Notities PXL Help

Security Enhanced Linux

De student(e) kan:

  • SELinux fouten vinden in de logs.

  • SELinux contexten en booleans aanpassen met de gepaste commando's

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

SELinux (Security Enhanced Linux) is een beveiligingssysteem dat toegang beheert voor bestanden, processen, netwerk poorten...

SELinux gebruikt MAC (Mandatory Access Control). Dit betekent dat de toegang tot bestanden en processen wordt beheerd door het systeem, niet door de gebruiker.

DAC, ACL en MAC

DAC (Discretionary Access Control) is het standaard beveiligingsmodel in Linux. De eigenaar van een bestand of map bepaalt wie wat kan doen met het bestand of de map. Dit gebeurt met behulp van de lees, schrijf en uitvoer rechten.

Commando's zoals chmod en chown worden gebruikt om deze rechten te beheren.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

ACL (Access Control List) is een uitbreiding van DAC. Het stelt de gebruiker in staat om meer gedetailleerde rechten toe te kennen aan bestanden en mappen.

ACL's kunnen worden beheerd met de commando's getfacl en setfacl.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

MAC (Mandatory Access Control) is een beveiligingsmodel dat beheerd wordt door het systeem.

  • Het systeem bepaalt wie wat kan doen met bestanden, processen, netwerk poorten...

    • In SELinux kan de gebruiker wel bepaalde instellingen aanpassen, maar niet alles.

Hoe werkt SELinux?

Modi en types

Er zijn drie manieren waarop SELinux kan werken:

  1. Disabled: SELinux is uitgeschakeld.

  2. Permissive: SELinux is ingeschakeld, maar blokkeert niets. Het logt wel gebeurtenissen.

  3. Enforcing: SELinux is ingeschakeld. Het logt en blokkeert gebeurtenissen.

Daarnaast zijn er drie soorten types:

  1. Targeted: Services met hoge risico's worden beveiligd. Het standaard type.

  2. Minimum: Minimale beveiliging. Bijna alles wordt toegestaan.

  3. MLS (Multi-Level Security): Beveiliging op basis van niveaus. Wordt niet vaak gebruikt.

De status van SELinux kan worden bekeken met het commando sestatus.

$ sestatus SELinux status: enabled ---------> SELinux is actief SELinuxfs mount: /sys/fs/selinux -> Het mount punt SELinux root directory: /etc/selinux ----> De configuratiemap Loaded policy name: targeted --------> Het actieve type Current mode: enforcing -------> De huidige modus Mode from config file: enforcing ------¬ ↓ De modus uit het configuratiebestand, die wordt gebruikt bij het opstarten. Policy MLS status: enabled ---------> MLS is actief Policy deny_unknown status: allowed --------¬ ↓ Onbekende gebeurtenissen worden toegestaan Memory protection checking: actual (secure) -> RAM wordt beschermd Max kernel policy version: 33 --------------> Hoogst ondersteunde versie

Om permanent de modus en het type van SELinux te veranderen, kan je het configuratiebestand /etc/selinux/config aanpassen.

$ sudo nano /etc/selinux/config ... SELINUX=enforcing ... SELINUXTYPE=targeted

Contexten

SELinux maakt gebruik van contexten. Een context is een set van attributen die aan een object worden toegekend. Deze attributen bepalen hoe het object kan worden gebruikt.

Een voorbeeld van een context is:

system_u : object_r : httpd_sys_content_t : s0 ↓ ↓ ↓ ↓ Gebruiker Rol Type MLS Level (Optioneel)

Een SELinux gebruiker is niet hetzelfde als een Linux gebruiker.

SELinux gebruikt dit om te bepalen welke SELinux rollen de gebruiker kan hebben. Bepaalde gebruikers hebben ook restricties op bijvoorbeeld gebruik van sudo.

  • system_u is een systeemgebruiker. Dit is niet geassocieerd met een gebruiker maar met een systeemproces zoals ssh.

  • unconfined_u is de standaard SELinux gebruiker voor Linux gebruikers. Deze gebruiker heeft bijna geen restricties.

  • user_u is een beperkte SELinux gebruiker. Deze gebruiker heeft geen administrator rechten.

  • sysadm_u is een administratieve gebruiker die alleen bedoeld is voor administratieve commando's.

  • staff_u is een administratieve gebruiker die bedoeld is voor administratieve en niet administratieve commando's.

  • root is de root gebruiker van het systeem.

  • guest_u is een beperkte SELinux gebruiker die bedoeld is voor gastgebruikers.

Een SELinux rol bepaalt welke types de gebruiker permissie heeft om te gebruiken.

Commando's

getenforce toont de huidige modus van SELinux.

$ getenforce Enforcing

setenforce verandert tijdelijk de modus van SELinux.

$ sudo setenforce 0 # Permissive $ sudo setenforce 1 # Enforcing

sestatus toont de gedetailleerde status van SELinux.

$ sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33

getsebool -a toont SELinux booleans.

$ getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on ... $ getsebool -a | grep httpd httpd_anon_write --> off httpd_builtin_scripting --> on httpd_can_check_spam --> off ...

setsebool wijzigt SELinux booleans.

$ sudo setsebool httpd_can_network_connect on # tijdelijk $ sudo setsebool -P httpd_can_network_connect on # permanent

ls -Z toont de SELinux context van bestanden en mappen.

$ ls -Z /var/www/html drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html

restorecon herstelt de SELinux context van bestanden en mappen naar de standaard context.

$ sudo restorecon -Rv /var/www/html # recursief en gedetailleerd

chcon wijzigt tijdelijk de SELinux context van een bestand of map.

$ sudo chcon -t httpd_sys_content_t /var/www/html/index.html

semanage wordt gebruikt om SELinux contexten en booleans aan te passen.

$ sudo semanage fcontext -l # lijst van SELinux contexten $ sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html/index.html" # voeg context toe $ sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?" # voeg context toe voor map en submappen

sealert -a /var/log/audit/audit.log analyseert SELinux logs en geeft suggesties voor oplossingen.

$ sudo sealert -a /var/log/audit/audit.log

Oefeningen

1. Maak een bestand test.html aan in je homedirectory. Pas de context van dit bestand aan zodanig dat httpd deze context kan lezen.

$ > test.html $ sudo chcon -t httpd_user_content_t test.html $ sudo restorecon test.html

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

2. Pas SELinux zodanig aan dat het httpd bestanden uit je homedirectory permanent kan lezen.

$ sudo setsebool -P httpd_enable_homedirs on

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

3. Zorg ervoor dat httpd mails kan versturen.

$ sudo setsebool -P httpd_can_sendmail on

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

4. Stel dat je een website hebt geïnstalleerd waarbij er lees/schijfrechten nodig zijn voor de directory /var/www/html/platform. Hoe wijzig je SELinux zodanig dat er lees/schijfrechten zijn voor de directory platform?

$ sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/html/platform(/.*)?" $ sudo restorecon -Rv /var/www/html/platform

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

5. Je wil SELinux alleen in loggende modus gebruiken. Hoe stel je dit in?

$ sudo setenforce 0
$ sudo nano /etc/selinux/config ... SELINUX=permissive
Last modified: 05 June 2025
Network File SystemNFTables