Posts for: #SELinux

Новый “Мастер” в system-config-selinux

Ден Уолш рассказал о добавлении в утилиту system-config-selinux мастера Boolean Lockdown Wizard. Он позволяет включать/выключать/сбрасывать в значение по умолчанию переключатели SELinux (booleans). Самое приятное отличие этого мастера от пункта Boolean в system-config-selinux - это возможность на финальном шаге через GUI сохранить текущее значение переключателей в файл.

Когда поддержка сформированных таким образом файлов будет добавлена в IPA, системный администратор сможет централизованно применять соответствующие настройки ко всем или части машин на предприятии.

Новая статья в Red Hat Magazine посвященная SELinux

В Red Hat Magazine вышла новая статья “Writing policy for confined SELinuxusers “, написанная Dan Walsh. В ней Dan на примере двух простых задач описывает как при помощи мастера создания модулей политики
в утилите system-config-selinux можно модифицировать существующий тип пользователя и как добавить новый.

В первом примере модифицируется политика для xguest, позволяя этому пользователю не только запускать браузер, но и работать с IM по протоколу
AIM/AOL. Во втором примере создается новый тип пользователя, которому разрешено пользоваться терминалом, отправлять почту и читать/писать
в /maildir.

Некоторые новшества в Fedora 9 с точки зрения SELinux

Месяц назад вышла девятая версия Linux-дистрибутива общего назначения Fedora. В этом посте я хотел бы продолжить разговор о системе мандатного контроля доступа SELinux и кратко рассмотреть, что же нового появилось в этой подсистеме c выходом Fedora 9. Для простоты давайте пройдемся по соответствующей секции Release Notes и разберем каждый из пунктов.

1) guest_t does not allow running setuid binaries, making network connections, or using a GUI.

Собственно, тип guest_t был добавлен еще в Fedora 8. Проведем эксперимент:

SELinux in news

Ru: Очередная поездка в Фарнборо (на этот раз для сдачи экзамена EX423 по RHDS), а сразу после этого двухнедельные курсы VMWare, спровоцировали появление 1000+ непрочитанных сообщений в заброшенной RSS-читалке. Разгребая эти залежи, не могу не отметить пару интересных новостей, касающихся SELinux.

Во-первых, проект OpenSolaris интегрирует использованную в SELinux схему безопасности Flask/Type Enforcement в свою операционную систему. Называется это дело Flexible Mandatory Access Control (FMAC), и имеет свою страничку на сайте проекта. Помимо Sun Microsystems, вклад в разработку FMAC вносит и АНБ – «родитель» SELinux. Таким образом, операционных систем, использующих данную модель безопасности, становиться все больше и больше. Не следует забывать и про существующую поддержку Flask/TE на уровне приложений, например СУБД (PostgreSQL) или средств виртуализации (гипервизор Xen).

Run VMware Server 2.0 Beta on Fedora 8 (and SELinux)

Ru: Получив на работе новый ноутбук (HP Compaq 6715b) я, приступил к приведению его в пригодное для работы состояние – установке Fedora. Проблем почти не возникло, за исключением того, что вместо драйвера для интегрированной видеокарты от ATI из livna, пришлось вручную скачать и установить более свежий драйвер с сайта производителя, поскольку лежащий в livna не захотел работать с «широкоформатными» разрешениями экрана. Как оказалось, это известная проблема.
Единственное ПО, с которым пришлось повозиться достаточно долго, это VMware Server. В основном для «виртуальных лаб» я использую Xen, где у меня отлично «крутятся» несколько копий RHEL 4 и 5, но, по ряду причин, иногда запускаю и VMware (не для запуска Windows :). Причем проблема возникла там, где я ее совсем не ожидал, и, если бы не ветка в форуме, наверно, потерял бы еще некоторое время. Cервер после отключения ipv6 прекрасно установился, запускался, работал и не выдавал никаких ошибок при старте. Журналы операционной системы также были девственно чисты. Однако, при попытке зайти в Web UI, VMware Server выдавал сообщение: The server is not responding. Please check that the server is running and accepting connections. Помогло лишь полное отключение SELinux (!!!). Честно говоря, меня это решение совсем не устраивает. Почему и чем мешает работе сервера «разрешительный» режим SELinux, пока понять не могу. По идее ничего кроме деградации производительности происходить в этом случае не должно.