Pesquisar

6.2. Mudando a política SELinux para MLS

download PDF

Use os seguintes passos para mudar a política SELinux de segurança direcionada para segurança multinível (MLS).

Importante

A Red Hat não recomenda o uso da política MLS em um sistema que esteja rodando o Sistema X Window. Além disso, quando você reetique o sistema de arquivos com rótulos MLS, o sistema pode impedir o acesso de domínios confinados, o que impede seu sistema de iniciar corretamente. Portanto, certifique-se de mudar o SELinux para o modo permissivo antes de re-etiquetar os arquivos. Na maioria dos sistemas, você vê muitas negações de SELinux após mudar para MLS, e muitas delas não são triviais de serem corrigidas.

Procedimento

  1. Instale o pacote selinux-policy-mls:

    # yum install selinux-policy-mls
  2. Abra o arquivo /etc/selinux/config em um editor de texto de sua escolha, por exemplo:

    # vi /etc/selinux/config
  3. Mudar o modo SELinux de aplicação para permissivo e mudar da política de destino para MLS:

    SELINUX=permissive
    SELINUXTYPE=mls

    Salve as mudanças, e deixe o editor.

  4. Antes de ativar a política MLS, você deve reetique cada arquivo no sistema de arquivos com uma etiqueta MLS:

    # fixfiles -F onboot
    System will relabel on next boot
  5. Reinicie o sistema:

    # reboot
  6. Verifique se a SELinux negou:

    # ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent -i

    Como o comando anterior não cobre todos os cenários, veja Solução de problemas relacionados ao SELinux para orientação na identificação, análise e correção de recusas do SELinux.

  7. Depois de garantir que não haja problemas relacionados ao SELinux em seu sistema, mude o SELinux de volta para o modo de aplicação, alterando a opção correspondente em /etc/selinux/config:

    SELINUX=forçando
  8. Reinicie o sistema:

    # reboot
Importante

Se seu sistema não iniciar ou você não for capaz de fazer login depois de mudar para o MLS, adicione o parâmetro enforcing=0 à sua linha de comando do kernel. Veja Mudando os modos SELinux no momento da inicialização para mais informações.

Observe também que no MLS, os logins SSH como o usuário root mapeado para o papel de sysadm_r SELinux diferem do log in como root em staff_r. Antes de iniciar seu sistema no MLS pela primeira vez, considere permitir logins SSH como sysadm_r, configurando o booleano ssh_sysadm_login SELinux para 1. Para habilitar ssh_sysadm_login mais tarde, já no MLS, você deve entrar como root em staff_r, mudar para root em sysadm_r usando o comando newrole -r sysadm_r, e então definir o booleano para 1.

Etapas de verificação

  1. Verificar se a SELinux funciona em modo de aplicação:

    # getenforce
    Enforcing
  2. Verifique se o status da SELinux retorna o valor mls:

    # sestatus | grep mls
    Loaded policy name:             mls

Recursos adicionais

  • As páginas de manual fixfiles(8), setsebool(8), e ssh_selinux(8).
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.