hpf

Lector entusiasta
Miembro del Equipo
MOD
Se incorporó
7 Mayo 2011
Mensajes
372
Incursionando en algunas cosas, me encontré con la siguiente problemática:

Servicios activos, directorios y contextos (tipo):
httpd -> /var/www/html/new -> httpd_sys_content_t
vsftpd -> /var/ftp/pub/new/ -> ftpd_t


SELinux está en modo Enforcing.

Al montar directorios con "mount --bind /var/www/html/new /var/ftp/pub/new", mantienen los contextos y entra (supongo) el problema.

Dependiendo del type que les asigne, se ven en un servicio o en el otro, no en ambos. En determinado momento, cambiando algunos contextos y probando permisos + atributos, el sistema no me permitía manipular nada. Por ejemplo, al tratar de cambiar owner, me denegaba el acceso.

audit.log
type=AVC msg=audit(1445323011.911:1162): avc: denied { setattr } for pid=4681 comm="chown" name="arch4.info" dev="dm-1" ino=588981 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:eekbject_r:ftpd_t:s0 tclass=file

type=AVC msg=audit(1445323100.029:1163): avc: denied { relabelfrom } for pid=4685 comm="restorecon" name="arch4.info" dev="dm-1" ino=588981 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:eekbject_r:ftpd_t:s0 tclass=file

type=AVC msg=audit(1445323154.596:1165): avc: denied { read } for pid=4706 comm="vsftpd" name="new" dev="dm-1" ino=588967 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=unconfined_u:eekbject_r:httpd_sys_content_t:s0 tclass=dir

Por lo que puedo interpretar, es debido al tipo de contexto, sin embargo, no puedo cambiarlo ya que el directorio también está atado a otro tipo. Quizás hacen overlapping. Nada dentro del directorio está en uso.

Verifiqué toda conexión establecida. Firewall tampoco, está bien configurado para estos servicios. Al colocar SELinux en modo Permissive, puedo tener acceso desde ambos servicios sin problema.


Existe manera de tener esos archivos con contextos de SELinux diferentes? (Sé que mantienen el mismo inodo así que lo veo complicado, pero no sería la primera vez que me sorprenda)

Qué puede ser (o es)?

No me manejo mucho en SELinux. He buscado en mail-list y foros, pero no he encontrado nada.


De antemano gracias :zippybye
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
Yo igual dejo Selinux activado en algunos servidores más propensos a acceso externo. Al resto... selinux disable.


has lo que hace absolutamente todo el mundo, desactiva selinux.

Y ya que estamos en esto, ¿qué utilidad tiene Selinux si ya está iptables?
 
Upvote 0

hpf

Lector entusiasta
Miembro del Equipo
MOD
Se incorporó
7 Mayo 2011
Mensajes
372
has lo que hace absolutamente todo el mundo, desactiva selinux.

:xd Es netamente para aprendizaje, también estoy incursionando en AppArmor y otros LSM.

Yo igual dejo Selinux activado en algunos servidores más propensos a acceso externo. Al resto... selinux disable.
Y ya que estamos en esto, ¿qué utilidad tiene Selinux si ya está iptables?

SELinux, por lo que comprendo, trabaja directamente con llamadas internas del kernel (no sólo de red), añadiendo una capa extra de seguridad. A modo de prevenir, por ejemplo, vulnerabilidades de ciertos servicios (Zero day, mala configuración del filesystem, desbordamientos de buffer, errores en los permisos, descuidos de usuarios, etc), que afecten al resto del sistema. En contraste, iptables o firewalld, utiliza a netfilter(framework) para las llamadas a sistema, trabaja con paquetería de red y el stack de protocolos asociados.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
Claro, funciona como un tipo de firewall pero en la capa de aplicación y archivos

Seria interesante saber si se soporta lo que se requiere hacer (permiso en accesos diferentes unidos por el mount bind )

Aunque igual es como raro, sólo acceso ftp sin acceso web ?
Pero al final si se lo da :sconf
Pero sufre por el permiso que le filtra el acceso porque antes no le daba permiso :xd

Enviado desde mi XT1058
 
Upvote 0

hpf

Lector entusiasta
Miembro del Equipo
MOD
Se incorporó
7 Mayo 2011
Mensajes
372
Osea nos pasamos por la raja las recomendaciones de Red Hat? :yao

Bueno, si Red Hat se pusiera con un par de cores y RAM adicional ningún drama.

Uno de los dominios de la seguridad es la Disponibilidad, y el correcto uso de los servicios y cómo afectan al sistema entero es un factor crítico. De qué sirve tener demonios de monitoreo y LSM si existe saturación de recursos (proce, ram, etc)? El colapso o saturación de estos factores significaría una Denegación de Servicio, algo igual de nocivo para un servicio en marcha que una brecha ante la ausencia de un LSM.

Incluso, aunque el sistema esté cubierto por los mejores firewalls y políticas de acceso, un mal filesystem podría ocasionar que un servicio o usuario llenaran particiones (bug, malicia, mala implementación del servicio, capa 8, etc) y quedara la cagá.

Hay que poner todo en la balanza.

Eso IMHO.

Claro, funciona como un tipo de firewall pero en la capa de aplicación y archivos

Seria interesante saber si se soporta lo que se requiere hacer (permiso en accesos diferentes unidos por el mount bind )

Aunque igual es como raro, sólo acceso ftp sin acceso web ?
Pero al final si se lo da :sconf
Pero sufre por el permiso que le filtra el acceso porque antes no le daba permiso :xd

Enviado desde mi XT1058

Funciona más allá de un firewall, siendo más transversal. Muchos demonios asociados pasan bajo su lupa y en muchas capas.

Hasta ahora no he pillado forma de hacerlo usando SELinux. Sin él, funciona sin problemas.

No es tan raro que de acceso a un servicio y el otro lo filtre, de hecho es lo lógico según contextos. En ningún momento se los da a ambos. La weá se taldea y me deniega toda administración sobre ellos, incluido modificar permisos, nombres, etc. :xd es como WTF y hasta ahí lleguè.

Ya no me queda tiempo para revisar siquiera. :(


Enviado desde mi iPhone utilizando Tapatalk
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
daemons, no demonios :D

demonio en inglés de demon, no daemon, es una cosa distinta
Faltó el profesor banderas

profesorbanderas.jpg
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
daemon también, al igual que devil, "the evil", deuce, son para referirse al coliflecha o entidades malignas derivadas del inframundo

daemon no serian como los "familiares" de los brujos? que serian como ayudantes o sirvientes, tambien provenientes del inframundo
 
Upvote 0

yakko

pingüino mal genio
Se incorporó
24 Agosto 2004
Mensajes
16.883
daemon también, al igual que devil, "the evil", deuce, son para referirse al coliflecha o entidades malignas derivadas del inframundo
pero tiene otra connotación.

el término daemon en un servicio de linux viene de la mitología, donde un común mortal no puede hablar directamente con un dios, necesita a un semi-dios para que transmita su mensaje, ese semi dios "mensajero" se conocía como daemon.

así para que un común mortal (usuario) pueda hablar con un dios (kernel), necesita de un daemon para mandar las instrucciones.
 
Upvote 0

yakko

pingüino mal genio
Se incorporó
24 Agosto 2004
Mensajes
16.883
no, root es un usuario más, vendría siendo como el pastor de la iglesia, tiene más privilegios que los otros usuarios, pero sigue siendo un usuario.
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
no, root es un usuario más, vendría siendo como el pastor de la iglesia, tiene más privilegios que los otros usuarios, pero sigue siendo un usuario.
Qué iglesia vendría siendo la de Red Hat?, está claro que Ubuntu son los mormones :risas
 
Upvote 0
Subir