Свен Вермейлен - Администрирование системы защиты SELinux

Свен Вермейлен

Администрирование
системы защиты SELinux

SELinux System
Administration
Ward off traditional security permissions and effectively
secure your Linux systems with SELinux

Sven Vermeulen

BIRMINGHAM - MUMBAI

Администрирование
системы защиты SELinux
Рассмотрение традиционных решений
по обеспечению безопасности и эффективной защиты
операционных систем семейства Linux с помощью
средств SELinux

Свен Вермейлен

Москва, 2020

УДК 004.451
ББК 32.972.1
В34

В34

Вермейлен С.
Администрирование системы защиты SELinux / пер. с анг. В. Л. Верещагина, О. К. Севостьяновой. – М.: ДМК Пресс, 2020. – 300 с.: ил.
ISBN 978-5-97060-557-8
Эта книга показывает, как значительно усилить безопасность операционной системы
Linux и устранить имеющиеся уязвимости установленных приложений.
Вы узнаете, как работает SELinux, как можно настроить ее под свои нужды и усилить
с ее помощью защиту систем виртуализации, включающих технологию libvirt (sVirt) и
контейнеризацию Docker. Также рассказывается об управляющих действиях, позволяющих улучшить безопасность конкретной системы с помощью принудительного
контроля доступа – стратегии защиты, определяющей безопасность Linux уже много лет.
Большинство возможностей системы защиты рассматривается на реальных примерах.
Книга предназначена для администраторов операционной системы Linux, в задачу
которых входит управление ее защищенностью.

УДК 004.451
ББК 32.972.1
Authorized Russian translation of the English edition of SELinux System Administration
ISBN 978-1-78712-695-4 © Packt Publishing.
This translation is published and sold by permission of Packt Publishing, which owns or
controls all rights to publish and sell the same.
Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения
владельцев авторских прав.

ISBN 978-1-78712-695-4 (анг.)
ISBN 978-5-97060-557-8 (рус.)

© Packt Publishing
© Дополнительный текст, Верещагин В. Л., 2020
© Оформление, издание, перевод, ДМК Пресс, 2020

Содержание
Об авторе ............................................................................................................13
О рецензентах ....................................................................................................15
Предисловие ......................................................................................................16
Глава 1. Фундаментальные концепции SELINUX......................................21
1.1. Предоставление большей безопасности в Linux ..........................................21
1.1.1. Использование модулей безопасности Linux .......................................24
1.1.2. Расширение возможностей стандартного дискреционного
разграничения доступа ....................................................................................25
1.1.3. Ограничение привилегий пользователя root........................................27
1.1.4. Сокращение воздействия уязвимостей .................................................28
1.1.5. Включение возможностей SELinux в операционной системе .............29
1.2. Маркировка всех ресурсов и объектов .........................................................31
1.2.1. Описание параметров безопасности .....................................................32
1.2.2. Принудительный доступ посредством типов функциональных
ограничений .....................................................................................................35
1.2.3. Распределение по ролям наборов функциональных ограничений ....36
1.2.4. Разделение пользователей по ролям .....................................................38
1.2.5. Контроль информационных потоков посредством мандатного
механизма .........................................................................................................39
1.3. Формирование и распределение политик ...................................................40
1.3.1. Создание политик SELinux .....................................................................41
1.3.2. Распределение политик в виде модулей ...............................................43
1.3.3. Комплектация модулей в хранилище политик .....................................45
1.4. Различия между политиками ........................................................................45
1.4.1. Поддержка многоуровневой защиты (MLS) ..........................................46
1.4.2. Манера поведения с неизвестными разрешениями ............................46
1.4.3. Поддержка неограниченных доменов...................................................47
1.4.4. Ограничение межпользовательского обмена .......................................48
1.4.5. Последовательные изменения версий политик ...................................49
1.4.6. Качественное изменение версий политик ............................................50
1.5. Заключение.....................................................................................................51

Глава 2. Режимы работы и регистрация событий ....................................53
2.1. Включение и выключение защиты SELinux .................................................53
2.1.1. Установка глобального состояния защиты............................................54

6 

Содержание

2.1.2. Переключение в рекомендательный и принудительный режимы .....55
2.1.3. Использование --">