如何在SELinux中为新的后台程序编写策略

最新推荐文章于 2024-01-01 22:13:37 发布
最新推荐文章于 2024-01-01 22:13:37 发布
阅读量1.2k 收藏
点赞数
分类专栏: linux安全

如何在SELinux中为新的后台程序编写策略

原贴:http://www.sep14.cn/selinux-policy-howto.html

writing new policy for a daemon in red hat selinux guide, 给出了一般的步骤或者说一种方法学,这里打算翻译一些这一段,算是一种自我回顾总结,也希望对从事类似工作的人有所帮助。另外,SEBSD虽然是对 SELinux的ports,但是在Freebsd上进行配置与Red Hat还是有一些区别的,经过实践,我将SEBSD上有所不同的以[区别]附在旁边。

为新后台程序(daemon)编写策略这一节为从头编写新的策略文件提供一种可以遵循的总体方法。尽管这样比在local.te文件中增加几条规则要复杂的多,然而两者的概念是一致的。将应用程序置于TE规则之下,分析AVC的拒绝信息,反复增加规则直至权限问题得到解决。 新策略书写步骤

 

  1. 在Red Hat Enterprise Linux上配置好后台程序. 也就是说该程序在 /etc/init.d/ 下有启动脚本,并且可以使用 chkconfig 进行配置管理. 比如, 该配置步骤假定你将使用 service 命令控制daemon的启动和关闭. [FreeBSD中启动脚本的路径为/etc/rc.d/,并且不提供chkconfi和service命令]在本步骤中, 我们将为一个虚拟的 foo 软件包书写策略并和 foo 后台进程关联. 当开发自己的策略是请使用真实的后台进程名称.
  2. 创建文件 $SELINUX_SRC/domains/program/foo.te. [FreeBSD中$SELINUX_SRC相当于路径/etc/security/sebsd/policy]
  3. 在foo.te文件中调用宏daemon_domain为该daemon创建域:
    daemon_domain(foo)
  4. 创建上下文配置文件, $SELINUX_SRC/file_contexts/program/foo.fc.
  5. 在文件 file.fc 中放置初始的配置列表. 也可以在稍后添加,这取决于 foo 程序的需要.
    /usr/bin/foo      --     system_u:object_r:foo_exec_t
/var/run/foo.pid  --     system_u:object_r:foo_var_run_t
/etc/foo.conf     --     system_u:object_r:foo_conf_t
  6. 使用 make load 命令加载新策略 [FreeBSD中要在/etc/security/sebsd/policy路径下执行make policy && make reload]
  7. 标记文件 foo :
    restorecon /usr/bin/foo /var/run/foo.pid /etc/foo.conf

    [目 前,SEBSD尚没有完成restorecon的ports,但该util的代码可以在 /usr/src/contrib/sebsd/policycoreutils 中找到,但我没有make成功,应为它需要libselinux的支持.在Freebsd下可以work around的办法是在policy路径下make default && make relabel]

  8. 启动daemon, service foo start.
    [FreeBSD适当的编写脚本完成]
  9. 检查审计日志中的拒绝信息:
    grep "avc:  denied" /var/log/messages > /tmp/avc_denials
cat /tmp/avc_denials

    自己要尽量熟悉该daemon所生成的错误信息. 我们将在 audit2allow 的帮助下配置策略, 但同时也需要理解拒绝信息的本质. 另外可以使用 seaudit 查看日志信息, 如同 Section 6.2 Using seaudit for Audit Log Analysis 中的解释一样。
    [audit2allow工具可以在/usr/src/contrib/sebsd/policycoreutils 中找到,make install clean可以成功. seaudit没有在sebsd/FreeBSD下找到对应工具]

  10. 使用 audit2allow 开始第一轮策略文件配置.
    audit2allow -l -i /var/log/messages -o
/etc/selinux/targeted/src/policy/domains/program/foo.te

    检查生成的规则, 如果发现有规则赋予 foo_t 域对文件或目录的 read 权限, 将权限改为 { read gettatr }. 如果该域想要读取文件,它很可能需要这一权限(gettatr).
    [audit2allow的使用可以查看其帮助或提示]

  11. 查看 foo_t 域是否尝试创建网络套结字, 也就是说, AVC拒绝信息中的 udp_socket 或 tcp_socket 对象类:
    avc:  denied  { create } for  pid=7279 exe=/usr/bin/foo
scontext=root:system_r:foo_t tcontext=root:system_r:foo_t
tclass=udp_socket

    如果有这种情况, 增加 can_network() 宏至 foo.te:

    can_network(foo_t)
  12. 接着重复这些基本步骤来生成所需要的所有规则. 每一个增加到策略的规则集都可能揭示 foo_t 域所需要的额外权限.
    1. 启动 daemon.
    2. 读取 AVC 消息.
    3. 根据AVC消息书写策略, 使用 audit2allow 和自己的判断, 尽可能的使用宏.
    4. 加载新策略.
    5. 回到开始, 启动 daemon …
  13. 如果域试图访问 port_t, 这从AVC日志信息中的 tclass=tcp_socket 或 tclass=udp_socket 可以体现, 需要决定 foo 应该使用的端口号. 要诊断该信息, 在 foo.te 加入以下规则:
    allow foo_t port_t:tcp_socket name_bind;
auditallow foo_t port_t:tcp_socket name_bind;

    该 auditallow 规则将有助于判断daemon尝试连接的端口信息.

  14. 对剩余的AVC拒绝信息重复以上过程. 当新策略配置消除了这些拒绝信息后, 可以再为 foo_t 域对这些特定的端口进行需要的配置.
  15. daemon 启动后, 确定 foo 所使用的端口号. 查看AVC允许信息并确认daemon连接到了那些端口:
    lsof | grep foo.*TCP
foo  2283  root  3u  IPv6   3192    TCP *:4242 (LISTEN)

    foo daemon 正在 4242 端口上进行监听.

  16. 删除一般的 port_t 规则, 替换为基于 foo_t 域所使用端口的特定规则.
    type foo_port_t, port_type;
allow foo_t foo_port_t:tcp_socket name_bind;

    把这一行加入 $SELINUX_SRC/file_contexts 文件中. 这将为域 foo_t 保留端口4242

    ifdef(`foo.te', `portcon tcp 4242 system_u:object_r:foo_port_t')
Trackback URI Comments RSS Print This Post
djinglan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selinuxd:安装守护程序删除SELinux策略
03-17
这样,安装策略就是将策略文件保留在特定目录中,后台驻留程序将立即提取该策略文件并尝试安装它们。 建筑 需要Golang 1.15和GNU make。 在Fedora 33中,安装是要做的事情: $ sudo dnf install golang make ...
selinux-编写策略
vrix的专栏
09-01 4199
编写 SELinux 政策 Android 开放源代码项目 (AOSP) 针对所有 Android 设备中常用的应用和服务提供了一个可靠实用的基本政策。AOSP 的贡献者会定期完善该政策。该核心政策应占设备上最终政策的 90-95%,而剩下的 5-10% 则为设备专用自定义政策。本文重点介绍了这些设备专用自定义政策、如何编写设备专用政策,以及在编写此类政策时要避免的一些陷阱。 设备
SELinux策略语法以及示例策略
最新发布
weixin_46645613的博客
01-01 1208
type a;#定义一个类型 atype a_t;#定义一个类型 a_t#定义一个属性 TestFile#定义一个类型 b_t,具有属性 TestFile#使a_t也具有TestFile属性type 和 attribute 两者位于同一个命名空间,也就是说如果定义了 type a,那就不能定义 attribute aa_t,后面有个 t 是表示 “type” 类型,这是 PC 端 SELinux 策略常见写法,但是 Android 不这样用,没有后缀。
Android安全策略SELinux
qq_27672101的博客
08-01 9554
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
SELinux策略语言--编写TE规则
u014674293的博客
08-02 513
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
SELinux详解-中文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 中文版
SELinux安全策略和探释.pdf
10-18
SELinux安全策略和探释.pdf
selinux开启后shadow文件策略修改限制
02-17
selinux开启后shadow文件策略修改限制
selinux:库食谱来管理SELinux策略执行状态
05-16
从系统禁用SELinux,但仅在引导时读取。 如果设置此标志,则必须重启动。 仅当您计划不使用SELinux时,才禁用它。 如果只需要调试系统,请使用“ Permissive模式。 要求 主厨13岁或以上 平台: RHEL 6/7 属性 ...
SELinux详解
08-06
SELinux详解,一本介绍linux安全相关selinux的书。
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 3813
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
NGINX: SELinux 13:permission denied
谨慎对事 低调行事 0与1的世界 浩瀚如海 学无止境
04-12 3984
When you upgrade a running system to Red Hat Enterprise Linux (RHEL) 6.6 or CentOS 6.6, the Security Enhanced Linux (SELinux) security permissions that apply to NGINX are relabelled to a much strict
selinux= 为 disabled_Selinux安全加固
weixin_39782752的博客
11-26 1350
Selinux介绍SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=TheNational Security Agency)和SCC(Secure ComputingCorporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布, Linux内核版本后集成在内核中DAC:Discretionary Acces...
配置selinux策略_selinux策略配置
weixin_33668998的博客
12-24 797
SELinux (Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行...
配置selinux策略_[学习记录]SELinux自定义策略初步
weixin_34518801的博客
12-24 653
这篇文章主要记录了我如何学习selinux自订策略的,相关内容在网络上非常零散,自己也走了很多弯路,所以专门写了这么篇文章作为整理。这里先提一句,关于selinux的配置,网上最容易搜索到的是对selinux程序的配置,例如开关,以及对某种协议的控制,这些内容在我之前整理selinux管理工具种有提到,是相对表面的selinux配置,本文的配置是从编写自定义的策略模块,并装载,因此管理粒度更细。按...
配置selinux策略_SELinux配置
weixin_39728909的博客
12-24 354
SELinux配置概述自主访问控制DAC(Discretionary Access Control)基于用户、组和其他权限,决定一个资源是否能被访问的因素是某个资源是否拥有对应用户的权限,它不能使系统管理员创建全面和细粒度的安全策略SELinux(Security-Enhanced Linux)是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC(...
Android——SELinux 权限简介
Yawn
06-23 1931
1. 问题 1.问题log E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 I auditd : avc: denied { find } for service=display pid=3015 uid=1046
selinux自定义策略
zgrztzy的博客
02-04 1589
简介: sepolicy generate命令用于生成初始SELinux策略模块模板。 sepolicy generate还会创建一个RPM规范文件,该文件可用于构建RPM软件包,该软件包将策略软件包文件(NAME.pp)和接口文件(NAME.if)安装到正确的位置,将SELinux策略安装到内核中。 当sepolicy generate执行时,将产生以下文件: NAME.te–键入执行文件文件定义了特定域的所有类型和规则。 policy_module(exam...
怎么编写SELinux策略
02-21
编写SELinux策略需要熟悉SELinux的架构以及使用SELinux的基本语法,并且要了解SELinux策略的组件,如控制类、角色和类型等。为了编写正确的策略,还需要深入理解SELinux策略文件格式和运行机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值