Це третя стаття з циклу

І сьогодні вона потрапила в потік «Адміністрування». Сьогодні ми не будемо писати модулі або налаштовувати RBAC, а підемо по шляху найменшого опору і просто захарденим звичайний LAMP-сервер за допомогою готової політики, включивши необхідні налаштування.
Якщо хто забув, за аббривиатурой LAMP ховається Linux, Apache, Mysql, PHP, тобто це велика частина всіх VDS, які купують люди для зберігання своїх особистих блогів. Сподіваюся, що це допоможе їм стати трохи безпечніше :)

Читати далі →

Це друга стаття з циклу

Сьогодні ми поговоримо про SELinux-користувачів, їх створенні, прив'язці, прав і іншим речам.
Навіщо це робити? Є багато причин. Для мене головною причиною було видати доступ для техпідтримки для рутинних операцій ( таких як ребут, чистка логів, діагностика ітд ), але без доступу до критичним даними і зміни системних функцій.

Припущення
У тексті буде міститися багато технічної інформації, тому автор припускає, що читач:
  • Прочитав минулу статтю
  • Має під рукою CentOS 7
  • На якому встановлені пакети setools-console, policycoreutils-devel, selinux-policy-devel, policycoreutils-newrole
  • І включений SELinux в режимі enforcing з політикою targeted або minimum
Це все про вас? Тоді поїхали!
Читати далі →

Розробка SELinux-модуля для програми

Давним-давно, у далекій-далекій країні
… державна служба NSA розробила систему безпеки для ядра і оточення Linux, і назвала її SELinux. І з тих пір люди розділилися на дві категорії: disabled/permissive і enforcing. Сьогодні я покажу вам шлях Сили і переведу на іншу сторону всіх бажаючих.

Припущення
У тексті буде міститися багато технічної інформації, тому автор припускає, що читач:

  • Має якесь додаток (демон), який має працювати з SELinux
  • Переглянув різницю між DAC, MAC і RBAC
  • Знайомий з адмініструванням Linux
  • щось читав про SELinux і може розшифрувати user_u:user_r:user_home_t:s0
  • Має під рукою CentOS 7
  • На якому встановлені пакети setools-console, policycoreutils-devel, selinux-policy-devel
  • І включений SELinux в режимі permissive з політикою targeted або minimum
Це все про вас? Тоді поїхали!
Читати далі →