Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Activación de SELinux en ALDOS 1.4.

SELinux viene deshabilitado en ALDOS de modo predeterminado, sin embargo se puede habilitar si así lo requiere el usuario. Recién se actualizó el conjunto de políticas de SELinux de la versión 3.9 a la versión 3.13 —cabe señalar que corresponde al mismo conjunto de políticas de CentOS 7. Hay muchos cambios y mejoras y por tanto será importante realizar un sencillo procedimiento para poder sacar provecho de SELinux.

SELinux establece un modelo de seguridad basado sobre políticas. Cada suceso en el sistema —como la ejecución de cada programa o la lectura de un conjunto de datos— es controlada por una política. Todos los sucesos que violen la política son automáticamente denegados. Ademas de proteger el sistema con políticas, también permite confinar el daño ocasionado por los procesos en caso de que éstos se vean comprometidos.

Activar SELinux en ALDOS 1.4 permite que éste sea utilizado para trabajos más serios que un escritorio personal —la principal finalidad productiva de ALDOS— y utilizarlo como cualquier otro sistema operativo para servidor.

Para quien tenga la inquietud y dudas respecto de si el código incluye puertas traseras para la NSA, desde hace varios años esta agencia de EE.UU. cedió el control y administración de SELinux a la comunidad.

Ingrese a un consola y cambie a root:

su -l

Actualice el sistema.

yum -y update

Asegure que el sistema utilizará la versión más reciente del núcleo de Linux versión 3.10.x (maquillado como 2.6.50.x). Ejecute lo siguiente para verificar cuál es el núcleo predeterminado del sistema:

grubby --default-kernel

Asumiendo que la versión más reciente es la 2.6.50.78-1.fc14.al.x86_64, lo anterior debe devolver lo siguiente:

/boot/vmlinuz-2.6.50.78-1.fc14.al.x86_64

Si devuelve algo distinto —como /boot/vmlinuz-2.6.44.104-1.fc14.al.x86_64—, ejecute lo siguiente:

grubby --set-default=/boot/vmlinuz-2.6.50.78-1.fc14.al.x86_64

Ejecute lo siguiente para verificar que lo anterior tubo éxito:

grubby --default-kernel

Lo anterior debe devolver lo siguiente:

/boot/vmlinuz-2.6.50.78-1.fc14.al.x86_64

Elimine el conjunto de reglas presentes en el sistema sólo si instaló ALDOS 1.4.6 o versiones anteriores. Ésto es innecesario en otras distribuciones de Linux porque éstas regularmente actualizan el conjunto de políticas sobre la misma versión con la que fueron publicadas. Recuerde que ALDOS 1.4 actualizó desde la versión 3.9 hacia la 3.13 y este paso en particular será innecesario a partir de la versión 1.4.7.

rm -fr /etc/selinux/targeted

Reinstalar o actualizar el paquete selinux-policy-targeted:

yum -y reinstall selinux-policy-targeted

Instalar el conjunto de herramientas de administración de SELinux:

yum -y install audit setools-gui setroubleshoot setroubleshoot-server \
    policycoreutils-gui policycoreutils-python policycoreutils-restorecond

Activar los servicios auditd y restorecond:

chkconfig auditd on
chkconfig restorecond on

Habilitar SELinux:

perl -pi.orig -e 's|SELINUX=disabled|SELINUX=enforcing|g' /etc/selinux/config

Solicitar al sistema se haga un re-etiquetado del sistema de archivos durante el siguiente inicio de sistema ejecutando lo siguiente:

touch /.autorelabel

Reiniciar el sistema:

reboot

Dejar que se re-etiquete el sistema de archivos. Este proceso puede a demorar mucho tiempo dependiendo de la cantidad de datos en el sistema de archivos.

Dejar que reinicie por si mismo el sistema al terminar el re-etiquetado.

Al iniciar de nuevo el sistema e ingresar al escritorio, habrá en segundo plano un icono en el área de notificación que informará cuando ocurran eventos importantes relacionados con SELinux y de ahí mismo se iniciará un asistente que permitirá diagnosticar y resolver cualquier denegación realizada por SELinux.

Ejecute system-config-selinux para gestionar todo lo relacionado con SELinux como la activación o desactivación y cambio de modos, ver la lista de políticas booleanas presentes en el sistema y poder activar o desactiva éstas, añadir, ver y cambiar las etiquetas de todo el sistema de archivos, añadir, eliminar y modificar usuarios de SELinux, añadir, eliminar y modificar etiquetas de puertos, añadir y eliminar módulos de políticas, etc.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/activacion-selinux-aldos-14
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.