Red Hat Enterprise Linux, Red Hat Cluster Suite és SELinux: hype, valóság és álom

Yersinia Spiros a fenti címmel küldött levelében arról ír, hogy nem szükséges olyan okos hackernek lenni, mint spender, hogy kikapcsolásra kerüljön a rendszeren az SELinux, csupán elég a vendor használati utasításait követni.

Nesze neked Security-Enhanced Linux... :)

Hozzászólások

Ilyenkor a megoldást is érdemes belinkelni. Ebből például kiderül, hogy ha nem akarod, akkor nem kell kikapcsolnod a SELinuxot a cluster üzemeltetéséhez.

Ennél sokkal jobb, ha az adminisztrátor a szolgáltatások panaszai alapján készíttet egy új policyt például az audit2allow eszközzel. Valahogy így:

http://wiki.centos.org/HowTos/SELinux#head-faa96b3fdd922004cdb988c1989e…

Ahogy Totya kolléga írta lentebb: Permissive-be kapcsolni, futtatni egy ideig a szolgáltatásokat, utána az audit2allow-val új policyt készíttetni.

Biztos van más módszer is, lásd programgyűjtemény SELinux-hoz.

Én is találkoztam a SELinux és a Red Hat Cluster Suite gyönyörűségeivel, miután openais 0.80.3-22-nél újabbra frissítettem. A cluster tagjai nagyon nem akartak összefütyülni.

Akkor megoldottuk okosban a dolgot. Ehhez Permissive módba kellett rakni a SELinux-ot, és a keletkezett logok alapján megszületett egy local SELinux policy.

De a RHEL5.4 release notes-ban legalább már beleírták, hogy RHCS5.4+SELinux nem támogatott. ;-)

Egyszer talán megírják hozzá ők is a "támogatott" SELinux policy-t.

Olvasgattam róla, egy gépen használom. Egyelőre arra jutottam, hogy ez tulajdonképpen egy túlbonyolított jail.

Azért mielőtt kitör a háború, egy apró dolgot legyen szabad megjegyeznem: sokszor, sok helyen (pl. én is a Red Hat tanfolyamokon) elmondtuk, hogy az SELinux nem csodaszer, amely mindig mindenhol bevethető és használható, igenis vannak olyan helyzetek, ahol a leggyorsabb (nem az egyetlen!) megoldás a permissive mód vagy a teljes kikapcsolás. Az SELinux gyári állapotában teljesen jó a default szolgáltatások védelmére, azonban abban a pillanatban, ahogy valamit szeretnénk testreszabni benne (pl. service más portra helyezése, az alapértelmezettől eltérő app útvonalak használata), egy kicsit hozzá kell nyúlni. Az SELinux támogatott, ha valami bajod van vele, akkor lehet support case-t nyitni a Red Hatnél, válaszolnak, segítenek.

Ha nagyon komoly környezeted van, akkor nem a targeted policy-t használod, hanem mondjuk az MLS-t vagy a strictet, ezekhez viszont külön supportszerződés kell - szintén teljeskörű támogatással.

--
SELinux, Xen, RHEL, Fedora: http://sys-admin.hu

A SELinux-szal kapcsolatban én azért elvárnám, hogy a Red Hat Cluster Suite esetén ne az legyen "a hivatalos" mondás, hogy kapcsold ki. Pláne, hogy a RHCS a Red Hat egy támogatott terméke/megoldása.

Szeretném a SELinux által nyújtott biztonság (még ha nem is "csodaszer") és a cluster suite szolgáltatásokat egyszerre élvezni.

De ezek csak az én elvárásaim, és gondolom a Red Hat el is készíti majd a támogatott megoldást. Idővel... Addig is van saját.

Egy kicsiny csalódottság azért van bennem.

PS: Ettől még nem dobom ki a cluster-eket az ablakon. ;-)