¿Cómo configuro SELinux para que actúe como una verdadera solución de lista blanca?

Navega tus respuestas
3

Estoy trabajando en un dispositivo que ejecuta Linux. Me gustaría utilizar el trabajo realizado hasta ahora con la política específica en el espacio de SELinux. Dado que tengo todo lo que debería estar instalado y funcionando en este sistema, sabré exactamente qué aplicaciones se ejecutarán en un momento dado.

No quiero volver a escribir una política de SELinux completa desde cero y en su lugar me gustaría que la política dirigida se moviera a una política "estricta" para habilitar la lista blanca de aplicaciones y el control de procesos.

Luego, simplemente escriba las políticas para mis servicios recién creados que no forman parte de la política específica.

¿Cómo haría eso?

    
pregunta IguyKing 22.03.2017 - 15:23
fuente

1 respuesta

1

Deshabilite o elimine el módulo "no limitado".

En mi opinión, la política de referencia no es óptima para sistemas integrados o dispositivos con requisitos exóticos, como está escrito en el lenguaje del módulo anterior. El lenguaje de este módulo es, a diferencia del nombre, no es tan modular en la práctica.

Terminará con una política mucho más grande que la estrictamente necesaria.

Escribí un modelo de política básico y mínimo que aprovecha el nuevo lenguaje de políticas de SELinux Intermediate. La política mínima se diseñó solo para este propósito: proporcionar una política que se construya sobre y haga las más pequeñas suposiciones posibles.

Esto permite una política más pequeña que se construye más rápido y requiere menos recursos.

DSSP2-minimal es DSSP2-base con un módulo adicional "minimal.cil" para que funcione "solo". Eso significa que el único tipo de proceso se hace sin restricciones. Simplemente excluyendo el módulo "minimal.cil" eliminándolo del archivo make o ejecutando semodule -d minimal le dará una política con la menor cantidad de reglas posible, e incluso las reglas que están allí se pueden eliminar fácilmente.

La política no es perfecta y requiere conocimiento del lenguaje CIL para aprovecharla, pero en mi opinión, podría ser una base de ideas para cualquier proyecto con requisitos exóticos.

enlace

    
respondido por el dac.override 22.03.2017 - 18:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo podemos mostrar a nuestros usuarios finales que un banco nos confía? ¿Hay algún estándar que recomiende la destrucción física de una máquina?