SELinux - Segurança em Servidores GNU/Linux
Neste artigo demonstrarei um pouco, do conceito e prática, da tão poderosa ferramenta SELinux. Utilizei o CentOS 6 como base para meus testes. Lembrando que é um artigo mínimo, em relação a todas as opções existentes no SELinux.
[ Hits: 110.441 ]
Por: Bruno Rocha da Silva em 13/08/2012 | Blog: http://about.me/brunorochadasilva
Contextos de segurança
Em uma explicação básica, um contexto é um valor de dado assumido pelos objetos de uma classe.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
Onde:
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
Onde:
# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Nome, Idade e Peso, são exemplos de contextos do objeto "Pessoa". Cor, Categoria e Modelo, são possíveis contextos do objeto "Carro". No caso, os contextos da arquitetura DAC são: Tipo, Dono, Grupo e Outros.
Ex.:
# ls –ld /etc
Saída do comando:
drwxr-xr-x
Onde:
- d = Diretório (Tipo)
- rwx = Permissão para o dono do arquivo (Dono)
- r-x = Permissão para o grupo do do arquivo (Grupo)
- r-x = Permissão para os outros objetos do sistema (Outros)
No caso da arquitetura MAC, os contextos mudam de características, conforme: Usuário, Papel, Tipo e Nível.
Onde:
- Usuário (user_u) – O campo usuário, indica o nome do usuário do SELinux, por exemplo, o usuário "system_u", indica processos, arquivos de configuração e daemons do sistema.
- Papel (role_r) – O campo papel, é uma forma de agrupar diferentes permissões a um determinado usuário (uma espécie de grupo).
- Tipo (type_t) – O campo tipo (também conhecido como domínio), indica qual é permissão primária de determinado objeto do SELinux, essa é a primeira etapa de verificação de permissão do sistema MAC.
- Nível (s*:c*) – O campo nível, indica em qual categoria determinado objeto se encontra, com relação à segurança. O mesmo utiliza a politica MCS/MLS (Multi-Category Security/ Multi-Level Security).
Por exemplo, o nível s0:c0 indica um objeto Confidencial para todos os que possuírem o mesmo nível.
Na prática, com o mesmo diretório /etc:
# ls –Zd
Saída do comando:
System_u:object_r:etc_t:s0
Onde:
- system_u =Usuário SELinux dono do objeto
- object_r = Papel (ou papel) do SELinux
- etc_t = Domínio (ou tipo) do SELinux
- s0 = Nível de segurança do SELinux
Visualizando contextos MAC nos objetos do sistema
Para visualizar todos os processos que estão rodando no sistema, juntamente com os contextos do SELinux, vamos utilizar o comando abaixo:# ps auxZ
Perceba que apenas adicionando a opção "Z" no comando ps, já é suficiente para visualizarmos os contextos de todos os processos do SELinux. Isto vale para outros comandos também, como por exemplo, o comando ls.
Vamos visualizar o contexto de um arquivo ou diretório qualquer do sistema:
# ls –Z /boot
Saída do comando:
system_u:object_r:boot_t:s0
Isso vale também para o comando id, que nos traz informações de um determinado usuário:
Ex.:
# id –Z
Saída do comando:
unconfined_u: unconfined_r: unconfined_t:s0-s0:c0.c1023ls
Perceba que neste caso, todo o contexto está definido como: unconfined_*
...Isto indica que o SELinux não terá influência alguma no objeto correspondente.
Páginas do artigo
1. O SELinux2. Contextos de segurança
3. O comando Semanage
4. Os comandos Chcon e Restorecon
5. Variáveis booleanas
6. O comando Semodule
7. Auditoria e logs
Outros artigos deste autor
Atirando o pau no gato com Metasploit
Leitura recomendada
Usando o John theRipper para manter sua rede segura
Snort + ACID + MySQL no Slackware
Bloqueando e desbloqueando falhas de login em SSH usando o pam_tally2
Segurança da Informação na Internet
Comentários
[2] Comentário enviado por removido em 13/08/2012 - 23:50h
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
É mínimo, mas explica bem. Está bem organizada a explicação do funcionamento.
Inclusive fica fácil saber pelo que procurar caso seja necessitado aprofundar-se.
Existe livro de iptables em português, mas de selinux desconheço. Aqui está uma referência valiosa.
Parabéns.
[6] Comentário enviado por premoli em 01/11/2013 - 09:31h
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
Meus filhin tão sem SELinux:
root@server_seguro:~# sestatus
-bash: sestatus: comando não encontrado
root@server_seguro:~# find / -iname selinux
/selinux
^C
root@server_seguro:~# semodule -l
-bash: semodule: comando não encontrado
root@server_seguro:~# cd /selinux
root@server_seguro:/selinux# ls
root@server_seguro:/selinux# ls -a
. ..
[7] Comentário enviado por smallboy em 23/11/2013 - 15:22h
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
Eu tenho esse pacote aqui no meu Fedora 19 para ser instalado, no caso SElinux. Não instalei posso instalar ele sem medo algum, o que ele vai me trazer de beneficio e de maleficio no uso do dia a dia. SElinux está disponível no EasyLife para ser instalado.
[8] Comentário enviado por rogeriosilverio em 23/01/2014 - 11:44h
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
Ótimo Artigo! agora compreendi o SELINUX...Parabéns!
[10] Comentário enviado por eniorm em 18/02/2017 - 11:55h
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
Muito bom. Venho do FreeBSD que também possui sua própria implementação MAC, e falta material em português e até mesmo inglês. Gostei muito desse artigo. Espero que os comentários de agradecimento sirvam de incentivo para que o autor possa continuar escrevendo mais sobre SELinux. Att
[11] Comentário enviado por removido em 02/03/2017 - 13:44h
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Quando alguém fala em selinux eu lembro de NSA.
http://www.ibm.com/developerworks/br/library/l-secure-linux-ru/
https://caminhandolivre.wordpress.com/2013/01/04/introducao-ao-selinux/
Sera que o selinux vem com códigos maliciosos tipo:
Backdoor
https://pt.wikipedia.org/wiki/Backdoor
keyloggers
https://pt.wikipedia.org/wiki/Keylogger
botnet
https://pt.wikipedia.org/wiki/Botnet
Exploit (Elevação de privilégio)
https://pt.wikipedia.org/wiki/Exploit_%28seguran%C3%A7a_de_computadores%29
Sempre identifique as vulnerabilidades do seu sistema e os riscos.
http://blog.infolink.com.br/analise-de-vulnerabilidades-em-ti/
-----------------------------------------------------
Conhecimento é poder - Thomas Hobbes
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Por que seu __DIR__ falhou ou o "inferno" dos caminhos no PHP
Preparando-se para certificações da LPI através do LPI Lab
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Dicas
Ativando o modo Quake no XFCE4-Terminal
[Tutorial] Configurando Multimaster no Samba 4 AD (DC02) + Explicação de FSMO Roles
[Resolvido] Google Chrome reclamando de perfil em uso após mudar hostname
Instalando o Tema de Ícones Tela Circle
Copiar Para e Mover Para no menu de contexto do Nautilus e Dolphin
Tópicos
Senhor Einstein tinha razão mesmo! [RESOLVIDO] (9)
Como instalar Warsaw no Gentoo? (1)
Da pra formatar um netbook MGB e usar algum linux nele? É possível usa... (4)
Top 10 do mês
-
Xerxes
1° lugar - 129.335 pts -
Fábio Berbert de Paula
2° lugar - 67.321 pts -
Buckminster
3° lugar - 42.778 pts -
Alberto Federman Neto.
4° lugar - 35.034 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 23.385 pts -
edps
6° lugar - 22.164 pts -
Daniel Lara Souza
7° lugar - 21.288 pts -
Sidnei Serra
8° lugar - 20.616 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 19.982 pts -
Andre (pinduvoz)
10° lugar - 16.183 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
