Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.09.2020

Konferencja PIKE 2020 „Nowy...

Liderzy branży telekomunikacji i mediów o nowych wyzwaniach i przyszłości branży w...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

SELINUX – lepsza ochrona

Data publikacji: 01-12-2012 Autor: Grzegorz Kuczyński

Kontynuujemy tematykę bezpieczeństwa systemów operacyjnych GNU/Linux. W poprzedniej części cyklu przedstawiliśmy podstawy działania i konfiguracji mechanizmu bezpieczeństwa SELinux. W niniejszym artykule omówimy reguły warunkowe, operacje na plikach, pracę z modelem MLS/MCS i zarządzanie usługami.

Język polityki SELinux pozwala na definiowanie reguł warunkowych. Do ich włączania oraz sprawdzania służą polecenia setsebool i getsebool. Reguły warunkowe uzależnione są od stanu stałych, które przyjmują wartości 1 lub 0. SELinux pozwala dodawać lub usuwać reguły warunkowe bez restartowania systemu, a zmiany zachowują się na stałe. Aby zobaczyć wszystkie dostępne przełączniki, należy wydać polecenie getsebool -a. Np. aby odnaleźć zmienną dotyczącą polecenia ping i domeny user_t, wystarczy wydać polecenie getsebool -a |grep ping. Zmienna warunkowa nosi nazwę user_ping i dotyczy opcjonalnych reguł, pozwalających na używanie programu ping przez użytkowników typu user_t. Sprawdźmy, jak to działa, włączając ją poleceniem setsebool -P user_ping on. Po jego wykonaniu użytkownik test1 działający w domenie user_t również będzie mógł używać polecenia ping.

 

Po uruchomieniu trybu enforcing straciliśmy możliwość zdalnego logowania na konto test2. Polityka nie zezwala na zdalne logowanie dla użytkowników typu sysadm_t. Można to zmienić za pomocą zmiennej ssh_sysadm_login, która jest wyłączona: getsebool ssh_sysadm_login.

> Etykietowanie plików

Poznaliśmy już sposób, w jaki SELinux chroni procesy, teraz dowiemy się, w jaki sposób chronione są dane, czyli pliki. Zasadniczą różnicą między kontekstem pliku a procesu jest to, że ten pierwszy musi być na stałe zapisany i przetrwać między kolejnymi uruchomieniami systemu.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"