SELinux/ru

SELinux это система принудительного контроля доступа, которая позволяет осуществлять более тщательный контроль прав доступа, а также позволяет администратору безопасности определять, что пользователь может делать, а что нет. В отличие от обычного контроля доступа для Linux (который означает, что конечный пользователь все еще может делиться файлами, которыми не должен делиться, позволять другим получать доступ на запись к своим файлам, и т.д.), принудительная система контроля доступа полностью регулируется через политику безопасности.

При использовании SELinux, который работает вместе со стандартной системой контроля прав (которая проверяется в первую очередь, и только затем, если она разрешает активность, будет проверен и SELinux), процессы запускаются внутри сущности, называемой домен. Домену назначаются привилегии для определения возможных взаимодействий с другими ресурсами (будь то процессы, другие домены, файлы, сокеты, возможности, файловые контексты, семафоры, сообщения ...).

Поддержка Gentoo

В проекте Gentoo, SELinux поддерживается через проект Gentoo Hardened, хотя он не заставляет использовать защищенные профили (вы можете включить SELinux без использования защищенных утилит для сборки)

Ресурсы по Gentoo Hardened SELinux

Ниже приведен список ресурсов, предназначенных для поддержки пользователей и разработчиков в их задачах SELinux, и поддерживаемых разработчиками подпроекта SELinux в Gentoo Hardened.

• Настольная книга Gentoo Hardened SELinux
  • Дает краткое введение в SELinux
  • Содержит инструкции по установке (миграции)
  • Дает базовый набор различных административных команд SELinux
• Часто задаваемые вопросы по Gentoo Hardened и SELinux
• Ограничения политик SELinux
• Учебники по Gentoo Hardened SELinux

Также есть некоторая документация для разработчиков, если вы заинтересованы в развитии SELinux в Gentoo Hardened.

• Гайд по разработке Gentoo Hardened SELinux
• Сообщения об ошибках в политиках SELinux
• Политика разработки Gentoo Hardened SELinux
• Дорожная карта Gentoo Hardened SELinux (может быть устаревшей)

Модули политик SELinux

SELinux использует модульный подход к своим политикам. Базовые разрешения находятся в политике "base", а дополнительные привилегии определены в модулях SELinux. Вы можете просмотреть загруженные в настоящий момент модули SELinux через semodule -l. Так как модуль политик содержит определения (какие домены описываются модулем, какие ресурсы определяются, и как), привилегии (какие взаимодействия разрешены), опциональные привилегии (которые включаются через булевы отношения SELinux) и многое другое, часто бывает необходимо найти более конкретный документ по специфике конкретного модуля.

Ниже вы найдете список документированных модулей.

• apache это модуль SELinux для поддержки веб-серверов вроде apache или lighttpd
• bind это модуль SELinux для поддержки сервера DNS named
• chromium это модуль SELinux для поддержки браузера chromium
• cron это модуль SELinux для различных доменов cron (например, vixie-cron)
• ldap это модуль SELinux для OpenLDAP
• portage это модуль SELinux, предлагающий поддержку для Gentoo Portage, и связанных с ним программ (вроде gcc-config, eselect, ...)