Capítulo 7. Escribir una política SELinux personalizada
Esta sección le guía sobre cómo escribir y utilizar una política personalizada que le permita ejecutar sus aplicaciones confinadas por SELinux.
7.1. Políticas personalizadas de SELinux y herramientas relacionadas
Una política de seguridad SELinux es una colección de reglas SELinux. Una política es un componente central de SELinux y es cargada en el kernel por las herramientas de espacio de usuario de SELinux. El kernel impone el uso de una política SELinux para evaluar las solicitudes de acceso en el sistema. Por defecto, SELinux deniega todas las solicitudes excepto las que corresponden a las reglas especificadas en la política cargada.
Cada regla de política de SELinux describe una interacción entre un proceso y un recurso del sistema:
ALLOW apache_process apache_log:FILE READ;
Puede leer esta regla de ejemplo como The Apache process can read its logging file. En esta regla, apache_process y apache_log son labels. Una política de seguridad SELinux asigna etiquetas a los procesos y define las relaciones con los recursos del sistema. De este modo, una política asigna entidades del sistema operativo a la capa de SELinux.
Las etiquetas de SELinux se almacenan como atributos extendidos de los sistemas de archivos, como ext2. Puedes listarlas usando la utilidad getfattr o un comando ls -Z, por ejemplo:
$ ls -Z /etc/passwd
system_u:object_r:passwd_file_t:s0 /etc/passwd
Donde system_u es un usuario SELinux, object_r es un ejemplo de rol SELinux, y passwd_file_t es un dominio SELinux.
La política de SELinux por defecto provista por los paquetes selinux-policy contiene reglas para aplicaciones y demonios que son parte de Red Hat Enterprise Linux 8 y son provistos por paquetes en sus repositorios. Las aplicaciones no descritas en una regla de esta política de distribución no están limitadas por SELinux. Para cambiar esto, tiene que modificar la política usando un módulo de política, el cual contiene definiciones y reglas adicionales.
En Red Hat Enterprise Linux 8, puede consultar la política SELinux instalada y generar nuevos módulos de política utilizando la herramienta sepolicy. Los scripts que sepolicy genera junto con los módulos de política siempre contienen un comando que utiliza la utilidad restorecon. Esta utilidad es una herramienta básica para arreglar problemas de etiquetado en una parte seleccionada de un sistema de archivos.
Recursos adicionales
-
Para más información, consulte las páginas de manual
sepolicy(8)ygetfattr(1).
