Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Archivos relacionados con SELinux

21.2. Archivos relacionados con SELinux

Las secciones siguientes describen los archivos de configuraci�n y sistemas de archivos relacionados con SELinux.

21.2.1. El pseudo sistema de archivos /selinux/

El pseudo-sistema de archivos /selinux/ contiene los comandos que son utilizados m�s a menudo por el subsistema del kernel. Este tipo de sistema de archivos es similar al pseudo sistema /proc/.

En la mayor�a de los casos, los administradores y usuarios no necesitan manipular este componente, en comparaci�n con otros archivos y directorios SELinux.

El ejemplo siguiente presenta contenidos de muestra del directorio /selinux/:

-rw-rw-rw-  1 root root 0 Sep 22 13:14 access
dr-xr-xr-x  1 root root 0 Sep 22 13:14 booleans
--w-------  1 root root 0 Sep 22 13:14 commit_pending_bools
-rw-rw-rw-  1 root root 0 Sep 22 13:14 context
-rw-rw-rw-  1 root root 0 Sep 22 13:14 create
--w-------  1 root root 0 Sep 22 13:14 disable
-rw-r--r--  1 root root 0 Sep 22 13:14 enforce
-rw-------  1 root root 0 Sep 22 13:14 load
-r--r--r--  1 root root 0 Sep 22 13:14 mls
-r--r--r--  1 root root 0 Sep 22 13:14 policyvers
-rw-rw-rw-  1 root root 0 Sep 22 13:14 relabel
-rw-rw-rw-  1 root root 0 Sep 22 13:14 user

Por ejemplo, al ejecutar el comando cat en el archivo enforce revela un 1, para el modo impositivo, o un 0, para el modo permisivo.

21.2.2. Archivos de configuraci�n de SELinux

Las secciones siguientes describen los archivos de configuraci�n y de pol�ticas para SELinux, y los sistemas de archivos relacionados localizados en el directorio /etc/.

21.2.2.1. El archivo de configuraci�n /etc/sysconfig/selinux

Hay dos formas de configurar SELinux bajo Red Hat Enterprise Linux: usando el Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel), o manualmente editando el archivo de configuraci�n (/etc/sysconfig/selinux).

El archivo /etc/sysconfig/selinux es el archivo de configuraci�n principal para habilitar o inhabilitar SELinux, as� como tambi�n para configurar cu�l pol�tica de debe imponer en el sistema y c�mo hacerlo.

NotaNota
 

El archivo /etc/sysconfig/selinux contiene un enlace simb�lico al archivo de configuraci�n real, /etc/selinux/config.

A continuaci�n se explica el subconjunto completo de opciones disponibles para la configuraci�n:

  • SELINUX=<enforcing|permissive|disabled> — Define el estado superior para SELinux en un sistema.

    • enforcing o 'impositivo' — Se impone la pol�tica de seguridad SELinux.

    • permissive o 'permisivo' — El sistema SELinux advierte pero no impone la pol�tica. Esto es �til para prop�sitos de depuraci�n o de resoluci�n de problemas. En modo permisivo, se registrar�n m�s rechazos, pues los sujetos podr�n continuar con acciones que de lo contrario ser�an rechazadas en el modo impositivo. Por ejemplo, navegar en un �rbol de directorios producir� varios mensajes de avc: denied para cada nivel de directorio le�do, pero un kernel en modo impositivo habr�a detenido la primera acci�n de este tipo, previniendo que se produjeran m�s mensajes de rechazo.

    • disabled o 'inhabilitado' — SELinux est� completamente desactivado. Los ganchos de SELinux no est�n conectados al kernel y el pseudo sistema de archivos no est� registrado.

      SugerenciaSugerencia
       

      Las acciones realizadas mientras SELinux est� inhabilitado pueden provocar que el sistema de archivos ya no tenga el contexto de seguridad adecuado como se defini� en la pol�tica. La ejecuci�n de fixfiles relabel antes de activar SELinux volver� a etiquetar el sistema de archivos para que SELinux funcione adecuadamente cuando est� activo. Para m�s informaci�n, consulte la p�gina man de fixfiles(8).

    NotaNota
     

    Si se dejan espacios en blanco adicionales al final de una l�nea de configuraci�n o como l�neas extra al final de un archivo, se puede causar un comportamiento inesperado. Para ser precavidos, elimine cualquier espacio en blanco.

  • SELINUXTYPE=<targeted|strict> — Especifica cu�l pol�tica est� siendo implantada actualmente por SELinux.

    • targeted (objetivo) — Solamente se protegen ciertos demonios particulares.

      ImportanteImportante
       

      Los siguientes demonios son protegidos en la pol�tica de objetivos predeterminada:dhcpd, httpd (apache.te), named, nscd, ntpd, portmap, snmpd, squid, y syslogd. El resto del sistema se ejecuta en el dominio unconfined_t (ilimitado).

      Los archivos de pol�ticas para estos demonios se pueden encontrar en /etc/selinux/targeted/src/policy/domains/program y est�n sujetos a cambios, a medida que se publiquen versiones m�s nuevas de Red Hat Enterprise Linux.

      La imposici�n de pol�ticas para estos demonios se puede activar y desactivar, utilizando valores boleanos controlados por Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel). Al activar un valor boleano para un demonio objetivo se desactiva la transici�n de pol�ticas para ese demonio, lo que previene, por ejemplo, que init pase a dhcpd desde el dominio unconfined_t (ilimitado) al dominio especificado en dhcpd.te. El dominio unconfined_t permite a los sujetos y objetos con ese contexto de seguridad a ejecutarse bajo la seguridad est�ndar de Linux.

    • strict (estricta) — Protecci�n SELinux completa, para todos los demonios. Se definen los contextos de seguridad para todos los sujetos y objetos y cada simple acci�n es procesada por el servidor de aplicaci�n de pol�ticas.

21.2.2.2. El directorio /etc/selinux/

El directorio /etc/selinux/ es la ubicaci�n principal para todos los archivos de pol�ticas as� como tambi�n para el archivo de configuraci�n principal.

El ejemplo siguiente presenta contenidos de muestra del directorio /etc/selinux/:

-rw-r--r--  1 root root  448 Sep 22 17:34 config
drwxr-xr-x  5 root root 4096 Sep 22 17:27 strict
drwxr-xr-x  5 root root 4096 Sep 22 17:28 targeted

Los dos subdirectorios, strict/ y targeted/, son los directorios espec�ficos donde se contienen los archivos de pol�ticas del mismo nombre (por ejemplo, strict y targeted).

Para m�s informaci�n sobre las pol�ticas de SELinux y su configuraci�n, consulte el Gu�a para escribir pol�ticas SELinux de Red Hat.

21.2.3. Utilidades para SELinux

Los siguientes son algunos de los programas de utilidades usados m�s a menudo por SELinux

  • /usr/bin/setenforce — Modifica en tiempo real el modo en que se ejecuta SELinux. Al ejecutar setenforce 1, se coloca SELinux en modo impositivo. Al ejecutar setenforce 0, SELinux se coloca en modo permisivo. Para desactivar SELinux, se necesita que configure el par�metro en /etc/sysconfig/selinux o que pase el par�metro selinux=0 al kernel, bien sea en /etc/grub.conf o al momento del arranque.

  • /usr/bin/sestatus -v — obtiene el estado detallado de un sistema ejecutando SELinux. El ejemplo siguiente muestra un extracto de la salida sestatus:

    SELinux status:         enabled
    SELinuxfs mount:        /selinux
    Current mode:           enforcing
    Policy version:         18
  • /usr/bin/newrole — Ejecuta un nuevo shell en un nuevo contexto o papel. La pol�tica debe permitir la transici�n al nuevo papel.

  • /sbin/restorecon — Configura el contexto de seguridad de uno o m�s archivos, marcando los atributos extendidos con el archivo apropiado o contexto de seguridad.

  • /sbin/fixfiles — Verifica o corrige la base de datos del contexto de seguridad en el sistema de archivos.

Consulte la p�gina man asociada con estas utilidades para m�s informaci�n.

Para m�s informaci�n sobre todas las utilidades binarias disponibles, refi�rase a los contenidos del paquete setools o policycoreutils, ejecutando rpm -ql <package-name>, donde <package-name> es el nombre del paquete espec�fico.

 
 
  Published under the terms of the GNU General Public License Design by Interspire