เหตุผลในการปิด / เปิดใช้งาน SELinux

ในบรรทัดของคำถามนี้ใน StackOverflow และฝูงชนที่แตกต่างอย่างสิ้นเชิงที่เรามีที่นี่ฉันสงสัยว่า: อะไรคือเหตุผลของคุณที่จะปิดการใช้งาน SELinux (สมมติว่าคนส่วนใหญ่ยังคงทำ)? คุณต้องการเปิดใช้งานหรือไม่ คุณเคยมีประสบการณ์ผิดปกติอะไรบ้างโดยออกจาก SELinux นอกเหนือจาก Oracle แล้วผู้ขายรายอื่น ๆ มีปัญหาในการสนับสนุนระบบที่เปิดใช้งาน SELinux หรือไม่

คำถามโบนัส: ทุกคนสามารถจัดการให้ Oracle ทำงานบน RHEL5 ด้วย SELinux ในการบังคับใช้โหมดเป้าหมายได้หรือไม่ ฉันหมายความว่าอย่างเข้มงวดจะยอดเยี่ยม แต่ฉันก็ยังทำได้ไม่ไกลนักดังนั้นให้อยู่กับเป้าหมายก่อน ;-)

RedHat เปิด SELinux เป็นค่าเริ่มต้นเพราะปลอดภัยกว่า ผู้ขายเกือบทุกรายที่ใช้ผลิตภัณฑ์ที่ได้จาก Redhat ปิด SELinux เพราะพวกเขาไม่ต้องการให้ทันเวลา (ดังนั้นจึงต้องใช้เงิน) เพื่อหาสาเหตุที่ไม่สามารถใช้งานได้ คน Redhat / Fedora ใช้เวลาและความพยายามอย่างมากในการทำให้ SELinux เป็นตัวเลือกที่เป็นไปได้ใน Enterprise แต่ไม่มีองค์กรอื่น ๆ ที่สนใจเรื่องความปลอดภัยของคุณ (พวกเขาเกี่ยวกับการดูแลของพวกเขาปลอดภัยและชื่อเสียงความปลอดภัยของผลิตภัณฑ์ของพวกเขาซึ่งเป็นสิ่งที่แตกต่างกันโดยสิ้นเชิง.)

หากคุณสามารถทำให้มันใช้งานได้ไปเลย หากไม่สามารถทำได้อย่าคาดหวังความช่วยเหลือจากผู้ขายมากมาย คุณอาจได้รับความช่วยเหลือจากพวก Redhat / Fedora จากรายชื่อผู้รับจดหมาย selinux และช่อง #selinux บน freenode แต่จาก บริษัท อย่าง Oracle - ดี SELinux ไม่ได้คำนึงถึงแผนธุรกิจของพวกเขาอย่างแท้จริง

โดยทั่วไปคุณจะดีกว่าการใช้งาน SELinux ใน Permissive แทนที่จะเป็นการปิดใช้งานทั้งหมด จากนั้นคุณสามารถตรวจสอบ (ผ่านaudit2why) หลังจากผ่านไปครู่หนึ่งเพื่อดูว่าการละเมิดประเภทใดที่จะถูกปฏิเสธในระหว่างการใช้งานปกติของคุณและสร้างนโยบายที่กำหนดเองผ่านทางaudit2allowหากการละเมิดเหล่านั้นเป็นผลบวกสำหรับการตั้งค่าของคุณ

ฉันได้พบพฤติกรรมของ SELinux ในระบบที่ไม่ได้มาจาก Fedora เพื่อให้มีความประทับใจมากกว่าสิ่งที่คุณได้รับจากระบบ Fedora / RHEL ทั่วไปตามค่าเริ่มต้น

หากคุณยังไม่เคยเห็นมันมาก่อนคุณอาจพบว่าคู่มือผู้ใช้ของFedora SELinux เป็นเรื่องเกี่ยวกับการศึกษา

เหตุผลสำหรับ:

• ระดับความปลอดภัยที่สูงขึ้นผ่านการควบคุมการเข้าใช้
• คุณต้องการเหตุผลที่สูงกว่าระดับความปลอดภัยหรือไม่ :-)

เหตุผลต่อ:

• ยากที่จะเข้าใจ
• จัดการยาก
• แก้ไขปัญหาได้ยาก

ที่กล่าวว่าถ้าคุณกำลังพิจารณา SELinux ผมขอแนะนำหนังสือSELinux โดยตัวอย่าง

ฉันทำงานให้กับบริษัทที่เปิดใช้งาน SELinux ในโหมดบังคับใช้ในทุกระบบ กุญแจสำคัญสำหรับเราคือการทำความเข้าใจและใช้โปรแกรม audit2allow ซึ่งสามารถใช้เพื่อสร้างกฎบริบทใหม่

อันดับแรกเราจะสร้างเทมเพลตที่มี audit2allow จากนั้นใช้สคริปต์เพื่อสร้างมันเช่นนี้

export NAME="my_serviced"
sudo audit2allow -m "${NAME}" -i /var/log/audit/audit.log > ${NAME}.te
sudo setup_semodule ${NAME}

สคริปต์ setup_semodule:

#!/bin/sh

# Where to store selinux related files
SOURCE=/etc/selinux/local
BUILD=/etc/selinux/local
NAME=$1

/usr/bin/checkmodule -M -m -o ${BUILD}/${NAME}.mod ${SOURCE}/${NAME}.te
/usr/bin/semodule_package -o ${BUILD}/${NAME}.pp -m ${BUILD}/${NAME}.mod
/usr/sbin/semodule -i ${BUILD}/${NAME}.pp

/bin/rm ${BUILD}/${NAME}.mod ${BUILD}/${NAME}.pp

สิ่งนี้จะสร้างโมดูลจากเทมเพลต (ไฟล์ .te) สร้างแพ็คเกจและโหลดโมดูล

เราใช้ Puppet สำหรับระบบการจัดการการกำหนดค่าของเราและเราเขียนการกำหนดค่าสำหรับ Puppet เพื่อจัดการทั้งหมดนี้

โมดูลหุ่นกระบอก SELinux:

• http://github.com/sansnoc/puppet/tree/master/selinux

เหตุผลที่ปิดเครื่องเนื่องจากอาจเป็นความเจ็บปวดในการแก้ไขข้อบกพร่อง

อย่างไรก็ตามเราไม่ปิดตอนนี้ เราเกือบจะทำให้มันทำงานต่อไป ฉันจะปิดบางครั้งเพื่อตรวจสอบอย่างรวดเร็วว่า SElinux เป็นปัญหาหรือไม่

ตอนนี้การดีบักง่ายขึ้นโดยเฉพาะถ้าคุณทำให้ตัวเองเป็นครอบครัวด้วย audit2allow คุณไม่จำเป็นต้องเข้าใจมันด้วย audit2allow แต่บางครั้งคุณสามารถเปิด thins ได้กว้างกว่าที่คุณคิดด้วย audit2allow ต้องบอกว่า SELinux บางตัวดีกว่าไม่มีเลย

ฉันไม่เคยเป็นผู้เชี่ยวชาญของ SELinux มาก่อนและได้ใช้งานมาสองสามปีแล้วเท่านั้น ฉันยังไม่เข้าใจพื้นฐานจริง ๆ แต่ฉันรู้พอที่จะทำให้แอพทำงานได้ btoh ที่รวมอยู่ใน distro และอุปกรณ์สุ่มที่รวบรวมจาก 'net

สิ่งสำคัญที่ฉันเคยใช้เป็นls -lZ(บริบท selinux แสดง), audit2allow, chcon, semodule, getenforce, setenforceและบูลี ด้วยเครื่องมือเหล่านั้นที่ฉันจัดการเพื่อให้ได้ทุกแอพฉันต้องทำงานภายใต้ SELinux

ฉันพบว่าหนึ่งในปัญหาใหญ่ของเขาในการดีบักปัญหา SELinux คือเพียงแค่ทำการตรวจสอบปัญหาของ SELinux เมื่อฉันมีปัญหาอื่น ๆ ที่ไม่สามารถอธิบายได้ ปกติฉันใช้เวลาเล็กน้อยที่จะไป "h! check SELinux !!"

ตามหน้าคนที่ผูกไว้ SELinux นั้นปลอดภัยกว่าการผูกมัดในคุก chroot ผู้คนจำนวนมากที่มีเงื่อนงำไกลเกินกว่าที่ฉันจะแนะนำดังนั้นฉันจึงรีบวิ่งไปหาคนตาบอด และผู้ต้องสงสัยแม้จะมีปัญหาเป็นครั้งคราว

ฉันปิดการใช้งาน SELinux สำหรับAppArmorฉันพบว่าเป็นมิตรและดูแลรักษาได้ง่ายกว่า SELinux

ไม่มีเหตุผลที่จะปิดเมื่อคุณสามารถเรียกใช้ในโหมดที่อนุญาต จะไม่รบกวนการทำงานของแอปพลิเคชันที่ทำงานอยู่และจะยังคงให้การบันทึกความปลอดภัยที่มีประโยชน์ ข้อยกเว้นเพียงอย่างเดียวคือเกี่ยวกับบริบทของผู้ใช้: หากคุณกำลังเปลี่ยนแปลงระหว่างผู้ใช้อื่นที่อาศัยอยู่ในอินสแตนซ์ linux อื่นที่ทำงานใน chroot คุณอาจมีปัญหา

SE Linux ไม่เป็นมิตรอย่างสิ้นหวังอย่างที่เคยเป็นมาอย่างน้อยก็ไม่ได้อยู่ในร้าน distros ที่ได้รับการสนับสนุนทางการค้าอย่าง RHEL5 ส่วนใหญ่คุณสามารถทิ้งไว้ได้และมันจะดีกับทุกอย่างที่ RedHat จัดหาให้ หากมีอย่างอื่นก็สามารถเปลี่ยนแปลงได้ ปัญหาคืองานบริการระดับมืออาชีพเพื่อให้แอปพลิเคชันทำงานด้วยการเปิดใช้งาน SE Linux เป็นรายได้ที่ดีสำหรับ บริษัท เช่น RedHat และ Oracle ดังนั้นพวกเขาจึงไม่มีแรงจูงใจที่จะทำให้ทุกอย่างทำงานได้อย่างดี ootb