Changes in 561b0ed: add SELinux

				Linux/SELinux.md
			
          @@ -1 +1,273 @@

          -~~#include(SELinux,notitle)~~

          \ No newline at end of file

          +[[_TOC_]]

          +

          +# 管理ツールのインストール

          +- 管理ツールのパッケージ

          +```

          +# yum install setroubleshoot

          +```

          +- GUI用追加パッケージ

          +```

          +# yum install policycoreutils-gui

          +```

          +

          +# 動作モード切替

          +- 現在のモードを調べる。

          +```

          +# getenforce

          +```

          +- 「Enforcing」モードに変更。

          +```

          +# setneforce 1

          +```

          +- 「Permissive」モードに変更。

          +```

          +# setenforce 0

          +```

          +- [SELinuxの動作モードをコマンドラインで切り替えるには － ＠IT](http://www.atmarkit.co.jp/flinux/rensai/linuxtips/979selinuxenforce.html)

          +

          +# ログ分析

          +- ログ分析

          +```

          +# sealert -a /var/log/audit/audit.log

          +```

          +- 一時許可ポリシーの適用

          +```

          +# grep <分析して出てきたキーワード> /var/log/audit/audit.log | audit2allow -M mypol

          +# semodule -i mypol.pp

          +```

          +- 複数の項目を許可するポリシーが必要な場合

          +  1. SELinux を Permissive モードに切り替えて該当プログラムを実行し、動かない原因が SELinux であることを確認する。

          +```

          +# setenforce 0

          +```

          +  1. 一時許可ポリシーを削除。

          +```

          +# semodule -r mypol

          +```

          +  1. ログファイル更新。

          +```

          +# service auditd rotate

          +```

          +    - 更新に失敗する場合は、auditd の動作確認/再起動を行う。

          +```

          +# service auditd status

          +# service auditd restart

          +```

          +  1. 該当プログラムを実行し、ログを記録する。

          +  1. Enforcing モードに戻す。

          +```

          +# setenforce 1

          +```

          +  1. ログからポリシーを作成する。

          +    - 許可すべき項目が不明な場合<br />

          +「XXX」は自分で決めた名前。

          +```

          +# cat /var/log/audit/audit.log | audit2allow -M mypol_XXX

          +```

          +    - 許可すべき項目が既知の場合<br />

          +必要な項目を「\|」で繋げて検索する。

          +```

          +# grep "項目1\|項目2\|項目3" /var/log/audit/audit.log | audit2allow -M mypol_XXX

          +```

          +  1. ポリシーの確認<br />

          +関係ない項目まで許可されていないかどうか確認する。

          +```

          +# vi mypol_XXX.te

          +```

          +    - ポリシーの手動コンパイル

          +```

          +# checkmodule -M -m -o mypol_XXX.mod mypol_XXX.te

          +# semodule_package -o mypol_XXX.pp -m mypol_XXX.mod

          +```

          +  1. ポリシーをインストール。

          +```

          +# semodule -i mypol_XXX.pp

          +```

          +

          +# スクリプト

          +## コンパイルとインストール

          +- [installSELPolicy.zip](installSELPolicy.zip)

          +```bash

          +#!/bin/bash

          +

          +if [ $# -lt 1 ]; then

          +  echo "usage: $0 <policy.te>"

          +  echo "SELinux Policy ファイルをコンパイル&インストールします。"

          +  exit 1

          +fi

          +

          +POLICYNAME="$1"

          +POLICYNAME=${POLICYNAME##*/}

          +POLICYNAME=${POLICYNAME%.*}

          +

          +checkmodule -M -m -o ${POLICYNAME}.mod ${POLICYNAME}.te

          +semodule_package -o ${POLICYNAME}.pp -m ${POLICYNAME}.mod

          +rm -f ${POLICYNAME}.mod

          +EXIST=`semodule -l | grep ${POLICYNAME}`

          +if [ -n "$EXIST" ]; then

          +  semodule -v -r ${POLICYNAME}

          +fi

          +semodule -v -i ${POLICYNAME}.pp

          +```

          +

          +## ポリシーをソート

          +- ポリシーファイルの require 部および { } 内をソートするスクリプト。<br />

          +[sort_policy.zip](sort_policy.zip)

          +```perl

          +#!/usr/bin/perl

          +

          +use strict;

          +use warnings;

          +use utf8;

          +

          +my $fileNameIn = shift or die("usage: sort_policy.pl <infile.te>\n");

          +my $fileNameOut = $fileNameIn . '.sorted';

          +

          +open( my $fhIn, '<', $fileNameIn ) or die( "$fileNameIn: $!\n" );

          +open( my $fhOut, '>', $fileNameOut ) or die( "$fileNameOut: $!\n" );

          +

          +while( my $line = <$fhIn> ){

          +	if ( $line =~ /^require\s+\{/ ){

          +		last;

          +	}

          +	print $fhOut $line;

          +}

          +

          +print $fhOut "require {\n";

          +

          +my @types = ();

          +my @classes = ();

          +

          +while( my $line = <$fhIn> ){

          +	if ( $line =~ /^\}/ ){

          +		last;

          +	}

          +	$line = sortInBracket( $line );

          +	if ( $line =~ /^\s+type/ ){

          +		push( @types, $line );

          +	} else {

          +		push( @classes, $line );

          +	}

          +}

          +

          +print $fhOut sort( @types );

          +print $fhOut sort( @classes );

          +

          +print $fhOut "}\n";

          +

          +while( my $line = <$fhIn> ){

          +	if ( $line =~ /^allow\s/ ){

          +		$line = sortInBracket( $line );

          +	}

          +	print $fhOut $line;

          +}

          +

          +close( $fhIn );

          +close( $fhOut );

          +

          +exit();

          +

          +sub sortInBracket

          +{

          +	my $line = shift || '';

          +	$line =~ s<\{\s*([^\}]+)\s*\}><'{ '.join(" ", sort(split(/\s+/, $1))).' }'>e;

          +	return $line;

          +}

          +

          +# EOF

          +```

          +

          +# ブーリアン値設定

          +- 現在の設定値を確認 (httpの場合)

          +```

          +# getsebool -a | grep http

          +```

          +- sshd

          +```

          +# setsebool -P nis_enabled 1

          +```

          +- ftpd

          +  - ユーザホームディレクトリの読み書き許可<br />

          +許可が無いと「500 OOPS: cannot change directory」エラーでログインできない。

          +```

          +# setsebool -P ftp_home_dir 1

          +```

          +  - ユーザホームディレクトリ外の読み書き許可

          +```

          +# setsebool -P allow_ftpd_full_access 1

          +```

          +

          +- httpd

          +  - メール送信を許可

          +```

          +# setsebool -P httpd_can_sendmail 1

          +```

          +  - ネットワークアクセスを許可

          +```

          +# setsebool -P httpd_can_network_connect 1

          +```

          +  - データベースアクセスを許可

          +```

          +# setsebool -P httpd_can_network_connect_db 1

          +```

          +  - ユーザディレクトリへのアクセスを許可

          +```

          +# setsebool -P httpd_read_user_content 1

          +```

          +

          +- named

          +  - 外部ドメインの名前解決に失敗する(検索結果のキャッシュに失敗している) 

          +```

          +# setsebool -P named_write_master_zones 1

          +```

          +

          +- smbd

          +  - ユーザホームディレクトリのアクセスを許可

          +```

          +# setsebool -P samba_enable_home_dirs 1

          +```

          +  - 共有フォルダの読み書きを許可

          +```

          +# setsebool -P samba_export_all_rw 1

          +```

          +

          +# ポート設定

          +- 許可ポート確認 (POPの場合)

          +```

          +# semanage port -l | grep pop_port_t

          +```

          +- 許可ポート追加 (POPの場合)

          +```

          +# semanage port -a -t pop_port_t -p tcp <追加ポート>

          +```

          +

          +# コンテキスト設定

          +- /var/www/html, /var/www/cgi-bin 以外にコンテンツを配置する場合、ディレクトリに適切なタイプを設定する必要がある。

          +- 静的コンテンツ

          +```

          +# chcon -R -t httpd_sys_content_t <ディレクトリ>

          +```

          +- 動的コンテンツ

          +```

          +# chcon -R -t httpd_sys_script_exec_t <ディレクトリ>

          +```

          +- コンテキスト確認

          +```

          +# ls -lZ

          +```

          +

          +# バグ

          +## ps コマンドが /proc/<pid> にアクセスしようとしてブロックされる

          +- ログ例

          +```

          +type=AVC msg=audit(xxx.xxx:xxx): avc: denied { getattr } for pid=xxx comm="ps" path="/proc/<pid>" dev=proc

          + ino=xxx scontext=unconfined_u:system_r:httpd_sys_script_t:s0 tcontext=system_u:system_r:kernel_t:s0 tclass=dir

          +```

          +- sealert 分析結果

          +```

          +ps に、 <pid> directory の getattr アクセスがデフォルトで許可されるべきです。

          +```

          +- [Bug 982205 – SELinux is preventing /usr/bin/ps from 'getattr' accesses on the directory /proc/<pid>.](https://bugzilla.redhat.com/show_bug.cgi?id=982205)

          +

          +# リンク

          +- [HowTos/SELinux - CentOS Wiki](http://wiki.centos.org/HowTos/SELinux)

...	...	@@ -1 +1,273 @@
1		-~~#include(SELinux,notitle)~~
...	...	\ No newline at end of file
	0	+[[_TOC_]]
	1	+
	2	+# 管理ツールのインストール
	3	+- 管理ツールのパッケージ
	4	+```
	5	+# yum install setroubleshoot
	6	+```
	7	+- GUI用追加パッケージ
	8	+```
	9	+# yum install policycoreutils-gui
	10	+```
	11	+
	12	+# 動作モード切替
	13	+- 現在のモードを調べる。
	14	+```
	15	+# getenforce
	16	+```
	17	+- 「Enforcing」モードに変更。
	18	+```
	19	+# setneforce 1
	20	+```
	21	+- 「Permissive」モードに変更。
	22	+```
	23	+# setenforce 0
	24	+```
	25	+- [SELinuxの動作モードをコマンドラインで切り替えるには－＠IT](http://www.atmarkit.co.jp/flinux/rensai/linuxtips/979selinuxenforce.html)
	26	+
	27	+# ログ分析
	28	+- ログ分析
	29	+```
	30	+# sealert -a /var/log/audit/audit.log
	31	+```
	32	+- 一時許可ポリシーの適用
	33	+```
	34	+# grep <分析して出てきたキーワード> /var/log/audit/audit.log \| audit2allow -M mypol
	35	+# semodule -i mypol.pp
	36	+```
	37	+- 複数の項目を許可するポリシーが必要な場合
	38	+ 1. SELinux を Permissive モードに切り替えて該当プログラムを実行し、動かない原因が SELinux であることを確認する。
	39	+```
	40	+# setenforce 0
	41	+```
	42	+ 1. 一時許可ポリシーを削除。
	43	+```
	44	+# semodule -r mypol
	45	+```
	46	+ 1. ログファイル更新。
	47	+```
	48	+# service auditd rotate
	49	+```
	50	+ - 更新に失敗する場合は、auditd の動作確認/再起動を行う。
	51	+```
	52	+# service auditd status
	53	+# service auditd restart
	54	+```
	55	+ 1. 該当プログラムを実行し、ログを記録する。
	56	+ 1. Enforcing モードに戻す。
	57	+```
	58	+# setenforce 1
	59	+```
	60	+ 1. ログからポリシーを作成する。
	61	+ - 許可すべき項目が不明な場合<br />
	62	+「XXX」は自分で決めた名前。
	63	+```
	64	+# cat /var/log/audit/audit.log \| audit2allow -M mypol_XXX
	65	+```
	66	+ - 許可すべき項目が既知の場合<br />
	67	+必要な項目を「\\|」で繋げて検索する。
	68	+```
	69	+# grep "項目1\\|項目2\\|項目3" /var/log/audit/audit.log \| audit2allow -M mypol_XXX
	70	+```
	71	+ 1. ポリシーの確認<br />
	72	+関係ない項目まで許可されていないかどうか確認する。
	73	+```
	74	+# vi mypol_XXX.te
	75	+```
	76	+ - ポリシーの手動コンパイル
	77	+```
	78	+# checkmodule -M -m -o mypol_XXX.mod mypol_XXX.te
	79	+# semodule_package -o mypol_XXX.pp -m mypol_XXX.mod
	80	+```
	81	+ 1. ポリシーをインストール。
	82	+```
	83	+# semodule -i mypol_XXX.pp
	84	+```
	85	+
	86	+# スクリプト
	87	+## コンパイルとインストール
	88	+- [installSELPolicy.zip](installSELPolicy.zip)
	89	+```bash
	90	+#!/bin/bash
	91	+
	92	+if [ $# -lt 1 ]; then
	93	+ echo "usage: $0 <policy.te>"
	94	+ echo "SELinux Policy ファイルをコンパイル&インストールします。"
	95	+ exit 1
	96	+fi
	97	+
	98	+POLICYNAME="$1"
	99	+POLICYNAME=${POLICYNAME##*/}
	100	+POLICYNAME=${POLICYNAME%.*}
	101	+
	102	+checkmodule -M -m -o ${POLICYNAME}.mod ${POLICYNAME}.te
	103	+semodule_package -o ${POLICYNAME}.pp -m ${POLICYNAME}.mod
	104	+rm -f ${POLICYNAME}.mod
	105	+EXIST=`semodule -l \| grep ${POLICYNAME}`
	106	+if [ -n "$EXIST" ]; then
	107	+ semodule -v -r ${POLICYNAME}
	108	+fi
	109	+semodule -v -i ${POLICYNAME}.pp
	110	+```
	111	+
	112	+## ポリシーをソート
	113	+- ポリシーファイルの require 部および { } 内をソートするスクリプト。<br />
	114	+[sort_policy.zip](sort_policy.zip)
	115	+```perl
	116	+#!/usr/bin/perl
	117	+
	118	+use strict;
	119	+use warnings;
	120	+use utf8;
	121	+
	122	+my $fileNameIn = shift or die("usage: sort_policy.pl <infile.te>\n");
	123	+my $fileNameOut = $fileNameIn . '.sorted';
	124	+
	125	+open( my $fhIn, '<', $fileNameIn ) or die( "$fileNameIn: $!\n" );
	126	+open( my $fhOut, '>', $fileNameOut ) or die( "$fileNameOut: $!\n" );
	127	+
	128	+while( my $line = <$fhIn> ){
	129	+ if ( $line =~ /^require\s+\{/ ){
	130	+ last;
	131	+ }
	132	+ print $fhOut $line;
	133	+}
	134	+
	135	+print $fhOut "require {\n";
	136	+
	137	+my @types = ();
	138	+my @classes = ();
	139	+
	140	+while( my $line = <$fhIn> ){
	141	+ if ( $line =~ /^\}/ ){
	142	+ last;
	143	+ }
	144	+ $line = sortInBracket( $line );
	145	+ if ( $line =~ /^\s+type/ ){
	146	+ push( @types, $line );
	147	+ } else {
	148	+ push( @classes, $line );
	149	+ }
	150	+}
	151	+
	152	+print $fhOut sort( @types );
	153	+print $fhOut sort( @classes );
	154	+
	155	+print $fhOut "}\n";
	156	+
	157	+while( my $line = <$fhIn> ){
	158	+ if ( $line =~ /^allow\s/ ){
	159	+ $line = sortInBracket( $line );
	160	+ }
	161	+ print $fhOut $line;
	162	+}
	163	+
	164	+close( $fhIn );
	165	+close( $fhOut );
	166	+
	167	+exit();
	168	+
	169	+sub sortInBracket
	170	+{
	171	+ my $line = shift \|\| '';
	172	+ $line =~ s<\{\s([^\}]+)\s\}><'{ '.join(" ", sort(split(/\s+/, $1))).' }'>e;
	173	+ return $line;
	174	+}
	175	+
	176	+# EOF
	177	+```
	178	+
	179	+# ブーリアン値設定
	180	+- 現在の設定値を確認 (httpの場合)
	181	+```
	182	+# getsebool -a \| grep http
	183	+```
	184	+- sshd
	185	+```
	186	+# setsebool -P nis_enabled 1
	187	+```
	188	+- ftpd
	189	+ - ユーザホームディレクトリの読み書き許可<br />
	190	+許可が無いと「500 OOPS: cannot change directory」エラーでログインできない。
	191	+```
	192	+# setsebool -P ftp_home_dir 1
	193	+```
	194	+ - ユーザホームディレクトリ外の読み書き許可
	195	+```
	196	+# setsebool -P allow_ftpd_full_access 1
	197	+```
	198	+
	199	+- httpd
	200	+ - メール送信を許可
	201	+```
	202	+# setsebool -P httpd_can_sendmail 1
	203	+```
	204	+ - ネットワークアクセスを許可
	205	+```
	206	+# setsebool -P httpd_can_network_connect 1
	207	+```
	208	+ - データベースアクセスを許可
	209	+```
	210	+# setsebool -P httpd_can_network_connect_db 1
	211	+```
	212	+ - ユーザディレクトリへのアクセスを許可
	213	+```
	214	+# setsebool -P httpd_read_user_content 1
	215	+```
	216	+
	217	+- named
	218	+ - 外部ドメインの名前解決に失敗する(検索結果のキャッシュに失敗している)
	219	+```
	220	+# setsebool -P named_write_master_zones 1
	221	+```
	222	+
	223	+- smbd
	224	+ - ユーザホームディレクトリのアクセスを許可
	225	+```
	226	+# setsebool -P samba_enable_home_dirs 1
	227	+```
	228	+ - 共有フォルダの読み書きを許可
	229	+```
	230	+# setsebool -P samba_export_all_rw 1
	231	+```
	232	+
	233	+# ポート設定
	234	+- 許可ポート確認 (POPの場合)
	235	+```
	236	+# semanage port -l \| grep pop_port_t
	237	+```
	238	+- 許可ポート追加 (POPの場合)
	239	+```
	240	+# semanage port -a -t pop_port_t -p tcp <追加ポート>
	241	+```
	242	+
	243	+# コンテキスト設定
	244	+- /var/www/html, /var/www/cgi-bin 以外にコンテンツを配置する場合、ディレクトリに適切なタイプを設定する必要がある。
	245	+- 静的コンテンツ
	246	+```
	247	+# chcon -R -t httpd_sys_content_t <ディレクトリ>
	248	+```
	249	+- 動的コンテンツ
	250	+```
	251	+# chcon -R -t httpd_sys_script_exec_t <ディレクトリ>
	252	+```
	253	+- コンテキスト確認
	254	+```
	255	+# ls -lZ
	256	+```
	257	+
	258	+# バグ
	259	+## ps コマンドが /proc/<pid> にアクセスしようとしてブロックされる
	260	+- ログ例
	261	+```
	262	+type=AVC msg=audit(xxx.xxx:xxx): avc: denied { getattr } for pid=xxx comm="ps" path="/proc/<pid>" dev=proc
	263	+ ino=xxx scontext=unconfined_u:system_r:httpd_sys_script_t:s0 tcontext=system_u:system_r:kernel_t:s0 tclass=dir
	264	+```
	265	+- sealert 分析結果
	266	+```
	267	+ps に、 <pid> directory の getattr アクセスがデフォルトで許可されるべきです。
	268	+```
	269	+- [Bug 982205 – SELinux is preventing /usr/bin/ps from 'getattr' accesses on the directory /proc/<pid>.](https://bugzilla.redhat.com/show_bug.cgi?id=982205)
	270	+
	271	+# リンク
	272	+- [HowTos/SELinux - CentOS Wiki](http://wiki.centos.org/HowTos/SELinux)