PDF de programación - SELinux FAQ - Respuestas a preguntas frecuentes sobre Seguridad Mejorada de Linux

Fedora 13
SELinux FAQ

Respuestas a preguntas frecuentes sobre Seguridad Mejorada de Linux

Karsten Wade
Paul W. Frields
Scott Radvan

Copyright © 2010 Red Hat, Inc..

The text of and illustrations in this document are licensed by Red Hat under a Creative
Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation
of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. The
original authors of this document, and Red Hat, designate the Fedora Project as
the "Attribution Party" for purposes of CC-BY-SA. In accordance with CC-BY-SA, if
you distribute this document or an adaptation of it, you must provide the URL for the
original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not
to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora,
the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United
States and other countries.

For guidelines on the permitted uses of the Fedora trademarks, refer to https://
fedoraproject.org/wiki/Legal:Trademark_guidelines.

Linux® is the registered trademark of Linus Torvalds in the United States and other
countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the
United States and/or other countries.

All other trademarks are the property of their respective owners.

Este FAQ responde a muchas preguntas acerca de Seguridad Mejorada de Linux. La información
de este FAQ es valiosa para aquellos que son nuevos en SELinux. Este FAQ, sin embargo, no

Resumen

1

SELinux FAQ

está diseñado para proporcionar una cobertura completa de SELinux. Para guías e instrucciones
detalladas sobre la comprensión y el uso de SELinux, consulte primero la Guía del Usuario
de SELinux y la Guía de Administración de Servicios Confinados. Están disponibles en http://
docs.fedoraproject.org

1. SELinux .................................................................................................................................. 2

Recursos Externos
• Sitio principal de SELinux dela NSA — http://www.nsa.gov/research/selinux/index.shtml

• FAQ de SELinux FAQ de la NSA — http://www.nsa.gov/research/selinux/faqs.shtml

• Wiki del Proyecto SELinux — http://selinuxproject.org/

• Página Wikipedia de SELinux — http://en.wikipedia.org/wiki/Security-Enhanced_Linux

• Página de la comunidad SELinux — http://selinux.sourceforge.net

• FAQ no oficial de SELinux — http://www.crypt.gen.nz/selinux/faq.html

• Política de Referencia — http://oss.tresys.com/

• Curso de entrentamiento en el desarrollo de políticas de SELinux — https://www.redhat.com/

training/security/courses/rhs429.html

• Iniciándose en SELinux — http://www.linuxtopia.org/online_books/getting_started_with_SELinux/

index.html

• Lista de las clases de objetos de SELinux y los permisos — http://tresys.com/selinux/

obj_perms_help.shtml

• Lista de correo de Fedora — mailto:[email protected]; lea los archivos o suscríbase

en https://admin.fedoraproject.org/mailman/listinfo/selinux

• La Guía del Usuario de SELinux y la Guía de Administración de Servicios Confinados en SELinux

en http://docs.fedoraproject.org

• En IRC - irc.freenode.net, #fedora-selinux y #selinux

1. SELinux
P:

¿Qué es SELinux?

R:

SELinux (Linux de Seguridad Mejorada, o Security-Enhanced Linux) en Fedora es una
implementación del control de acceso obligatorio en el kernel de Linux usando el marco de
trabajo de los Módulos de Seguridad de Linux (MSL). La seguridad estándar de Linux es un
modelo de control de acceso discrecional.

Control de acceso discrecional (DAC)

DAC es la seguridad estándar de Linux y provee una protección mínima para la ejecución
de software dañado o malware a un usuario normal o a root. Los usuarios pueden permitir
niveles riesgosos de acceso a sus propios archivos.

2

SELinux

Control de Acceso Obligatorio (MAC)

El MAC provee control total sobre todas las interacciones del software. La política definida
administrativamente controla las interacciones del usuario y los procesos con el sistema, y
pueden proveer protección de software dañado o malware que se esté ejecutando como de
cualquier usuario.

En un modelo DAC, las decisiones de archivo y recursos están basados solamente en la
identidad del usuario y la propiedad de los objetos. Cada usuario y cada programa que éste
ejecuta tiene discreción completa sobre los objetos del usuario. El software malicioso o inseguro
puede hacer cualquier cosa con los archivos y recursos que controla mediante el usuario que
inició el proceso. Si el usuario es el superusuario o si la aplicación es setuid o setgid a root,
el proceso puede tener control a nivel de superusuario de todo el sistema.

Un sistema MAC no sufre de estos problemas. Primero, se puede definir administrativamente
una política de seguridad sobre todos los procesos y objetos. Segundo, se puede controlar
todos los procesos y objetos, en el caso de SELinux a través del kernel. Tercero, las decisiones
se basan en toda la información de seguridad relevante disponible y no sólo en la identidad del
usuario autenticado.

MAC bajo SELinux le permite proveer de permisos granulares para todos los sujetos (usuarios,
programas, procesos) y objetos (archivos, dispositivos). En la práctica, imagínese a los sujetos
como los procesos, y a los objetos como el destino de una operación hecha por el proceso.
Se puede dar en forma segura a un proceso solamente los permisos que necesita para su
funcionamiento y nada más.

La implementación de SELinux usa el control de acceso basado en roles (RBAC en inglés), que
provee control a nivel de usuario abstracto basado en roles, y la Obligación de Tipos® (TE en
inglés). TE usa una tabla o matriz para manejar los controles de acceso, obligando a cumplir
reglas de política basándose en los tipos de procesos y objetos. Los tipos de proceso se llaman
dominios y una referencia cruzada en la matriz del dominio del proceso y los tipos de objeto
definen su interacción. Este sistema provee un nivel granular muy detallado en un sistema
Linux.

P:

R:

¿Qué es la política de SELinux?

La política de SELinux describe los permisos de acceso para todos los sujetos y objetos, es
decir, el sistema completo de usuarios, programas y procesos, y los archivos y dispositivos
sobre los que estos actúan. La política de Fedora viene en un paquete, con un paquete fuente
asociado. Los paquetes actuales de política son:

selinux-policy-<version>.noarch.rpm

Este paquete es común a todos los tipos de política y contiene los archivos de configuración
y páginas man. Esto incluye los archivos de interface para el entorno de desarrollo. Esto
reemplaza los paquetes -sources del pasado. Este paquete contiene los archivos de
interface de la Política de Referencia, junto con un archivo Makefile y una herramienta
llamada sepolgen que se usa para generar un archivo template de política. Los archivos
de la interface residen en el directorio /usr/share/selinux/devel/include. Si quiere
ver todos los archivos de política que se usan para construir la Política de Referencia,
necesita instalar el .src.rpm.

P:

¿Qué pasó con la política estricta?

3

SELinux FAQ

R:

P:

R:

P:

R:

P:

R:

P:

R:

La política estricta que había en el Linux para Empresas de Red Hat v 5 y en Fedora Core 5
evolucionó a la política destinada en donde los dominios no confinados son eliminados. Esto
significa que todos los usuarios deben tener un tipo definido para ellos tales como staff_t o
user_t. También, todos los procesos iniciados desde init necesitarían tener una política escrita
para ellos. Hasta Fedora Core 9, la política estricta fue eliminada y mezclada con la política
destinada.

¿Qué programas son protegidos por la política de SELinux?

El número de programas que tienen una política de SELinux definida para ellos está cambiando
y evolucionando constantemente. Las versiones distintas de la política tienen más o menos
ejecutables cubiertos. Por convención, todos los ejecutables confinados tienen una etiqueta
que termina con exec_t. El paquete de herramientas de SELinux (setools) incluye la aplicación
seinfo que le permite examinar la política instalada.

# seinfo -t | grep exec_t | wc -l
620

¿Qué es la Política de Referencia?

La Política de Referencia es un proyecto mantenido por Tresys Technology (http://
www.tresys.com/) diseñado para rescribir toda la política de SELinux en una forma que sea
más fácil de usar y de entender. Para hacerlo, usa los conceptos de modularidad, abstracción
e interfaces bien definida. Vea en http://oss.tresys.com/ más información sobre la Política de
Referencia.

Note que la Política de Referencia no es un tipo nuevo de política. Sino es una nueva base
sobre la que se pueden construir las políticas.

¿Qué son los contextos de archivo?

Los contextos de archivo son usados por el comando setfiles para generar etiquetas
persistentes que describen el contexto de seguridad de un archivo o directorio.

Fedora viene con el script fixfiles, que da soporte a cuatro opciones: check, relabel,
relabel y verify. Este script permite a los usuarios reetiquetar el sistema de archivo
completo sin tener el paquete selinux-policy-targeted-sources instalado. El uso de
lína de comando es más amigable que el comando estándar setfiles.

¿Cómo veo el contexto de seguridad de un archivo, usuario o proceso?

La opción nueva -Z es el método resumido para mostrar el contexto de un sujeto u objeto:

ls -Z archivo.txt
id -Z
ps -eZ

P:

¿Qué diferencia hay entre un dominio y un tipo?

4

SELinux

R:

P:

R:

P:

R:

No hay diferencia entre dominio y tipo, aunque el dominio se usa a veces para referirse al
tipo de un proceso. El uso de dominio de esta forma choca con los modelos de Obligación de
Dominio y de Tipo (DTE), donde los dominios y tipos