Fedora 13 Administración de Servicios Confinados. Scott Radvan

Transcripción

1 Fedora 13 Administración de Servicios Confinados Scott Radvan

2 Administración de Servicios Confinados Fedora 13 Administración de Servicios Confinados Autor Scott Radvan Copyright 2010 Red Hat, Inc. The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at The original authors of this document, and Red Hat, designate the Fedora Project as the "Attribution Party" for purposes of CC-BY-SA. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. For guidelines on the permitted uses of the Fedora trademarks, refer to Legal:Trademark_guidelines. Linux is the registered trademark of Linus Torvalds in the United States and other countries. Java is a registered trademark of Oracle and/or its affiliates. XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. All other trademarks are the property of their respective owners. La guía de Administración de Servicios Confinados está diseñada para asistir a los usuarios avanzados y a los administradores en el uso y configuración de SELinux. Se centra en Fedora Linux y describe los componentes de SELinux en relación a los servicios que un usuario avanzado o administrador pueda necesitar configurar. También se incluyen ejemplos de la vida real de la configuración de estos servicios y demostraciones sobre cómo SELinux complementa su operación.

3 Prefacio v 1. Convenciones del Documento... v 1.1. Convenciones Tipográficas... v 1.2. Convenciones del documento... vi 1.3. Notas y Advertencias... vii 2. Necesitamos sus comentarios!... viii 1. Información sobre el Registro de Marca 1 2. Introducción 3 3. Política dirigida Tipo de obediencia Procesos confinados Procesos no confinados El servidor HTTP Apache El servidor HTTP Apache y SELinux Tipos Booleanos Ejemplos de configuración Cómo ejecutar un sitio estático Cómo compartir sistemas de archivos NFS y CIFS Cómo compartir archivos entre los servicios Cómo modificar los números de puertos Samba Samba y SELinux Tipos Booleanos Ejemplos de configuración Compartiendo directorios que usted creó Compartiendo un sitio web File Transfer Protocol (FTP) SELinux y FTP Tipos Booleanos Ejemplos de configuración Cómo enviar datos a un sitio FTP Sistema de Archivos en Red (NFS) NFS y SELinux Tipos Booleanos Ejemplos de configuración Compartiendo directorios usando NFS Dominio de Nombres de Internet Berkeley (BIND) BIND y SELinux Tipos Boolenanos Ejemplos de configuración DNS Dinámico Sistema de Versionado Concurrentes (CVS) 53 iii

4 Administración de Servicios Confinados 9.1. CVS y SELinux Tipos Booleanos Ejemplos de configuración Configuración de CVS Configuración del Servidor Squid Caching Proxy Squid Caching Proxy y SELinux Tipos Booleanos Ejemplos de configuración Squid Conectando a puertos no estándar MySQL MySQL y SELinux Tipos Booleanos Ejemplos de configuración Cambiando la ubicación de la Base de Datos MySQL PostgreSQL PostgreSQL y SELinux Tipos Booleanos Ejemplos de configuración Cambiando la ubicación de la Base de Datos PostgreSQL rsync rsync y SELinux Tipos Booleanos Ejemplos de configuración Rsync como demonio Postfix Postfix y SELinux Tipos Booleanos Ejemplos de configuración SpamAssassin y Postfix Referencias 85 iv

5 Prefacio 1. Convenciones del Documento Este manual utiliza varias convenciones para resaltar algunas palabras y frases y llamar la atención sobre ciertas partes específicas de información. En ediciones PDF y de papel, este manual utiliza tipos de letra procedentes de Liberation Fonts 1. Liberation Fonts también se utilizan en ediciones de HTML si están instalados en su sistema. Si no, se muestran tipografías alternativas pero equivalentes. Nota: Red Hat Enterprise Linux 5 y siguientes incluyen Liberation Fonts predeterminadas Convenciones Tipográficas Se utilizan cuatro convenciones tipográficas para llamar la atención sobre palabras o frases específicas. Dichas convenciones y las circunstancias en que se aplican son las siguientes: Negrita monoespaciado Utilizada para resaltar la entrada del sistema, incluyendo comandos de shell, nombres de archivo y rutas. También se utiliza para resaltar teclas claves y combinaciones de teclas. Por ejemplo: Para ver el contenido del archivo my_next_bestselling_novel en su directorio actual de trabajo, escriba el comando cat my_next_bestselling_novel en el intérprete de comandos de shell y pulse Enter para ejecutar el comando. El ejemplo anterior incluye un nombre de archivo, un comando de shell y una tecla clave. Todo se presenta en negrita-monoespaciado y distinguible gracias al contexto. Las combinaciones de teclas se pueden distinguir de las teclas claves mediante el guión que conecta cada parte de una combinación de tecla. Por ejemplo: Pulse Enter para ejecutar el comando. Pulse Control+Alt+F1 para cambiar a la primera terminal virtual. Pulse Control+Alt+F7 para volver a su sesión de Ventanas-X. La primera oración resalta la tecla clave determinada que se debe pulsar. La segunda resalta dos conjuntos de tres teclas claves que deben ser presionadas simultáneamente. Si se discute el código fuente, los nombres de las clase, los métodos, las funciones, los nombres de variables y valores de retorno mencionados dentro de un párrafo serán presentados en Negritamonoespaciado. Por ejemplo: Las clases de archivo relacionadas incluyen filename para sistema de archivos, file para archivos y dir para directorios. Cada clase tiene su propio conjunto asociado de permisos. Negrita proporcional 1 v

6 Prefacio Esta denota palabras o frases encontradas en un sistema, incluyendo nombres de aplicación, texto de cuadro de diálogo, botones etiquetados, etiquetas de cajilla de verificación y botón de radio; títulos de menú y títulos del sub-menú. Por ejemplo: Seleccionar Sistema Preferencias Ratón desde la barra del menú principal para lanzar Preferencias de Ratón. En la pestaña de Botones, haga clic en la cajilla ratón de mano izquierda y luego haga clic en Cerrar para cambiar el botón principal del ratón de la izquierda a la derecha (adecuando el ratón para la mano izquierda). Para insertar un caracter especial en un archivo de gedit, seleccione desde la barra del menú principal Aplicaciones Accesorios Mapa de caracteres. Luego, desde la barra del menú mapa de caracteres elija Búsqueda Hallar, teclee el nombre del caracter en el campo Búsqueda y haga clic en Siguiente. El caracter buscado se resaltará en la Tabla de caracteres. Haga doble clic en este caracter resaltado para colocarlo en el campo de Texto para copiar y luego haga clic en el botón de Copiar. Ahora regrese a su documento y elija Editar Pegar desde la barra de menú de gedit. El texto anterior incluye nombres de aplicación; nombres y elementos del menú de todo el sistema; nombres de menú de aplicaciones específicas y botones y texto hallados dentro de una interfaz gráfica de usuario, todos presentados en negrita proporcional y distinguibles por contexto. Itálicas-negrita monoespaciado o Itálicas-negrita proporcional Ya sea negrita monoespaciado o negrita proporcional, la adición de itálicas indica texto reemplazable o variable. Las itálicas denotan texto que usted no escribe literalmente o texto mostrado que cambia dependiendo de la circunstancia. Por ejemplo: Para conectar a una máquina remota utilizando ssh, teclee ssh nombredeusuario@dominio.nombre en un intérprete de comandos de shell. Si la máquina remota es example.com y su nombre de usuario en esa máquina es john, teclee ssh john@example.com. El comando mount -o remount file-system remonta el sistema de archivo llamado. Por ejemplo, para volver a montar el sistema de archivo /home, el comando es mount -o remount /home. Para ver la versión de un paquete actualmente instalado, utilice el comando rpm -q paquete. Éste entregará el resultado siguiente: paquete-versión-lanzamiento. Observe las palabras en itálicas- negrita sobre nombre de usuario, domain.name, sistema de archivo, paquete, versión y lanzamiento. Cada palabra es un marcador de posición, tanto para el texto que usted escriba al ejecutar un comando como para el texto mostrado por el sistema. Aparte del uso estándar para presentar el título de un trabajo, las itálicas denotan el primer uso de un término nuevo e importante. Por ejemplo: Publican es un sistema de publicación de DocBook Convenciones del documento Los mensajes de salida de la terminal o fragmentos de código fuente se distinguen visualmente del texto circundante. vi

7 Notas y Advertencias Los mensajes de salida enviados a una terminal se muestran en romano monoespaciado y se presentan así: books Desktop documentation drafts mss photos stuff svn books_tests Desktop1 downloads images notes scripts svgs Los listados de código fuente también se muestran en romano monoespaciado, pero se presentan y resaltan de la siguiente manera: package org.jboss.book.jca.ex1; import javax.naming.initialcontext; public class ExClient { public static void main(string args[]) throws Exception { InitialContext inictx = new InitialContext(); Object ref = inictx.lookup("echobean"); EchoHome home = (EchoHome) ref; Echo echo = home.create(); System.out.println("Created Echo"); } } System.out.println("Echo.echo('Hello') = " + echo.echo("hello")); 1.3. Notas y Advertencias Finalmente, utilizamos tres estilos visuales para llamar la atención sobre la información que de otro modo se podría pasar por alto. Nota Una nota es una sugerencia, atajo o enfoque alternativo para una tarea determinada. Ignorar una nota no debería tener consecuencias negativas, pero podría perderse de algunos trucos que pueden facilitarle las cosas. Importante Important boxes detail things that are easily missed: configuration changes that only apply to the current session, or services that need restarting before an update will apply. Ignoring a box labeled 'Important' won't cause data loss but may cause irritation and frustration. Advertencia Las advertencias no deben ignorarse. Ignorarlas muy probablemente ocasionará pérdida de datos. vii

8 Prefacio 2. Necesitamos sus comentarios! Si encuentra un error tipográfico en este manual o si sabe de alguna manera de mejorarlo, nos gustaría escuchar sus sugerencias. Por favor complete un reporte en Bugzilla: bugzilla.redhat.com/bugzilla/ usando el producto Fedora Documentation. When submitting a bug report, be sure to mention the manual's identifier: selinux-managing-confinedservices-guide Si tiene una sugerencia para mejorar la documentación, intente ser tan específico como sea posible cuando describa su sugerencia. Si ha encontrado un error, por favor incluya el número de sección y parte del texto que rodea el error para que podamos encontrarlo más fácilmente. viii

9 Información sobre el Registro de Marca Linux es una marcha registrada por Linus Torvalds en los U.S. y otros países. UNIX es una marca registra de The Open Group Type Enforcement es una marca registrada de Secure Computing, LLC, una subsidiara de McAfee, Inc. en los EEUU y otros países. Ni McAfee ni Secure Computing, LLC, ha concedido al autor el uso o referencia a esta marca registrada más allá de esta guía. Apache es una marca registra de la fundación Apache. MySQL es una marca registrada por Sun Microsystem en los Estados Unidos y otros países. Windows es una marca registrada de Microsoft Corporation en los Estados Unidos y otros países Otros productos mencionados pueden se marcas registradas de las corporaciones respectivas. 1

10 2

11 Introducción El Linux de Seguridad Mejorada (SELinux) hace referencia a los archivos, tales como los directorios o los dispositivos, como objetos. Los procesos, tales como los comandos que ejecuta un usuario o la aplicación Mozilla Firefox, son referenciadas como sujetos. La mayoría de los sistemas operativos usan un sistema de Control de Acceso Discrecional (DAC) que controla cómo los sujetos interactúan con los objetos, y cómo los sujetos interactúan entre sí. En los sistemas operativos que se usa DAC, los usuarios controlan los permisos de archivos (objetos) que le pertenecen. Por ejemplo, en sistemas operativos Linux, los usuarios pueden hacer que sus directorios personales sean legibles para todos, sin darse cuenta que le están dando permiso a usuarios y procesos (sujetos) de acceder a información potencialmente sensible. Los mecanismos DAC son básicamente inadecuados si se está pensando en una seguridad de los sistemas poderosa. Las decisiones de los accesos DAC están basadas exclusivamente en la identidad y grupos de pertenencia del usuario, sin tener en cuenta otro tipo de información relevante para la seguridad, como lo es, por ejemplo, las funciones del usuario, la confiabilidad del programa utilizado, y la importancia y la integridad de los datos. Cada usuario posee un control absoluto sobre sus archivos, haciendo imposible imponer una política de seguridad diseñada para un sistema en general. Más aún, cada programa ejecutado por un servidor hereda todos los permisos otorgados al usuario, y tiene la libertad de modificar los accesos a sus archivos, de modo que no se ofrece ningún tipo de protección contra software malicioso. Numerosos servicios y programas del sistema deben ser ejecutados con privilegios que superan ampliamente sus requerimientos, de modo que una falla en alguno de estos programas puede ser aprovechada para obtener acceso completo al sistema. 1 A continuación ofrecemos un ejemplo de los permisos utilizados en sistemas operativos basados en Linux que no ejecutan Linux con seguridad mejorada (SELinux). Los permisos en estos ejemplos podrían ser distintos de los de su sistema. Utilice el comando ls -l para conocer los permisos de archivos: $ ls -l file1 -rwxrw-r-- 1 user1 group :12 file1 Los primeros tres bits de permisos, rwx, controlan el acceso que el usuario Linux user1 (en este caso, el dueño) tiene sobre el archivo file1. Los tres bits de permiso siguientes, rw-, controlan el acceso que el grupo Linux group1 tiene sobre el archivo file1. Los tres últimos bits de permisos, r--, controlan el acceso que posee el resto sobre el archivo file1, que incluye tanto a los usuarios como a los procesos. Linux con seguridad mejorada (SELinux) agrega Control de acceso obligatorio (MAC, por las iniciales en inglés de Mandatory Access Control) al Kernel de Linux, y se encuentra habilitado por defecto en Fedora. Una arquitectura MAC de propósitos generales necesita tener la posibilidad de hacer complir a todos los procesos y archivos del sistema un conjunto de políticas administrativas de seguridad, fundamentando las decisiones adoptadas en etiquetas que contienen una cantidad determinada de información relacionada con la seguridad. Cuando se implementa adecuadamente, permite que un sistema pueda defenderse exitosamente, y ofrece soporte crítico protegiéndolo contra manipulaciones y anulaciones de las aplicaciones relacionadas con la seguridad. MAC ofrece una poderosa distinción "Incluyendo en un sistema operativo Linux soporte flexible para políticas de seguridad" (en inglés), por Peter Loscocco y Stephen Smalley. Este ensayo fue preparado en un princiío para la Agencia de nacional de seguridad norteamericana, y por lo tanto, es de dominio público. Consulte ensayo original (en inglés) [ index.shtml] para obtener mayor información y poder conocer la primera edición de este documento. Todas las ediciones y modificaciones fueron realizadas por Murray McAllister. 3

12 Capítulo 2. Introducción entre las aplicaciones, y esto posibilita la ejecución segura de elementos no confiables. Su habilidad para limtar los privilegios asociados con la ejecución de procesos reduce el alcance del potencial daño que podría resultar del aprovechamiento de las debilidades en los servicios y las aplicaciones del sistema. MAC permite que la información sea protegida tanto de los usuarios legítimos con niveles de autorización limitados, como de los usuarios legítimos que sin saberlo estén ejecutando aplicaciones maliciosas. 2 A continuación ofrecemos un ejemplo de las etiquetas que contienen información importante relacionada con la seguridad, y que son utilizadas con los procesos, usuarios y archivos de un sistema operativo basado en Linux que esté ejecutándose con SELinux activado. A esta información se la denomina "contexto de Selinux", y puede observarse ejecutando el comando ls -Z: $ ls -Z archivo1 -rwxrw-r-- usuario1 grupo1 unconfined_u:object_r:user_home_t:s0 archivo1 En este ejemplo, SELinux provee un usuario (unconfined_u), un rol (object_r), un tipo (user_home_t) y un nivel (s0). Esta información se usa para tomar decisiones de control de acceso. Este ejemplo también muestra las reglas DAC, que se muestran en el contexto de SELinux vía el comando ls -Z. Las reglas de la política de SELinux se chequean después de las reglas DAC rules. Las reglas de la política de SELinux no se usan si las reglas DAC denegaron el acceso al principio. "Meeting Critical Security Objectives with Security-Enhanced Linux" (en inglés), por Peter Loscocco y Stephen Smalley. Este ensayo fue preparado en un princiío para la Agencia de nacional de seguridad norteamericana, y por lo tanto, es de dominio público. Consulte el ensayo original (en inglés) [ para obtener mayor información y poder conocer la primera edición de este documento. Todas las ediciones y modificaciones fueron realizadas por Murray McAllister. 4

13 Política dirigida La política dirigida es la política predeterminada de SELinux utilizada en Fedora. Cuando se utilice una política dirigida, los procesos seleccionados se ejecutan en un dominio confinado, y los procesos que no son seleccionados son ejecutados en un dominio no confinado. Por ejemplo, por defecto, los usuarios registrados ejecutan el dominio unconfined_t, y los procesos del sistema iniciados por init se ejecutan en el dominio initrc_t - ambos no confinados. SELinux está basado en el menor de los niveles de acceso que un servicio necesita para poder funcionar. Los servicios pueden ser ejecutados en una variedad de formas; por lo tanto debe decirle a SELinux de qué manera usted está ejecutando servicios. Esto puede ser logrado mediante los Booleanos que permiten que determinadas partes de SELinux puedan ser modificadas en el tiempo de ejecución, sin ningún tipo de conocimiento relacionado con la escritura de políticas SELinux. Esto permite cambios como permitir el acceso de los servicios a sistemas de archivos NFS, sin por ello tener que recargar o recompilar políticas de SELinux. La configuración de Booleanos se describe más adelante. Otras modificaciones, como ser por ejemplo la utilización de directorios que no sean los predeterminados para almacenar archivos o servicios, o la modificación de servicios para ejecutarlos puertos no predeterminados, necesitan que la configuración de la política sea actualizada mediante herramientas como semanage. Esto será tratado con detalle más adelante, mediante ejemplos de configuración específicos Tipo de obediencia El tipo Obediente es el principal control de permisos usado en SELinux con política por objetivo. Todos los archivos y procesos son etiquetados con un tipo: el tipo define un dominio para el proceso y los tipos para archivos. Las reglas de política de SELinux definen que tipos tiene acceso unos con otros, se trate de un dominio accediendo a un tipo, o a un dominio accediendo a otro dominio. El acceso solo es permitido si existe una política SELinux específica que permita eso Procesos confinados En Fedora, casi todos los servicios que escuchan sobre una red se encuentran confinados. Además, la mayoría de los procesos que son ejecutados como usuario root y que realizan tareas para usuarios, como por ejemplo la herramienta passwd, se encuentran confinados. Cuando un proceso se encuentra confinado, es ejecutado en su propio dominio, como ser, por ejemplo el proceso httpd ejecutándose en el dominio httpd_t. Si un servicio confinado es comprometido por un atacante, de acuerdo a la configuración de la política SELinux, se limita el tipo de acceso que tiene el atacante al recurso comprometido, y el posible daño realizado. El ejemplo que ofrecemos a continuación demuestra de qué manera SELinux evita que el servidor HTTP Apache (httpd) pueda leer archivos que no se encuentran correctamente etiquetados, como ser, por ejemplo los destinados a ser utilizados por Samba. Este es un ejemplo, y no debería ser utilizado en entornos de producción. Presupone que los paquetes httpd, wget, setroubleshoot-server, y audit se encuentran instalados, que se está utilizando una política dirigida, y que SELinux está siendo ejecutado en modo obligatorio: 1. Ejecute el comando sestatus para confirmar que SELinux se encuentre habilitado, que está siendo ejecutado en modo obligatorio, y que se está utilizando una política dirigida: 5

14 Capítulo 3. Política dirigida $ /usr/sbin/sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted SELinux status: enabled es lo que se obtiene cuando SELinux está habilitado. Current mode: enforcing cuando SELinux está ejecutándose en modo obligatorio. Policy from config file: targeted cuando se está utilizando una política dirigida. 2. Como usuario root, ejecute el comando touch /var/www/html/testfile para crear un archivo. 3. Ejecute el comando ls -Z /var/www/html/archivoprueba para ver el contexto SELinux: -rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/ archivoprueba El archivo testfile es etiquetado con el usuario SELinux unconfined_u ya que un usuario Linux que se encuentra mapeado en el usuario SELinux unconfined_u ha creado el archivo. Los controles de acceso basados en las funciones (RBAC, por las iniciales en inglés de Role- Based Access Control) son utilizados para los procesos, pero no para los archivos. Las funciones no tienen sentido para los archivos - la función object_r es una función general utilizada para los archivos (en sistemas de archivos de almacenamiento persistente o de red). Dentro del directorio /proc/, los archivos relacionados con procesos podrían utilizar la función system_r role. 1 El tipo httpd_sys_content_t permite que el proceso httpd pueda acceder a este archivo. 4. Como usuario root, ejecute el comando service httpd start para iniciar el proceso httpd. Si httpd se inicia correctamente, el resultado debería ser el siguiente: # /sbin/service httpd start Starting httpd: [ OK ] 5. Trasládese al directorio al que su usuario Linux tiene permisos de escritura, y ejecute el comando wget A menos que existan modificaciones en la configuración predeterminada, este comando funciona: :44: Resolving localhost Connecting to localhost :80... connected. HTTP request sent, awaiting response OK Length: 0 [text/plain] Saving to: `testfile' [ <=> ] K/s in 0s :44:36 (0.00 B/s) - `testfile' saved [0/0] 6. El comando chcon re etiqueta archivos; sin embargo, tales modificaciones en el etiquetado no sobreviven cuando el sistema de archivos es re etiquetado nuevamente. Para que las modificaciones sean permanentes de modo que sobrevivan a nuevos re etiquetados del sistema 6

15 Procesos confinados de archivos, utilice el comando semanage el cual es detallado más adelante. Como usuario root, ejecute el siguiente comando para modificar el tipo a un tipo utilizado por Samba: chcon -t samba_share_t /var/www/html/testfile Ejecute el comando ls -Z /var/www/html/archivoprueba para ver los cambios: -rw-r--r-- root root unconfined_u:object_r:samba_share_t:s0 /var/www/html/testfile 7. Nota: los permisos DAC actuales permiten que los procesos httpd puedan acceder al archivo testfile. Trasládese hacia un directorio sobre el cual su usuario Linux tenga permisos de escritura, y ejecute el comando wget A menos que existan modificaciones en la configuración predeterminada, este comando no sirve: :45: Resolving localhost Connecting to localhost :80... connected. HTTP request sent, awaiting response Forbidden :45:08 ERROR 403: Forbidden. 8. Como usuario root, ejecute el comando rm -i /var/www/html/testfile para eliminar el archivo testfile. 9. Si no necesita que httpd esté ejecutándose, como usuario root ejecute el comando service httpd stop para detener httpd: # /sbin/service httpd stop Stopping httpd: [ OK ] Nuestro ejemplo demuestra la seguridad adicional agregada por SELinux. Las reglas DAC permiten que el proceso httpd pueda acceder al archivo testfile del paso 7, pero debido a que el archivo fue etiquetado con un tipo al que el proceso httpd no tiene acceso, SELinux le ha negado el ingreso. Luego del paso 7, un error similar al siguiente es registrado en el archivo /var/log/messages: Apr 6 23:00:54 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/testfile (samba_share_t). For complete SELinux messages. run sealert -l c05911d3-e680-4e42-8e36-fe2ab9f8e654 Los archivos de registro anteriores podrían utilizar un formato /var/log/messages.yyyymmdd. Cuando se ejecute syslog-ng, los archivos de registros previos utilizan un formato /var/log/ messages.x format. Si los procesos setroubleshootd y auditd están siendo ejecutados, serán registrados en /var/log/audit/audit.log errores similares a los siguientes: type=avc msg=audit( :70): avc: denied { getattr } for pid=1904 comm="httpd" path="/var/www/html/testfile" dev=sda5 ino= scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file type=syscall msg=audit( :70): arch= syscall=196 success=no exit=-13 a0=b9e21da0 a1=bf9581dc a2=555ff4 a3= items=0 ppid=1902 pid=1904 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/ usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) Además, un error similar al siguiente es registrado en el archivo /var/log/httpd/error_log: 7

16 Capítulo 3. Política dirigida [Sat Apr 06 23:00: ] [error] [client ] (13)Permission denied: access to / testfile denied 3.3. Procesos no confinados Los procesos no confinados son ejecutados en dominios no confinados. Por ejemplo, los programas init se ejecutan en el dominio no confinado initrc_t, los servicios no confinados del kernel se ejecutan en el dominio kernel_t, y los usuarios Linux no confinados en el dominio unconfined_t. Para dominios no confinados, se aplican reglas de polítcas SELinux, pero existen reglas de políticas que otorgan casi un acceso total a los procesos que se están ejecutando sobre dominios no confinados. Los procesos que se estén ejecutando en dominios no confinados no son capaces de utilizar exclusivamente reglas DAC. Si un proceso no confinado es comprometido, SELinux no evita que un atacante pueda obtener acceso a los recursos del sistema y a los datos, aunque por supuesto siguen siendo utilizadas las reglas DAC. SELinux es una mejora en la seguridad construida sobre las reglas DAC - no las reemplaza. El ejemplo que ofrecemos a continuación demuestra de qué manera el servidor HTTP Apache (httpd) es capaz de acceder a datos originalmente destinados a ser utilizados por Samba, cuando es ejecutado de manera no confinada. Nota: En Fedora, los procesos httpd son ejecutados de forma predeterminada en el dominio httpd_t. Este es un ejemplo, y no debería ser utilizado en entornos de producción. Presupone que los paquetes httpd, wget, setroubleshoot-server, y audit se encuentran instalados, que se está utilizando una política SELinux dirigida, y que SELinux está siendo ejecutado en modo obligatorio: 1. Ejecute el comando sestatus para confirmar que SELinux se encuentre habilitado, que está siendo ejecutado en modo obligatorio, y que se está utilizando una política dirigida: $ /usr/sbin/sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted SELinux status: enabled es lo que se obtiene cuando SELinux está habilitado. Current mode: enforcing cuando SELinux está ejecutándose en modo obligatorio. Policy from config file: targeted cuando se está utilizando una política dirigida. 2. Como usuario root, ejecute el comando touch /var/www/html/test2file para crear un archivo. 3. Ejecute ls -Z /var/www/html/archivo2prueba para ver el contexto SELinux: -rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/ archivo2prueba test2file está etiquetado con usuario SELinux unconfined_u porque un usuario Linux que está mapeado en el usuario SELinux unconfined_u ha creado el archivo. RBAC se utiliza para los procesos, no para los archivos. Las funciones no tienen sentido en los archivos - la función object_r es una función general utilizada para los archivos (sobre sistemas de archivos de almacenamiento persistente y de red). Dentro del directorio /proc/, los archivos relacionados 8

17 Procesos no confinados con procesos pueden utilizar la función system_r role. 2 El tipo httpd_sys_content_t permite que el proceso httpd pueda acceder a este archivo. 4. El comando chcon re etiqueta archivos; sin embargo, tales modificaciones en el etiquetado no sobreviven cuando el sistema de archivos es re etiquetado nuevamente. Para que las modificaciones sean permanentes de modo que sobrevivan a nuevos re etiquetados del sistema de archivos, utilice el comando semanage el cual es detallado más adelante. Como usuario root, ejecute el siguiente comando para modificar el tipo a un tipo utilizado por Samba: chcon -t samba_share_t /var/www/html/test2file Ejecute el comando ls -Z /var/www/html/archivo2prueba para ver los cambios: -rw-r--r-- root root unconfined_u:object_r:samba_share_t:s0 /var/www/html/test2file 5. Ejecute el comando service httpd status para verificar que el proceso httpd no esté en ejecución: $ /sbin/service httpd status httpd is stopped SI el resultado es diferente, ejecute el comando service httpd stop como usuario root para detener el proceso httpd: # /sbin/service httpd stop Stopping httpd: [ OK ] 6. Para hacer que el proceso httpd sea ejecutado de manera no confinada, ejecute el siguiente comando como usuario root para modificar el tipo de /usr/sbin/httpd, a un tipo que no se traslade a un dominio confinado: chcon -t unconfined_exec_t /usr/sbin/httpd 7. Ejecute el comando ls -Z /usr/sbin/httpd para confirmar que /usr/sbin/httpd se encuentre etiquetado con el tipo unconfined_exec_t: -rwxr-xr-x root root system_u:object_r:unconfined_exec_t /usr/sbin/httpd 8. Como usuario root, ejecute el comando service httpd start para iniciar el proceso httpd. Si httpd se inicia correctamente, el resultado debería ser el siguiente: # /sbin/service httpd start Starting httpd: [ OK ] 9. Ejecute el comando ps -ez grep httpd para conocer los procesos httpd que están ejecutándose en el dominio unconfined_t domain: $ ps -ez grep httpd unconfined_u:system_r:unconfined_t 7721? unconfined_u:system_r:unconfined_t 7723? unconfined_u:system_r:unconfined_t 7724? unconfined_u:system_r:unconfined_t 7725? unconfined_u:system_r:unconfined_t 7726? 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 9

18 Capítulo 3. Política dirigida unconfined_u:system_r:unconfined_t 7727? unconfined_u:system_r:unconfined_t 7728? unconfined_u:system_r:unconfined_t 7729? unconfined_u:system_r:unconfined_t 7730? 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 10. Trasládese a un directorio sobre el que su usuario Linux tenga permisos de escritura, y ejecute el comando wget A no ser que existen modificaciones a la configuración predeterminada, este comando funciona: :41: Resolving localhost Connecting to localhost :80... connected. HTTP request sent, awaiting response OK Length: 0 [text/plain] Saving to: `test2file.1' [ <=> ]--.-K/s in 0s :41:10 (0.00 B/s) - `test2file.1' saved [0/0] Si bien es cierto que los procesos httpd no tienen acceso sobre archivos etiquetados con el tipo samba_share_t, httpd es ejecutado en el dominio no confinado unconfined_t, y no puede utilizar reglas DAC, y por lo tanto, el comando wget funciona. Si httpd hubiera estado ejecutándose en el dominio confinado httpd_t, el comando wget habría fallado. 11. El comando restorecon restaura el contexto SELinux predeterminado para los archivos. Como el usuario root, ejecute el comando restorecon -v /usr/sbin/httpd para restaurar el contexto predeterminado de SELinux para /usr/sbin/httpd: # /sbin/restorecon -v /usr/sbin/httpd restorecon reset /usr/sbin/httpd context system_u:object_r:unconfined_notrans_exec_t:s0- >system_u:object_r:httpd_exec_t:s0 Ejecute el comando ls -Z /usr/sbin/httpd para verificar que /usr/sbin/httpd se encuentre etiquetado con el tipo httpd_exec_t: $ ls -Z /usr/sbin/httpd -rwxr-xr-x root root system_u:object_r:httpd_exec_t /usr/sbin/httpd 12. Como usuario root, ejecute el comando /sbin/service httpd restart para reiniciar httpd. Una vez reiniciado, ejecute el comando ps -ez grep httpd para verificar que httpd esté siendo ejecutado en el dominio confinado httpd_t: # /sbin/service httpd restart Stopping httpd: [ OK ] Starting httpd: [ OK ] # ps -ez grep httpd unconfined_u:system_r:httpd_t 8880? 00:00:00 httpd unconfined_u:system_r:httpd_t 8882? 00:00:00 httpd unconfined_u:system_r:httpd_t 8883? 00:00:00 httpd unconfined_u:system_r:httpd_t 8884? 00:00:00 httpd unconfined_u:system_r:httpd_t 8885? 00:00:00 httpd unconfined_u:system_r:httpd_t 8886? 00:00:00 httpd unconfined_u:system_r:httpd_t 8887? 00:00:00 httpd unconfined_u:system_r:httpd_t 8888? 00:00:00 httpd unconfined_u:system_r:httpd_t 8889? 00:00:00 httpd 10

19 Procesos no confinados 13. Como usuario root, ejecute el comando rm -i /var/www/html/test2file para eliminar el archivo test2file. 14. Si no necesita que httpd esté ejecutándose, como usuario root ejecute el comando service httpd stop para detener httpd: # /sbin/service httpd stop Stopping httpd: [ OK ] Los ejemplos en estas secciones mostraron de qué manera pueden protegerse los datos de un proceso confinado que ha sido comprometido (protegido por SELinux), así como de qué manera los datos son más accesibles a un atacante desde un proceso no confinado comprometido (que no se encuentre protegido por SELinux). 11

20 12