s0
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
unconfined_u: unconfined_r: unconfined_t:s0-s0:c0.c1023ls
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Páginas do artigo
1. O SELinux2. Contextos de segurança
3. O comando Semanage
4. Os comandos Chcon e Restorecon
5. Variáveis booleanas
6. O comando Semodule
7. Auditoria e logs
Outros artigos deste autor
Atirando o pau no gato com Metasploit
Leitura recomendada
Encriptando suas senhas de forma (mais) segura no Pidgin
Alta disponibilidade com IP compartilhado - UCARP
Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux
Comentários
[2] Comentário enviado por removido em 13/08/2012 - 23:50h
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
[6] Comentário enviado por premoli em 01/11/2013 - 09:31h
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
[7] Comentário enviado por smallboy em 23/11/2013 - 15:22h
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
[8] Comentário enviado por rogeriosilverio em 23/01/2014 - 11:44h
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
[10] Comentário enviado por eniorm em 18/02/2017 - 11:55h
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
[11] Comentário enviado por removido em 02/03/2017 - 13:44h
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Papagaiando o XFCE com temas e recursos
WhatsApp com Chamadas no Linux via Waydroid
XFCE - quase um Gnome ou Plasma mas muito mais leve
LXQT - funcional para máquinas pererecas e usuários menos exigentes
Dicas
Como cortar as partes de um vídeo com passagens de áudio em branco
Tiling automático no KDE Plasma
SNMP Scan no OCS Inventory só funciona com HTTPS corretamente configurado
Tópicos
Links importantes de usuários do vol (4)
GOG confirma suporte oficial ao sistema Linux: "o trabalho começo... (2)
Para os fãs de DOOM, um vídeo do Romero (com dublagem em pt-br disponí... (2)
Top 10 do mês
-
Xerxes
1° lugar - 124.481 pts -
Fábio Berbert de Paula
2° lugar - 58.092 pts -
Buckminster
3° lugar - 26.922 pts -
Alberto Federman Neto.
4° lugar - 19.170 pts -
Mauricio Ferrari (LinuxProativo)
5° lugar - 19.561 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 18.690 pts -
Sidnei Serra
7° lugar - 18.526 pts -
Daniel Lara Souza
8° lugar - 18.465 pts -
edps
9° lugar - 17.835 pts -
Andre (pinduvoz)
10° lugar - 16.546 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
