LVEE 2009, день второй. часть третья. SELINUX.

Собственно обед.
Вкусно, медленно, маловато. Надо бы две порции куриного кусочка + пюре.

1. SELINUX не дистрибутив.
Что же позволяет SELINUX.
Можно задать явные правила как пользователи будут обращаться к файлам, каналам и т.д.
Получив контроль над демоном, пользователь получает полный доступ.
SELINUX позволит дополнительно ограничить сетевого демона. И при этом запрещая доступ к портам, файлам которые ему не требуются.
SELINUX название технологии.
Рабочие политики:
* более 100 000 правил, поэтому создание и отладка занимает значительное время;
* наиболее распространены:
* целевая;
* многоуровневая;
* строгая политика, что не разрешено то запрещено.
Основные понятия:
- сущность: пльзователь в обучной схеме доступа (может совпадать с логином, может быть несколько логинов), человек, пропуск, паспорт;
- домен: список действий одного процесса (что может делать один процесс) применяется к субъектам;
- роль: список доменов или список операций (должность, должностная инструкция);
- тип: набор действий к объекту (что с нами можно делать) применяется к объектам.
контекст безопастности: список сущностей, доменов, ролей, типов.
Смена контекста безопастности (переход):
* переход домена-процесса (если демон не будет переходить, то права останутся как у пользователя);
* переход типа файла (для апача страничку копируем);
SELINUX умеет от каталога имеет способность менять тип.
Политика: это правила взаимодействия всего.
* audit2allow - утилита для разработки модулей! быть осторожным;
* chcon - предназначена для временной смены контекста файлов;
* semanage - управление SELINUX.
Возможно создание собственных политик безопасности.
Возможно создание собственных групп, создание подключений к ним определенных сервисов (определенных копий сервисов) в результате, сервисы получают доступ только к конкретной копии сервиса (пример на Apache->LDAP, Apache-|PrivateLDAP).