SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике
gtosss 15 минут назад SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике Средний 11 мин 447 Системное администрирование * Linux * Настройка Linux * Информационная безопасность * *nix *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. gtosss 15 минут назад SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике Средний 11 мин 447 Системное администрирование * Linux * Настройка Linux * Информационная безопасность * *nix * Туториал В статье пойдет речь о SELinux. Главная моя задача — провести быстрый онбординг о том, как работать с политиками доступов. Я хочу показать, что это вовсе не так сложно, как может показаться на первый взгляд.
Буквально 15 минут ознакомления с базовыми понятиями дает 80% понимания как работать с SELinux более уверенно. Статья не совсем про написание политик, скорее про их понимание. Все описанное необходимо, чтобы уверенно пользоваться утилитами, более осмысленно работать с системой, решать проблемы и задачи, с которыми придется столкнуться в процессе эксплуатации SELinux.
Технические детали
ОглавлениеПолезные утилиты restoreconsemanagesesearchaudit2allowsealertСинтаксис политик Контекст SELinuxСинтаксис файлов при описании политикСтруктура правил (. te файлы)ТипыАтрибутыКлассыМакросы (макропроцессор m4, интерфейсы, . if файлы)ДоменСоглашение по именованиюРазбираемся на практикеПолезные утилитыЯ использую Fedora.
Для начала убедимся, что у нас есть необходимый набор утилит:which restorecon semanage sesearch audit2allow sealert В моем случае все на месте за исключением sesearch — полезной утилиты, которая позволяет осуществлять поиск правил SELinux политик. Она входит в пакет setools-console. Установим:dnf install setools-console Краткий онбординг по утилитам:restoreconВосстанавливает контекст безопасности файлов/каталогов согласно политике.
Иными словами устанавливает в файловой системе рекомендованный контекст, который предустановлен в политиках. Несколько примеров, когда она используется:Были изменены пути в системе. При копировании наследуется контекст каталога назначения (куда переместили такой контекст и получаем), при перемещении наследуется контекст источника (откуда перемещали тот контекст и сохраниться).
Отраслевые последствия
Что-то создали по нестандартному пути. Распаковали архив (архив хранит исходные контексты). После команды semanage fcontext — базу рекомендованных контекстов изменили, но сама файловая система осталась нетронутой.
Рекомендованный (эталонный контекст) указывается в файлах . fc их можно посмотреть в репозитории SELinuxProject refpolicy. Или соответствующими командами.
Например, известно что, по умолчанию файлам в домашней директории присваивается тип user_home_t. Мы можем увидеть это правило командой:semanage fcontext -l | grep user_home_t /home/+/. + all files unconfined_u:object_r:user_home_t:s0 Или в исходниках refpolicy.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
