Selinux para Todos

SELinux para todos
FLISoL 2015 | ALEX CALLEJAS
About Me
Alex Callejas
Technical Account Manager (Red Hat)
dark_axl
/rootzilopochtli
www.rootzilopochtli.com
Geek by nature, Linux by choice, Fedora of course!

2
Que es SELinux?
De donde vino?
Creado por la Agencia de Seguridad Nacional de los

Estados Unidos (NSA) como un conjunto de parches
para el kernel de Linux que utilizaba los Linux Security
Modules (LSM)
Liberado por la NSA bajo la GNU Public License (GPL)
en el ao 2000
Adoptado por el kernel de Linux en 2003
Que es SELinux?
Es un ejemplo de Control de Acceso Mandatorio
(MAC: Mandatory Access Control) en Linux
DAC vs MAC
Histricamente, los sistemas Unix y Linux han utilizado

el Control de Acceso Discrecional (DAC: Discretionary
Access Control)
Propiedad (usuario, grupo, y otros) ms permisos.

Los usuarios tienen la habilidad (a discrecin) de
cambiar permisos en sus archivos. Un usuario puede
ejecutar: chmod +rwx en su directorio home, y nada
puede detenerlo. Nada impedir que otros usuarios o
procesos accedan a los contenidos de su directorio
home.
DAC vs MAC
root es omnipotente
DAC vs MAC
En un sistema con Control de Acceso Mandatorio,

existen polticas que estn fijas y configuradas.
An si se cambia la configuracin DAC en tu directorio
home, si existe una poltica que impide que cualquier
otro usuario o proceso lo accese, tu informacin esta
segura.
DAC vs MAC
Estas polticas pueden ser

determinar el acceso entre:
Usuarios
Archivos
Directorios
Memoria
Sockets
Puertos tcp/udp
etc...
muy
granulares,
Poltica
La poltica por default es:
targeted - especfica
Todo lo dems se considera no-confinado (unconfined)
Existe otro tipo:
Solo los procesos especificos (son cientos) son protegidos por

SELinux
mls -multi-level/multi-category security
Fuera del objetivo de la charla de hoy
Puede ser muy compleja
Utilizada por Agencias gubernamentales de tres siglas
Entonces, como funciona SELinux?
Se puede determinar que poltica esta configurada en

el sistema, verificando el archivo de configuracin
/etc/selinux/config (que adems tiene una liga
en /etc/sysconfig/selinux)
Ejecutando:
# getenforce
# sestatus
# cat /etc/selinux/config
# cat /etc/sysconfig/selinux
10
11
Dos de los conceptos ms importantes para entender

SELinux son:
Labeling [etiquetado]
Type enforcement [tipo de ejecucin]
Labeling
12
Archivos, procesos, puertos, etc., son etiquetados con

un contexto de SELinux
Para los archivos y directorios, estas etiquetas son
almacenadas como atributos extendidos en el file
system
Para los procesos, puertos, etc., el kernel administra las
etiquetas
Las etiquetas tienen el formato:
13
user:role:type:level(optional)
En esta presentacin trabajaremos nicamente con

type, ya que user, role y level son utilizadas en
implementaciones muy avanzadas con SELinux
(MLS/MCS)
14
Como ejemplo demostrativo, veremos un servicio

bastante complejo, uno que proporciona acceso desde
la red, potencialmente en varios puertos, y
potencialmente, da acceso a todo nuestro sistema e
informacin.
15
16
El servidor web Apache no es necesariamente

inseguro, slo es que su rango de acceso es muy
amplio.
Tiene un binario ejecutable que se lanza desde
/usr/sbin. Cuando observamos el contexto de
SELinux de ese archivo, encontramos que su tipo es
httpd_exec_t
17
El directorio de configuracin del web server esta

etiquetado como: httpd_config_t
18
El directorio de logs del web server esta etiquetado

como: httpd_log_t
19
El directorio de contenido del web server esta

etiquetado como: httpd_sys_content_t
20
El script de arranque del web server esta etiquetado

como: httpd_unit_file_t
21
Cuando el web server esta ejecutndose, el proceso

se etiqueta como: httpd_t
22
Si observamos los puertos en los que escucha el

servidor web, veremos que incluso ellos estn
etiquetados
23
Ahora bien... el archivo /etc/shadow tendr una

etiqueta shadow_t
Type enforcement
24
Bajo estos mismos conceptos, hace sentido que un

proceso corriendo en el contexto httpd_t interacte
con un archivo etiquetado como httpd_config_t
Ser la misma situacin cuando un proceso corriendo
en el contexto httpd_t interacte con un archivo
etiquetado como, digamos, shadow_t, sera correcto?
25
El tipo de ejecucin (type enforcement) es la parte de

la poltica que dice, por cada instancia: un proceso
corriendo con la etiqueta httpd_t puede tener acceso
de lectura a un archivo etiquetado como
httpd_config_t
Como lidiar con las etiquetas?
26
Utilizamos el argumento -Z en diferentes comandos

para revisar el contexto, muchos de ellos lo aceptan:
ls -Z
id -Z
ps -Z
netstat -Z
27
El mismo argumento -Z lo podemos utilizar para crear

y modificar archivos y contextos
cp -Z
mkdir -Z
28
Tambin se pueden utilizar las herramientas de

SELinux: chcon o restorecon para modificar los
contextos de un archivo (lo veremos ms adelante)
Los contextos son configurados cuando los archivos
son creados, basados en el contexto de su directorio
padre (con algunas excepciones)
Los RPM's pueden configurar contextos como parte de
su instalacin
El proceso de login asigna el contexto por default
(unconfined en la poltica targeted)
Transicin de archivos (definidos por la poltica)
29
Si una aplicacin foo_t, crea un archivo en un

directorio etiquetado como bar_t, es posible que la
poltica requiera una transicin, entonces el archivo se
crea con la etiqueta baz_t
Por Ejemplo: Un proceso, dhclient, ejecutndose con
la
etiqueta
dhclient_t,
crea
un
archivo
/etc/resolv.conf, etiquetado como net_conf_t,
en un directorio, /etc, con la etiqueta etc_t. Sin la
transicin, /etc/resolv.conf podra heredar la
etiqueta etc_t.
30
Tambin utilizamos el comando semanage, que puede administrar la

configuracin de SELinux:
Login
user
port
interface
Module
node
File context
Boolean
Estado Permitivo
dontaudit
Y si SELinux me manda un mensaje de error?
31
NO DESHABILITES SELINUX!!!
32
Deshabilitar SELinux es como subirle al estereo al

mximo cuando escuchamos un ruido extrao en
nuestro auto.
stopdisablingselinux.com
33
Que trata de decirme SELinux?
Existen 4 causas principales de errores en SELinux:

1) Etiquetas (SELinux==Labeling)
2) SELinux necesita saber
3) La Aplicacin/Poltica de SELinux puede tener bugs
4) Tu informacin puede estar COMPROMETIDA!!!
34
Etiquetado (SELinux==Labeling)
35
Cada proceso y objeto en el sistema tiene una etiqueta asociada con

l
Si tus archivos no estn etiquetados correctamente el acceso
puede ser negado
Si utilizas rutas alternas/personalizadas para dominios confinados,
SELinux necesita saber
Archivos http en /srv/myweb en lugar de /var/www/html?
Dile a SELinux!
Etiquetado equivalente
Este comando le dice a SELinux que todos los archivos bajo

/srv/myweb son similares a /var/www
ser
Para etiquetar todos los archivos bajo /export/home como si

estuvieran bajo /home
36
Por lo tanto: /srv/myweb/cgi-bin/mycgi.cgi

etiquetado como httpd_sys_script_t
/export/home/flisol/.ssh
ssh_home_t
ser
etiquetado
como
SELinux necesita saber
Como configuraste tu apache server?
Dile a SELinux!!
Si quieres que httpd enve correo

# setsebool -P httpd_can_sendmail 1
Configuracin de vsftp en el login de usuarios

# setsebool -P ftp_home_dir 1
HTTPD va a escuchar en el puerto 8585

# semanage port -a -t http_port_t -p tcp 8585
37
Qu son los Booleanos?
Los Booleanos son configuraciones simples de

SELinux que se pueden encender/apagar
Desde algo muy sencillo como permitamos que el

servidor ftp accese a los directorios home,
a
cuestiones ms estericas como httpd puede utlizar
mod_auth_ntlm_winbind*
mod_auth_ntlm_winbind is a pretty cool Apache module that will do authentication against Active
Directory with NTLM (http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm_winbind).
38
39
Para ver todos los booleanos, ejecutamos:
40
Para ver la explicacin de cada uno, ejecutamos:
Para configurar un booleano, ejecutamos

# setsebool [booleano] [0|1]
41
Para hacerlo permanente agregamos el argumento -P
La App/Policy puede tener bugs
42
La poltica de SELinux puede tener bugs
Rutas inusuales en el cdigo
Configuraciones
Redireccin del stdout
La App/Policy puede tener bugs
43
La Aplicacin puede tener bugs
File descriptors filtrados
Memoria ejecutable
Libreras mal contrudas
Reporta los bugs en Bugzilla para que los podamos

arreglar
Tu informacin puede estar COMPROMETIDA!!!
44
Si las herramientas actuales no hacen un buen trabajo

al diferenciar contextos
Si tienes dominios confinados que intentan:
Cargar mdulos de kernel
Apagar el modo enforcing de SELinux
Escribir a etc_t/shadow_t
Modificar reglas de iptables
Tu informacin puede estar en PELIGRO
Tips
Instala setroubleshoot y setroubleshoot-server en tus

equipos. Ellos tienen muchas herramientas que te
ayudarn a diagnosticar y corregir problemas con
SELinux
Reinicia el servicio audit despus de instalarlo
[root@server ~]# yum -y install setroubleshoot setroubleshoot-server
[root@server ~]# service auditd restart
Stopping logging:
Redirecting start to /bin/systemctl start auditd.service

[root@server ~]#
45
OK
En la vida real
46
SELinux: Caso de la vida real

http://www.rootzilopochtli.com/2014/12/que-hacer-cuando-algo-falla-ep2/
47
Problema: Mecnismo de confianza con llaves de SSH

no funciona
Anlisis preliminar
Revisin de llave
Permisos
Anlisis de logs
Regenerar mecnismo
Anlisis de Seguridad
Revisin de enforcement
Revisin de contextos
[root@serverA ~]# getenforce
Enforcing
[root@serverA ~]# ls -lZd /home/userA/
drwx------. userA userA unconfined_u:object_r:user_home_dir_t:s0 /home/userA/
[root@serverA ~]#
[root@clientB ~]# getenforce

Enforcing
[root@clientB ~]# ls -lZd /opt/userB/
drwx------. userB userB system_u:object_r:file_t:s0 /opt/userB/
[root@clientB ~]#
48
Anlisis de Seguridad
Instalar setroubleshoot
Revisando logs
[root@clientB ~]# tail /var/log/messages
Dec 12 16:56:32 clientB kernel: type=1305
audit(1418424992.590:4): audit_pid=952 old=0
auid=4294967295 ses=4294967295
subj=system_u:system_r:auditd_t:s0 res=1
Dec 12 16:58:26 clientB setroubleshoot: SELinux
is preventing /usr/sbin/sshd from search access
on the directory /opt/userB. For complete SELinux
messages. run sealert -l f963dd2e-ab81-4c3a-99ad4d4d1e6736d5
[root@clientB ~]#
49
Ejecutando sealert
[root@clientB ~]# sealert -l f963dd2e-ab81-4c3a-99ad-4d4d1e6736d5
SELinux is preventing /usr/sbin/sshd from search access on the directory
/opt/userB.
***** Plugin restorecon (82.4 confidence) suggests *************************
If you want to fix the label.

/opt/userB default label should be usr_t.
Then you can run restorecon.
Do
# /sbin/restorecon -v /opt/userB
...
[root@clientB ~]#
50

[root@clientB ~]# restorecon -v /opt/userB
restorecon reset /opt/userB context
system_u:object_r:file_t:s0->system_u:object_r:usr_t:s0
[root@clientB ~]#
[root@clientB ~]# ls -lZd /opt/userB/
drwx------. userB userB system_u:object_r:usr_t:s0 /opt/userB/
[root@clientB ~]#
[userA@serverA ~]$ ssh userB@serverB hostname
clientB.example-rh.com
[userA@serverA ~]$
51
Preguntas?
52
Ms informacin
SELinux Guide
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/SELinux_Users_and_Administrators_Guide/index.html
Fedora Project SELinux Docs

http://fedoraproject.org/wiki/SELinux
fedora-selinux-list (mailing list)
https://www.redhat.com/mailman/listinfo
http://access.redhat.com tiene bastantes videos acerca

de SELinux. Thomas Cameron, Dave Egts y Dan Walsh
han expuesto desde confinamiento de usuarios hasta
sandboxing (mls)
Dan Walsh's blog:
53
http://danwalsh.livejournal.com
54
Brevario Cultural:
Modelo de Servicios de nube
IaaS
PaaS
SaaS
APLICACIN
PLATAFORMA APLICACIN
(JBOSS, PHP, RUBY, ETC)
SISTEMA OPERATIVO
(Fedora)
VIRTUALIZACIN
(RHEV, VMware)
HARDWARE
(x86)
STORAGE
(RHS)
Administrado y controlado
por el usuario (IT, Dev, o
Usuario final)
Administrado por un
proveedor de servicio
55
Incrementa el control
Reduce admin
http://www.openshift.org/
56
Confinando a root
57
58
59

Selinux para Todos

Cargado por

Copyright:

Formatos disponibles

Selinux para Todos

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Selinux para Todos

Cargado por

Copyright:

Formatos disponibles

SELinux para todos

FLISoL 2015 | ALEX CALLEJAS

Geek by nature, Linux by choice, Fedora of course!

FLISoL 2015 | ALEX CALLEJAS

Creado por la Agencia de Seguridad Nacional de los

FLISoL 2015 | ALEX CALLEJAS

FLISoL 2015 | ALEX CALLEJAS

Histricamente, los sistemas Unix y Linux han utilizado

Propiedad (usuario, grupo, y otros) ms permisos.

FLISoL 2015 | ALEX CALLEJAS

FLISoL 2015 | ALEX CALLEJAS

En un sistema con Control de Acceso Mandatorio,

FLISoL 2015 | ALEX CALLEJAS

Estas polticas pueden ser

FLISoL 2015 | ALEX CALLEJAS

La poltica por default es:

Todo lo dems se considera no-confinado (unconfined)

Existe otro tipo:

Solo los procesos especificos (son cientos) son protegidos por

mls -multi-level/multi-category security

Fuera del objetivo de la charla de hoy

Puede ser muy compleja

Utilizada por Agencias gubernamentales de tres siglas

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

Se puede determinar que poltica esta configurada en

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

Dos de los conceptos ms importantes para entender

Type enforcement [tipo de ejecucin]

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

Archivos, procesos, puertos, etc., son etiquetados con

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

Las etiquetas tienen el formato:

En esta presentacin trabajaremos nicamente con

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

Como ejemplo demostrativo, veremos un servicio

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

El servidor web Apache no es necesariamente

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

El directorio de configuracin del web server esta

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

El directorio de logs del web server esta etiquetado

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

El directorio de contenido del web server esta

FLISoL 2015 | ALEX CALLEJAS

Entonces, como funciona SELinux?

El script de arranque del web server esta etiquetado

FLISoL 2015 | ALEX CALLEJAS