SL62 SELinux のバックアップ(No.9)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
SL62 SELinux へ行く。
- 1 (2012-03-27 (火) 17:32:12)
- 2 (2012-03-27 (火) 17:35:10)
- 3 (2012-04-01 (日) 04:08:53)
- 4 (2012-04-01 (日) 16:14:42)
- 5 (2012-04-01 (日) 16:48:53)
- 6 (2012-04-02 (月) 16:32:14)
- 7 (2012-04-03 (火) 16:07:05)
- 8 (2012-05-04 (金) 16:47:12)
- 9 (2012-05-04 (金) 16:48:45)

整理中

SELinux とは？
ドメインとタイプを調べる
管理コマンド
ログ解析
参考文献

SELinux とは？ †

従来の DAC によるアクセス制御の他に MAC でもアクセス制御を行う
DAC：Discretionary Access Control 任意アクセス方式
- 既存のファイルアクセス方式
- たとえば /var/www をみてみると
```
$ ls -la /var/www/
合計 24
drwxr-xr-x.  6 root root 4096  4月  1 22:02 2012 .
drwxr-xr-x. 22 root root 4096  4月  1 22:02 2012 ..
drwxr-xr-x.  2 root root 4096  2月 15 00:48 2012 cgi-bin
drwxr-xr-x.  3 root root 4096  4月  1 22:02 2012 error
drwxr-xr-x.  2 root root 4096  2月 15 00:48 2012 html
drwxr-xr-x.  3 root root 4096  4月  1 22:02 2012 icons
```
  なので、下表のように owner(root) には、読み・書き・実行を許可。root グループのユーザおよびその他のユーザには、読み・実行のみが許可される。
  read write execute
  owner r w x
  group r - x
  everyone r - x
- →侵入されないことが前提
MAC：Mandatory Access Control 強制アクセス方式
- TE：Type Enforcement
  - プロセスはドメインに属する
  - 資源(ファイル) はタイプに属する
  - どの ドメイン に、どの タイプ の利用を許可するかのアクセスベクタ に定義する
- アクセスベクタは、/etc/selinux/targeted/policy/policy.?? に格納されている
```
$ ls /etc/selinux/
config  restorecond.conf  restorecond_user.conf  semanage.conf  targeted
```
  - targetd : 通常のセキュリティポリシー (デフォルトインストール)
  - strict : 厳しいセキュリティポリシー (selinux-policy-strict をインストールする)
  - mls : strictとレベルによるアクセス制御 (selinux-policy-mls をインストールする)
  - policy.?? はバイナリファイルなので直接読めない → テキストファイルをコンパイルするか、ツールで操作する
- SELinux は kernel module で、プロセスが資源(ファイル)を使おうとするときにアクセスベクタを調べて、プロセスの実行を可否する
- →侵入されたときに、被害を最小限に食い止める

ドメインとタイプを調べる †

ドメイン(httpd)

# ps -eZ | grep httpd
system_u:system_r:httpd_t:s0     2292 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2301 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2302 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2304 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2305 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2306 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2307 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2308 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2309 ?        00:00:00 httpd

system_u	ユーザ名	targetdではダミーが設定される
system_r	ロール名	targetdではダミーが設定される
httpd_t	ドメイン	★targetdで使われるのはこいつだけ★
s0	レベル	targetdではs0が設定される

# ps -Z
LABEL                             PID TTY          TIME CMD
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3110 pts/0 00:00:00 su
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3121 pts/0 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3165 pts/0 00:00:00 ps

targetd ポリシーでは、unconfined_t、initrc_t はアクセス制限を受けない
ログインユーザが起動したプロセスは unconfined_t になる
strict ポリシー、mls ポリシーでは unconfined_t タイプは禁止

タイプ (/var/www/)

$ ls -dZ /var/www/*
drwxr-xr-x. root root system_u:object_r:httpd_sys_script_exec_t:s0 /var/www/cgi-bin
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/error
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/icons

system_u	ユーザ名	targetdではダミーが設定される
object_r	ロール名	targetdではダミーが設定される
httpd_sys_conetnt_t	タイプ	★targetdで使われるのはこいつだけ★
s0	レベル	targetdではs0が設定される

アクセスベクタ
- policy ファイルは、バイナリなので、閲覧・編集にはツールが必要
- setools のインストール
```
# yum -y install setools-gui
```
- アクセスベクタの確認
```
# apol
```
  ドメイン httpd_t は、タイプ httpd_sys_contents_t に対して、read, write, getattr,… が許可されていることが分かる

↑

管理コマンド †

/etc/selinux/config

$ cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

SELinux の起動設定
設定項目は２つだけ
SELINUX enforcing(アクセス制御をする)、permissive(制御はするが、実行拒否はしない)
SELINUXTYPE targetd, strict, mls

ファイルタイプの初期化
```
# touch ./autorelabel
# reboot
```

動作モードの切り替え

# setenforce 1
# getenforce 
Enforcing

# setenforce 0
# getenforce 
Permissive

動作モードの確認

# sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

↑

ログ解析 †

SELinux のログ解析ツールをインストール
```
# yum -y audit*
# yum -y install policycoreutils*
# yum -y install setroubleshoot*
```
- auditd : 特定のシステムコールの呼び出しをログに記録するデーモン。プロセスが SELinux に資源へのアクセスを妨害されたときのログを出力させる
- audit2allow : auditd のログを元に、アクセスベクタの雛形を生成する
- policycoreutils (/usr/bin/system-config-selinux) : ポリシーの GUI 設定ツール
- setroubleshootd : auditd が抽出した SELinux 関係のトラブルに対するアドバイスを生成する
- auditd は、インストール時に自動起動するように設定されている。
- setroubleshoot はデーモンとして起動する必要は無い(人間が対処方法を考えるときに auditd のログを解析すれば良い・・・と言うのが Scientific Linux の方針? setroubleshoot-server をインストールしてもサービスとして登録されない)

例題 : slapd (LDAP) が立ち上がらない

起動失敗

# /etc/rc.d/init.d/slapd start
slapd の設定ファイルをチェック中:                          [失敗]
olcDbDirectory: value #0: invalid path: Permission denied
config error processing olcDatabase={1}bdb,cn=config: olcDbDirectory: value #0: invalid path: Permission denied
slaptest: bad configuration file!

SELinux が原因か調査する

# setenforce 0
# getenforce
Permissive
# /etc/rc.d/init.d/slapd start
slapd を起動中:                                            [  OK  ]

SELinux の実行モードを Permissive にすると起動することから SELinux が原因だと分かる。
元にもどす

# /etc/rc.d/init.d/slapd stop
slapd を停止中:                                            [  OK  ]
# setenforce 1
# getenforce
Enforcing

/var/log/messages をみる

May 4 21:43:19 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from write access on the directory ldap.
For complete SELinux messages. run sealert -l ac7a035b-2e6d-4ee7-ba3a-f220bc8f1aa7
May 4 21:43:20 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from write access on the directory ldap.
For complete SELinux messages. run sealert -l ac7a035b-2e6d-4ee7-ba3a-f220bc8f1aa7
May 4 21:43:21 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from write access on the directory ldap.
For complete SELinux messages. run sealert -l ac7a035b-2e6d-4ee7-ba3a-f220bc8f1aa7
May 4 21:43:22 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from write access on the directory ldap.
For complete SELinux messages. run sealert -l ac7a035b-2e6d-4ee7-ba3a-f220bc8f1aa7
May 4 21:43:23 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from remove_name access on the directory DUMMY.
For complete SELinux messages. run sealert -l f152bf10-f1fe-4235-9f90-194573beca05
May 4 21:43:23 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from remove_name access on the directory DUMMY.
For complete SELinux messages. run sealert -l f152bf10-f1fe-4235-9f90-194573beca05
May 4 21:43:24 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from read access on the file DB_CONFIG.
For complete SELinux messages. run sealert -l bbde5eb7-698d-4339-8e70-212af67e3832
May 4 21:43:25 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from lock access on the file /var/lib/ldap/alock.
For complete SELinux messages. run sealert -l be1e9256-3cc4-4dc7-80d0-759a4e0d285f
May 4 21:43:26 gs setroubleshoot: SELinux is preventing /usr/sbin/slapd from getattr access on the file /var/lib/ldap/alock.
For complete SELinux messages. run sealert -l dc76c0fe-9ec1-4a34-add3-1bad390863db

/var/log/audit/audit.log にもログが出力されるけど、/var/log/messages の方がわかりやすい
/var/lib/ldap/ のアクセス権の問題っぽいですな

推奨されている解決策を表示

# sealert -l ac7a035b-2e6d-4ee7-ba3a-f220bc8f1aa7

SELinux is preventing /usr/sbin/slapd from write access on the ディレクトリ ldap.

*****  プラグイン catchall_labels (83.8 confidence) が提案しています   ********************

もし、 slapd が  ldap directory の write アクセスを持つことを許可したい
そして、ldap のラベルを変更する必要があります
行ってください
# semanage fcontext -a -t FILE_TYPE 'ldap'
この FILE_TYPE 以下のどれかです: var_lock_t, tmp_t, tmpfs_t, slapd_replog_t, var_run_t, slapd_db_t, slapd_tmpfs_t, var_log_t, 
slapd_log_t, slapd_var_run_t, slapd_tmp_t, root_t. 
次にこれを実行してください: 
restorecon -v 'ldap'


*****  プラグイン catchall (17.1 confidence) が提案しています   ***************************

もし、slapd に、 ldap directory の write アクセスがデフォルトで許可されるべきです。   
そして、これをバグをして報告すべきです。 
このアクセスを許可するために、ローカルポリシーモジュールを生成することができます。
行ってください
このアクセスを一時的に許可するには、以下を実行してください。:
# grep slaptest /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

やってみる

SELinux の type 設定ファイルにエントリを追加

# semanage fcontext -a -t slapd_db_t "/etc/openldap/(/.*)?"
# cat /etc/selinux/targeted/contexts/files/file_contexts | grep openldap
/var/run/openldap(/.*)?	system_u:object_r:slapd_var_run_t:s0
/etc/openldap/slapd\.d(/.*)?	system_u:object_r:slapd_db_t:s0

反映

# restorecon -R /etc/openldap/slapd.d
# ls -dZ /etc/openldap/slapd.d
drwxr-xr-x. ldap ldap unconfined_u:object_r:slapd_db_t:s0 /etc/openldap/slapd.d
# ls -dZ /etc/openldap/slapd.d/*
drwxr-x---. ldap ldap unconfined_u:object_r:slapd_db_t:s0 /etc/openldap/slapd.d/cn=config
-rw-------. ldap ldap unconfined_u:object_r:slapd_db_t:s0 /etc/openldap/slapd.d/cn=config.ldif

同様に

# semanage fcontext -a -t slapd_db_t "/var/lib/ldap/(/.*)?"
# restorecon -R /var/lib/ldap

起動した

# /etc/rc.d/init.d/slapd start
slapd を起動中:                                            [  OK  ]

原因究明は GUI でもできる
- SELinux によってアクセス拒否が起きると通知領域にアイコンが表示される
- 詳細を表示すると、先ほどの解決策が表示される

↑

参考文献 †

http://rewse.jp/blog/p/4825

Scientific 6.2 Server?

SELINUX	enforcing(アクセス制御をする)、permissive(制御はするが、実行拒否はしない)
SELINUXTYPE	targetd, strict, mls

	read	write	execute
owner	r	w	x
group	r	-	x
everyone	r	-	x