SlideShare uma empresa Scribd logo

Guia SELinux

T
Tiago

Este documento fornece uma introdução ao SELinux, discutindo seu objetivo, plano de ensino e módulos introdutórios. Inclui informações sobre pré-requisitos, instalação e configuração do SELinux, além de abordar contas de usuários e regras de segurança.

Educação
1 de 32
Baixar para ler offline
SELINUX Versão 1.0.0
Sumário I Sobre essa Apostila 3 II Informações Básicas 5 III GNU Free Documentation License 10 IV SELinux 19 1 Visão Geral 20 2 Plano de ensino 21 2.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3 Modulo I - Introdução 24 3.1 Lição 1 - Conceitos Inciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1.1 Vantagens na utilização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4 Modulo 2 - Instalação 26 4.1 Lição 2 - Pré-Requisitos e novas ferramentas . . . . . . . . . . . . . . . . . . . . . . 26 4.1.1 Pré-Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.2 Novas Ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2 Lição 3 - Instalando o SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.1 Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.3 Configurações Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 5 Modulo 3 - Configuração e uso 29 5.1 Lição 4 - Contas de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.1.1 Configurando contas de usuários . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.1.2 Editando domínios de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . 30 1
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 5.1.3 Configurando contextos de segurança . . . . . . . . . . . . . . . . . . . . . . 31 5.2 Lição 5 - Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 5.3 Alterando regras no SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2
Parte I Sobre essa Apostila 3
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Conteúdo O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in- ternet, disponíveis em diversos sites ou originalmente produzido no CDTC (http://www.cdtc.org.br.) O formato original deste material bem como sua atualização está disponível dentro da licença GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seção de mesmo nome, tendo inclusive uma versão traduzida (não oficial). A revisão e alteração vem sendo realizada pelo CDTC (suporte@cdtc.org.br) desde outubro de 2006. Críticas e sugestões construtivas serão bem-vindas a qualquer hora. Autores A autoria deste é de responsabilidade de Frederico Braga (fred@cdtc.org.br) . O texto original faz parte do projeto Centro de Difusão de Tecnologia e Conhecimento que vêm sendo realizado pelo ITI (Instituto Nacional de Tecnologia da Informação) em conjunto com outros parceiros institucionais, e com as universidades federais brasileiras que tem produzido e utilizado Software Livre apoiando inclusive a comunidade Free Software junto a outras entidades no país. Informações adicionais podem ser obtidas através do email ouvidoria@cdtc.org.br, ou da home page da entidade, através da URL http://www.cdtc.org.br. Garantias O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi- lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizam direta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido. Licença Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br) . Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS- TILA. A copy of the license is included in the section entitled GNU Free Documentation License. 4
Parte II Informações Básicas 5
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Sobre o CDTC Objetivo Geral O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina- ção de soluções que utilizem padrões abertos e não proprietários de tecnologia, em proveito do desenvolvimento social, cultural, político, tecnológico e econômico da sociedade brasileira. Objetivo Específico Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário e de código fonte aberto, identificando e mobilizando grupos de formadores de opinião dentre os servidores públicos e agentes políticos da União Federal, estimulando e incentivando o mercado nacional a adotar novos modelos de negócio da tecnologia da informação e de novos negócios de comunicação com base em software não-proprietário e de código fonte aberto, oferecendo treinamento específico para técnicos, profissionais de suporte e funcionários públicos usuários, criando grupos de funcionários públicos que irão treinar outros funcionários públicos e atuar como incentivadores e defensores dos produtos de software não proprietários e código fonte aberto, ofe- recendo conteúdo técnico on-line para serviços de suporte, ferramentas para desenvolvimento de produtos de software não proprietários e do seu código fonte livre, articulando redes de terceiros (dentro e fora do governo) fornecedoras de educação, pesquisa, desenvolvimento e teste de pro- dutos de software livre. Guia do aluno Neste guia, você terá reunidas uma série de informações importantes para que você comece seu curso. São elas: • Licenças para cópia de material disponível; • Os 10 mandamentos do aluno de Educação a Distância; • Como participar dos foruns e da wikipédia; • Primeiros passos. É muito importante que você entre em contato com TODAS estas informações, seguindo o roteiro acima. Licença Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br). 6
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior públicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSA APOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu- mentação Livre GNU". Os 10 mandamentos do aluno de educação online • 1. Acesso à Internet: ter endereço eletrônico, um provedor e um equipamento adequado é pré-requisito para a participação nos cursos a distância; • 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá- tica é necessário para poder executar as tarefas; • 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân- cia conta muitos pontos, pois irá colaborar para o processo ensino-aprendizagem pessoal, dos colegas e dos professores; • 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seus colegas de turma respeitando-os e se fazendo ser respeitado pelos mesmos; • 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisão e a sua recuperação de materiais; • 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações e realizá-las em tempo real; • 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre; • 8. Flexibilidade e adaptação: requisitos necessário à mudança tecnológica, aprendizagens e descobertas; • 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente é ponto - chave na comunicação pela Internet; • 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual não controla a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração. Como participar dos fóruns e Wikipédia Você tem um problema e precisa de ajuda? Podemos te ajudar de 2 formas: A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso: . O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informações que sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas a 7
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF todos participantes. Assim, se o monitor ou algum outro participante tiver uma informação que interesse ao grupo, favor postá-la aqui. Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico do curso. É recomendado que você faça uso do Fórum de dúvidas gerais que lhe dá recursos mais efetivos para esta prática. . O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativo para solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadas a todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podem ajudar. Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com a formalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópico é recomendável ver se a sua pergunta já foi feita por outro participante. A segunda forma se dá pelas Wikis: . Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par- ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podem ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um ótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé- dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, por pessoas de todas as partes do mundo. Acesse-a em português pelos links: • Página principal da Wiki - http://pt.wikipedia.org/wiki/ Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo! Primeiros Passos Para uma melhor aprendizagem é recomendável que você siga os seguintes passos: • Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar; • Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar das ferramentas básicas do mesmo; • Entrar nas lições seguindo a seqüência descrita no Plano de Ensino; • Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais. Perfil do Tutor Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores. O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivos valores e atitudes, incentiva mas é honesto, imparcial, amável, positivo, respeitador, aceita as idéias dos estudantes, é paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar. 8
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e, para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutor ou instrutor: • fornece explicações claras acerca do que ele espera e do estilo de classificação que irá utilizar; • gosta que lhe façam perguntas adicionais; • identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por- que motivo a classificação foi ou não foi atribuída’; • tece comentários completos e construtivos, mas de forma agradável (em contraste com um reparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, de ameaça e de nervossismo’) • dá uma ajuda complementar para encorajar um estudante em dificuldade; • esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente; • ajuda o estudante a alcançar os seus objetivos; • é flexível quando necessário; • mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso, talvez numa fase menos interessante para o tutor); • escreve todas as correções de forma legível e com um nível de pormenorização adequado; • acima de tudo, devolve os trabalhos rapidamente; 9
Parte III GNU Free Documentation License 10
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF (Traduzido pelo João S. O. Bueno através do CIPSGA em 2001) Esta é uma tradução não oficial da Licença de Documentação Livre GNU em Português Brasi- leiro. Ela não é publicada pela Free Software Foundation, e não se aplica legalmente a distribuição de textos que usem a GFDL - apenas o texto original em Inglês da GNU FDL faz isso. Entretanto, nós esperamos que esta tradução ajude falantes de português a entenderem melhor a GFDL. This is an unofficial translation of the GNU General Documentation License into Brazilian Por- tuguese. It was not published by the Free Software Foundation, and does not legally state the distribution terms for software that uses the GFDL–only the original English text of the GFDL does that. However, we hope that this translation will help Portuguese speakers understand the GFDL better. Licença de Documentação Livre GNU Versão 1.1, Março de 2000 Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA É permitido a qualquer um copiar e distribuir cópias exatas deste documento de licença, mas não é permitido alterá-lo. INTRODUÇÃO O propósito desta Licença é deixar um manual, livro-texto ou outro documento escrito "livre"no sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copiá-lo ou redistribui-lo, com ou sem modificações, comercialmente ou não. Secundariamente, esta Licença mantém para o autor e editor uma forma de ter crédito por seu trabalho, sem ser considerado responsável pelas modificações feitas por terceiros. Esta Licença é um tipo de "copyleft"("direitos revertidos"), o que significa que derivações do documento precisam ser livres no mesmo sentido. Ela complementa a GNU Licença Pública Ge- ral (GNU GPL), que é um copyleft para software livre. Nós fizemos esta Licença para que seja usada em manuais de software livre, por que software livre precisa de documentação livre: um programa livre deve ser acompanhado de manuais que provenham as mesmas liberdades que o software possui. Mas esta Licença não está restrita a manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente do assunto ou se ele é publicado como um livro impresso. Nós recomendamos esta Licença prin- cipalmente para trabalhos cujo propósito seja de introdução ou referência. APLICABILIDADE E DEFINIÇÕES Esta Licença se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo detentor dos direitos autorais dizendo que ele pode ser distribuído sob os termos desta Licença. O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do público é um 11
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF licenciado e é referida como "você". Uma "Versão Modificada"do Documento se refere a qualquer trabalho contendo o documento ou uma parte dele, quer copiada exatamente, quer com modificações e/ou traduzida em outra língua. Uma "Seção Secundária"é um apêndice ou uma seção inicial do Documento que trata ex- clusivamente da relação dos editores ou dos autores do Documento com o assunto geral do Documento (ou assuntos relacionados) e não contém nada que poderia ser incluído diretamente nesse assunto geral (Por exemplo, se o Documento é em parte um livro texto de matemática, a Seção Secundária pode não explicar nada de matemática). Essa relação poderia ser uma questão de ligação histórica com o assunto, ou matérias relaci- onadas, ou de posições legais, comerciais, filosóficas, éticas ou políticas relacionadas ao mesmo. As "Seções Invariantes"são certas Seções Secundárias cujos títulos são designados, como sendo de Seções Invariantes, na nota que diz que o Documento é publicado sob esta Licença. Os "Textos de Capa"são certos trechos curtos de texto que são listados, como Textos de Capa Frontal ou Textos da Quarta Capa, na nota que diz que o texto é publicado sob esta Licença. Uma cópia "Transparente"do Documento significa uma cópia que pode ser lida automatica- mente, representada num formato cuja especificação esteja disponível ao público geral, cujos conteúdos possam ser vistos e editados diretamente e sem mecanismos especiais com editores de texto genéricos ou (para imagens compostas de pixels) programas de pintura genéricos ou (para desenhos) por algum editor de desenhos grandemente difundido, e que seja passível de servir como entrada a formatadores de texto ou para tradução automática para uma variedade de formatos que sirvam de entrada para formatadores de texto. Uma cópia feita em um formato de arquivo outrossim Transparente cuja constituição tenha sido projetada para atrapalhar ou de- sencorajar modificações subsequentes pelos leitores não é Transparente. Uma cópia que não é "Transparente"é chamada de "Opaca". Exemplos de formatos que podem ser usados para cópias Transparentes incluem ASCII sim- ples sem marcações, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML usando uma DTD disponibilizada publicamente, e HTML simples, compatível com os padrões, e projetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatos proprietários que podem ser lidos e editados apenas com processadores de texto proprietários, SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edição não estejam disponíveis para o público, e HTML gerado automaticamente por alguns editores de texto com finalidade apenas de saída. A "Página do Título"significa, para um livro impresso, a página do título propriamente dita, mais quaisquer páginas subsequentes quantas forem necessárias para conter, de forma legível, o material que esta Licença requer que apareça na página do título. Para trabalhos que não tenham uma página do título, "Página do Título"significa o texto próximo da aparição mais proe- minente do título do trabalho, precedendo o início do corpo do texto. 12
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF FAZENDO CÓPIAS EXATAS Você pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou não comercial, desde que esta Licença, as notas de copyright, e a nota de licença dizendo que esta Licença se aplica ao documento estejam reproduzidas em todas as cópias, e que você não acres- cente nenhuma outra condição, quaisquer que sejam, às desta Licença. Você não pode usar medidas técnicas para obstruir ou controlar a leitura ou confecção de cópias subsequentes das cópias que você fizer ou distribuir. Entretanto, você pode aceitar com- pensação em troca de cópias. Se você distribuir uma quantidade grande o suficiente de cópias, você também precisa respeitar as condições da seção 3. Você também pode emprestar cópias, sob as mesmas condições colocadas acima, e também pode exibir cópias publicamente. FAZENDO CÓPIAS EM QUANTIDADE Se você publicar cópias do Documento em número maior que 100, e a nota de licença do Documento obrigar Textos de Capa, você precisará incluir as cópias em capas que tragam, clara e legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, e Textos da Quarta Capa na capa de trás. Ambas as capas também precisam identificar clara e legivelmente você como o editor dessas cópias. A capa da frente precisa apresentar o título com- pleto com todas as palavras do título igualmente proeminentes e visíveis. Você pode adicionar outros materiais às capas. Fazer cópias com modificações limitadas às capas, tanto quanto estas preservem o título do documento e satisfaçam a essas condições, pode ser tratado como cópia exata em outros aspectos. Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma legível, você deve colocar os primeiros (tantos quantos couberem de forma razoável) na capa verdadeira, e continuar os outros nas páginas adjacentes. Se você publicar ou distribuir cópias Opacas do Documento em número maior que 100, você precisa ou incluir uma cópia Transparente que possa ser lida automaticamente com cada cópia Opaca, ou informar, em ou com, cada cópia Opaca a localização de uma cópia Transparente completa do Documento acessível publicamente em uma rede de computadores, à qual o público usuário de redes tenha acesso a download gratuito e anônimo utilizando padrões públicos de protocolos de rede. Se você utilizar o segundo método, você precisará tomar cuidados razoavel- mente prudentes, quando iniciar a distribuição de cópias Opacas em quantidade, para assegurar que esta cópia Transparente vai permanecer acessível desta forma na localização especificada por pelo menos um ano depois da última vez em que você distribuir uma cópia Opaca (direta- mente ou através de seus agentes ou distribuidores) daquela edição para o público. É pedido, mas não é obrigatório, que você contate os autores do Documento bem antes de redistribuir qualquer grande número de cópias, para lhes dar uma oportunidade de prover você com uma versão atualizada do Documento. 13
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF MODIFICAÇÕES Você pode copiar e distribuir uma Versão Modificada do Documento sob as condições das se- ções 2 e 3 acima, desde que você publique a Versão Modificada estritamente sob esta Licença, com a Versão Modificada tomando o papel do Documento, de forma a licenciar a distribuição e modificação da Versão Modificada para quem quer que possua uma cópia da mesma. Além disso, você precisa fazer o seguinte na versão modificada: A. Usar na Página de Título (e nas capas, se houver alguma) um título distinto daquele do Do- cumento, e daqueles de versões anteriores (que deveriam, se houvesse algum, estarem listados na seção "Histórico do Documento"). Você pode usar o mesmo título de uma versão anterior se o editor original daquela versão lhe der permissão; B. Listar na Página de Título, como autores, uma ou mais das pessoas ou entidades responsá- veis pela autoria das modificações na Versão Modificada, conjuntamente com pelo menos cinco dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que cinco); C. Colocar na Página de Título o nome do editor da Versão Modificada, como o editor; D. Preservar todas as notas de copyright do Documento; E. Adicionar uma nota de copyright apropriada para suas próprias modificações adjacente às outras notas de copyright; F. Incluir, imediatamente depois das notas de copyright, uma nota de licença dando ao público o direito de usar a Versão Modificada sob os termos desta Licença, na forma mostrada no tópico abaixo; G. Preservar nessa nota de licença as listas completas das Seções Invariantes e os Textos de Capa requeridos dados na nota de licença do Documento; H. Incluir uma cópia inalterada desta Licença; I. Preservar a seção entitulada "Histórico", e seu título, e adicionar à mesma um item dizendo pelo menos o título, ano, novos autores e editor da Versão Modificada como dados na Página de Título. Se não houver uma sessão denominada "Histórico"no Documento, criar uma dizendo o título, ano, autores, e editor do Documento como dados em sua Página de Título, então adicionar um item descrevendo a Versão Modificada, tal como descrito na sentença anterior; J. Preservar o endereço de rede, se algum, dado no Documento para acesso público a uma cópia Transparente do Documento, e da mesma forma, as localizações de rede dadas no Docu- mento para as versões anteriores em que ele foi baseado. Elas podem ser colocadas na seção "Histórico". Você pode omitir uma localização na rede para um trabalho que tenha sido publicado pelo menos quatro anos antes do Documento, ou se o editor original da versão a que ela se refira der sua permissão; K. Em qualquer seção entitulada "Agradecimentos"ou "Dedicatórias", preservar o título da 14
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF seção e preservar a seção em toda substância e fim de cada um dos agradecimentos de contri- buidores e/ou dedicatórias dados; L. Preservar todas as Seções Invariantes do Documento, inalteradas em seus textos ou em seus títulos. Números de seção ou equivalentes não são considerados parte dos títulos da seção; M. Apagar qualquer seção entitulada "Endossos". Tal sessão não pode ser incluída na Versão Modificada; N. Não reentitular qualquer seção existente com o título "Endossos"ou com qualquer outro título dado a uma Seção Invariante. Se a Versão Modificada incluir novas seções iniciais ou apêndices que se qualifiquem como Seções Secundárias e não contenham nenhum material copiado do Documento, você pode optar por designar alguma ou todas aquelas seções como invariantes. Para fazer isso, adicione seus títulos à lista de Seções Invariantes na nota de licença da Versão Modificada. Esses títulos preci- sam ser diferentes de qualquer outro título de seção. Você pode adicionar uma seção entitulada "Endossos", desde que ela não contenha qual- quer coisa além de endossos da sua Versão Modificada por várias pessoas ou entidades - por exemplo, declarações de revisores ou de que o texto foi aprovado por uma organização como a definição oficial de um padrão. Você pode adicionar uma passagem de até cinco palavras como um Texto de Capa da Frente , e uma passagem de até 25 palavras como um Texto de Quarta Capa, ao final da lista de Textos de Capa na Versão Modificada. Somente uma passagem de Texto da Capa da Frente e uma de Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade. Se o Documento já incluir um texto de capa para a mesma capa, adicionado previamente por você ou por acordo feito com alguma entidade para a qual você esteja agindo, você não pode adicionar um outro; mas você pode trocar o antigo, com permissão explícita do editor anterior que adicionou a passagem antiga. O(s) autor(es) e editor(es) do Documento não dão permissão por esta Licença para que seus nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer Versão Modificada. COMBINANDO DOCUMENTOS Você pode combinar o Documento com outros documentos publicados sob esta Licença, sob os termos definidos na seção 4 acima para versões modificadas, desde que você inclua na com- binação todas as Seções Invariantes de todos os documentos originais, sem modificações, e liste todas elas como Seções Invariantes de seu trabalho combinado em sua nota de licença. O trabalho combinado precisa conter apenas uma cópia desta Licença, e Seções Invariantes Idênticas com multiplas ocorrências podem ser substituídas por apenas uma cópia. Se houver múltiplas Seções Invariantes com o mesmo nome mas com conteúdos distintos, faça o título de 15
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF cada seção único adicionando ao final do mesmo, em parênteses, o nome do autor ou editor origianl daquela seção, se for conhecido, ou um número que seja único. Faça o mesmo ajuste nos títulos de seção na lista de Seções Invariantes nota de licença do trabalho combinado. Na combinação, você precisa combinar quaisquer seções entituladas "Histórico"dos diver- sos documentos originais, formando uma seção entitulada "Histórico"; da mesma forma combine quaisquer seções entituladas "Agradecimentos", ou "Dedicatórias". Você precisa apagar todas as seções entituladas como "Endosso". COLETÂNEAS DE DOCUMENTOS Você pode fazer uma coletânea consitindo do Documento e outros documentos publicados sob esta Licença, e substituir as cópias individuais desta Licença nos vários documentos com uma única cópia incluida na coletânea, desde que você siga as regras desta Licença para cópia exata de cada um dos Documentos em todos os outros aspectos. Você pode extrair um único documento de tal coletânea, e distribuí-lo individualmente sob esta Licença, desde que você insira uma cópia desta Licença no documento extraído, e siga esta Licença em todos os outros aspectos relacionados à cópia exata daquele documento. AGREGAÇÃO COM TRABALHOS INDEPENDENTES Uma compilação do Documento ou derivados dele com outros trabalhos ou documentos se- parados e independentes, em um volume ou mídia de distribuição, não conta como uma Ver- são Modificada do Documento, desde que nenhum copyright de compilação seja reclamado pela compilação. Tal compilação é chamada um "agregado", e esta Licença não se aplica aos outros trabalhos auto-contidos compilados junto com o Documento, só por conta de terem sido assim compilados, e eles não são trabalhos derivados do Documento. Se o requerido para o Texto de Capa na seção 3 for aplicável a essas cópias do Documento, então, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado. Senão eles precisarão aparecer nas capas de todo o agregado. TRADUÇÃO Tradução é considerada como um tipo de modificação, então você pode distribuir traduções do Documento sob os termos da seção 4. A substituição de Seções Invariantes por traduções requer uma permissão especial dos detentores do copyright das mesmas, mas você pode incluir traduções de algumas ou de todas as Seções Invariantes em adição às versões orignais dessas Seções Invariantes. Você pode incluir uma tradução desta Licença desde que você também in- clua a versão original em Inglês desta Licença. No caso de discordância entre a tradução e a 16
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF versão original em Inglês desta Licença, a versão original em Inglês prevalecerá. TÉRMINO Você não pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expres- samente especificado sob esta Licença. Qualquer outra tentativa de copiar, modificar, sublicen- ciar, ou distribuir o Documento é nula, e resultará automaticamente no término de seus direitos sob esta Licença. Entretanto, terceiros que tenham recebido cópias, ou direitos de você sob esta Licença não terão suas licenças terminadas, tanto quanto esses terceiros permaneçam em total acordo com esta Licença. REVISÕES FUTURAS DESTA LICENÇA A Free Software Foundation pode publicar novas versões revisadas da Licença de Documen- tação Livre GNU de tempos em tempos. Tais novas versões serão similares em espirito à versão presente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupações. Veja http://www.gnu.org/copyleft/. A cada versão da Licença é dado um número de versão distinto. Se o Documento especificar que uma versão particular desta Licença "ou qualquer versão posterior"se aplica ao mesmo, você tem a opção de seguir os termos e condições daquela versão específica, ou de qualquer versão posterior que tenha sido publicada (não como rascunho) pela Free Software Foundation. Se o Documento não especificar um número de Versão desta Licença, você pode escolher qualquer versão já publicada (não como rascunho) pela Free Software Foundation. ADENDO: Como usar esta Licença para seus documentos Para usar esta Licença num documento que você escreveu, inclua uma cópia desta Licença no documento e ponha as seguintes notas de copyright e licenças logo após a página de título: Copyright (c) ANO SEU NOME. É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior publicada pela Free Soft- ware Foundation; com as Seções Invariantes sendo LISTE SEUS TÍTULOS, com os Textos da Capa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cópia da li- cença está inclusa na seção entitulada "Licença de Documentação Livre GNU". Se você não tiver nenhuma Seção Invariante, escreva "sem Seções Invariantes"ao invés de dizer quais são invariantes. Se você não tiver Textos de Capa da Frente, escreva "sem Textos de Capa da Frente"ao invés de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os Textos da Quarta Capa. Se o seu documento contiver exemplos não triviais de código de programas, nós recomenda- mos a publicação desses exemplos em paralelo sob a sua escolha de licença de software livre, 17
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF tal como a GNU General Public License, para permitir o seu uso em software livre. 18
Parte IV SELinux 19
Capítulo 1 Visão Geral A estrutura SELinux (Security Enhanced Linux) é uma camada de segurança extra para servi- dores, e limita as ações dos usuários e programas pela imposição de políticas de segurança por todo o sistema operacional. As restrições impostas por suas políticas fornecem segurança extra contra acesso não autorizado. O SELinux, que toma como base o princípio do mínimo privilégio ao extremo e restringe até o usuário root, foi uma criação da NSA (Agência de Segurança Nacio- nal norte-americana). O curso, com base na distribuição Debian possui uma semana, começando na Segunda-Feira e terminando no Domingo. Todo o conteúdo do curso estará visível somente a partir da data de início. Para começar o curso você deve ler o Guia do aluno a seguir. 20
Capítulo 2 Plano de ensino 2.1 Objetivo Capacitar o usuário para o uso autônomo do SELinux e suas ferramentas mais utilizadas. 2.2 Público Alvo Usuários finais ou novatos que desejam migrar os seus sistemas proprietários para software livre, em especial, o SELinux. 2.3 Pré-requisitos Os usuários deverão ser, necessariamente, funcionários públicos e ter conhecimentos básicos para operar um computador. 2.4 Descrição O curso será realizado na modalidade Educação a Distância e utilizará a Plataforma Moodle como ferramenta de aprendizagem. O curso tem duração de uma semana e possui um conjunto de atividades (lições, fóruns, glossários, questionários e outros) que deverão ser executadas de acordo com as instruções fornecidas. O material didático estará disponível on-line de acordo com as datas pré-estabelecidas em cada tópico. 2.5 Metodologia O curso está dividido da seguinte maneira: 2.6 Cronograma • Descrição das atividades • Semana 1 21
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF • Lição 1 - Conceitos Iniciais; • Lição 2 - Pré-requisitos e novas ferramentas; • Lição 3 - Instalando o SELinux; • Lição 4 - Contas de usuários; • Lição 5 - Regras; • Avaliação de aprendizagem; • Avaliação do curso. Como mostrado na tabela acima, a cada semana será disponibilizado um conjunto de módulos. É recomendável que o participante siga as datas estabelecidas. // As lições, disponíveis em cada módulo, contêm o conteúdo principal. Elas poderão ser acessadas quantas vezes forem neces- sárias, desde que esteja dentro da semana programada. Ao final de uma lição, você receberá uma nota de acordo com o seu desempenho. Caso sua nota numa determinada lição seja menor do que 6.0, sugerimos que você faça novamente esta lição. // Ao final do curso serão dispo- nibilizadas as avaliações referentes aos módulos estudados anteriormente. Somente a nota da avaliação será considerada para a nota final. Todos os módulos ficarão visíveis para que possam ser consultados durante a avaliação final. // Para conhecer as demais atividades de cada módulo leia o tópico seguinte: "Ambientação do Moodle". // Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deve ser enviada ao fórum correspondente. Diariamente os monitores darão respostas e esclarecimentos. 2.7 Programa O curso oferecerá o seguinte conteúdo: • Instalação e configuração do SELinux. 2.8 Avaliação Toda a avaliação será feita on-line. Aspectos a serem considerados na avaliação: • iniciativa e autonomia no processo de aprendizagem e de produção de conhecimento; • capacidade de pesquisa e abordagem criativa na solução dos problemas apresentados. Instrumentos de avaliação: • participação ativa nas atividades programadas; • avaliação ao final do curso; • o participante fará várias avaliações referentes ao conteúdo do curso. Para a aprovação e obtenção do certificado o participante deverá obter nota final maior ou igual a 6.0 de acordo com a fórmula abaixo: • Nota Final = ((ML x 7) + (AF x 3)) / 10 = Média aritmética das lições. • AF = Avaliações. 22
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 2.9 Bibliografia • Página oficial do SELinux http://www.nsa.gov/selinux/ 23
Capítulo 3 Modulo I - Introdução Programas que provêem acessibilidade em informática são um conjunto de ferramentas que permitem que portadores das mais diversas necessidades especiais possam utilizar todos os recursos que o computador oferece. Este módulo abordará uma breve introdução aos conceitos envolvidos no SELinux. 3.1 Lição 1 - Conceitos Inciais O SELinux ("Security-Enhanced Linux") foi desenvolvido pela Agência Nacional de Segurança dos EUA, a NSA (National Security Agency), e toma como base o princípio do mínimo privilégio ao extremo, restringindo até o usuário root. SELinux foi implementado usando uma flexível e refinada arquitetura MAC ("Mandatory Access Control"). Desta forma, ele provê uma política de segurança sobre todos os processos e objetos do sistema. Suas decisões são baseadas em labels, e contém uma variedade de informações relevantes à segurança. A lógica da política de tomada de decisões é encapsulada dentro de um simples componente conhecido como servidor de segurança ("security server") com uma inter- face geral de segurança. Ele foi integrado ao Kernel do Linux usando o "framework"LSM ("Linux Security Modules"). Inicialmente sua implementação utilizou os identificadores (IDs ou PSIDs) armazenados nos ino- des livres do sistema de arquivos ext2. Tal representação numérica era mapeada pelo SELinux como um label do contexto de segurança. Porém, isso necessitaria de uma modificação em cada sistema de arquivo para suportar os PSIDs, o que não é uma solução escalável. Assim, a próxima etapa da evolução do SELinux foi um módulo carregável no Kernel 2.4 que armazenava os PSIDs num arquivo normal fazendo com que suportasse mais sistemas de arqui- vos. Entretanto, essa solução não possibilitava a ideal perfomance do sistema. Então o código do SELinux finalmente foi integrado ao kernel 2.6.x com total suporte por LSM e contendo atributos (xattrs) no sistema de arquivos ext3. E o SELinux foi alterado para usar xat- trs como forma de armazenamento da informação do contexto de segurança. Atualmente, vem sendo realizado um extenso trabalho com o objetivo de deixar o kernel pronto para o SELinux bem como seu subseqüente desenvolvimento em esforços conjuntos da NSA, Red Hat, IBM e a comunidade de desenvolvedores do SELinux. 24
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 3.1.1 Vantagens na utilização O MAC mostra-se bem superior ao tradicional DAC ("Discretionary Access Control"), pois este possui diversas limitações. Caso utilize somente o DAC, o dono de um arquivo/objeto provê um potencial risco de corrompê- lo. Um usuário pode expor arquivos ou diretórios à brechas de segurança utilizando incorreta- mente o comando chmod e uma não esperada propagação dos direitos de acesso. Um processo inicializado pelo usuário como um script CGI pode fazer tudo que quiser com quaisquer arquivos possuídos por este usuário. Por exemplo um Servidor HTTP pode realizar qualquer operação sobre arquivos que estão no grupo web ou softwares maliciosos podem conquistar nível root de acesso rodando como processo de root ou utilizando setuid ou setgid. O DAC prevê apenas duas grandes categorias de usuários: Administradores e Não-administradores. Para alguns serviços e programas rodarem com nível elevado de privilégio as escolhas são poucas e tipicamente resolvidas dando completo acesso de administrador. O MAC permite que sejam definidas permissões de como os processos irão interagir com outras partes do sistema como arquivos, devices, sockets, portas e outros processos (todos chamados de objetos para o SELinux). Isso é feito através de uma política de segurança definida administrativamente sobre todos os processos e objetos. Estes processos e objetos são controlados pelo Kernel e a decisão de se- gurança é tomada com todas as informações disponíveis ao invés de utilizar somente a identidade do usuário. Com este modelo os processos podem garantir apenas permissões necessárias pela funcionalidade seguindo um princípio de poucos privilégios. Sobre MAC, por exemplo, usuários que expõem seus dados utilizando chmod estão protegidos pelo fato de seus dados terem um tipo único associado com seu diretório "home"e outros proces- sos não podem tocar nestes dados sem devida permissão dentro da política. 25
Capítulo 4 Modulo 2 - Instalação Esta seção abordará como instalar o SELinux de forma simples e eficiente, bem como alguns pré-requisitos e conhecimentos necessários à sua instalação. 4.1 Lição 2 - Pré-Requisitos e novas ferramentas 4.1.1 Pré-Requisitos É muito importante ter habilidade de aprender termos técnicos e colocá-los em prática. Tam- bém é importante que já tenha uma idéia do que pretende fazer, como administrar configurações de serviços básicos, satisfazer o usuário /home/servidor via Apache HTTP, manipular o policia- mento da aplicação web PHP, ou realizar um policiamento que permita que certa aplicação seja protegida pelo SELinux. Para isso, é necessário ter: • elevado conhecimento em Linux; • se pretender administrar serviços, manipular ou analisar policiamento, conhecimento em nível de administrador e a experiência necessária; • conhecimento em segurança no sistema Linux/UNIX; • conhecimento sobre como o sistema Linux/UNIX opera em baixo-nível, tal como são reali- zadas as chamadas ao Kernel para operações (entrada, saída, ler, escrever, etc.); • conhecimento de programação e da teoria do sistema que é usado no policiamento; • familiaridade com a linguagem M4, o que ajudaria a entender algumas partes do policia- mento SELinux; • privilégios de administrador no sistema; • algum local para examinar e testar o policiamento.Pode ser uma máquina de teste ou de- senvolvimento, ou uma estação de trabalho. 26
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 4.1.2 Novas Ferramentas A versão nova do SELinux possui várias ferramentas novas, dentre elas, citaremos as mais importantes: Sistema de arquivos /selinux O sistema de arquivos /selinux foi incluído. Assim, uma parte do processo de instalação requer a edição de /etc/fstab. Este sistema de arquivos é similar ao /proc, que por sua vez, também é um pseudo sistema de arquivos. O comando ls -l /selinux mostra: total 0 -rw-rw-rw- 1 root root 0 Sep 11 9:16 access -rw-rw-rw- 1 root root 0 Sep 11 9:16 context -rw-rw-rw- 1 root root 0 Sep 11 9:16 create -rw——- 1 root root 0 Sep 11 10:34 enforce -rw——- 1 root root 0 Sep 11 10:34 load -r–r–r– 1 root root 0 Sep 11 10:34 policyvers Executando o comando cat no arquivo enforce, será mostrada 1 para o modo enforcing, ou 0 para o modo permitido. Carregando o policiamento SELinux por meio de init. O responsável por montar o arquivo de sistemas /selinux é o init, depois disso deve ser carregado o policiamento. Não usa-se SIDs e PSIDs Os SIDs (Security Identifiers) eram usados no antigo SELinux na interface com o kernel . E os PSIDs (Persistent SIDs) eram usados no código do kernel para mapear arquivos de contexto para diretórios no disco rígido. No novo SELinux, os atributos extendidos contém o contexto, assim SIDs e PSIDs não são mais necessárias. Opção -Z Esta opção pode ser usada no lugar de –context, depois de um comando como ls ou ps. Comando chcon ao invés de chsid O comando chsid era usado no antigo SELinux para alterar o contexto de um arquivo. O novo SELinux usa o comando chcon para mudar contextos de arquivo. 4.2 Lição 3 - Instalando o SELinux 4.2.1 Instalação Caso utilize uma distribuição que não possua suporte a SELinux, é necessário instalar os se- guintes pacotes: • libselinux1: contém as bibliotecas necessárias para o novo SELinux; • selinux-policy-default: contém arquivos de policiamento para a maioria dos programas usa- dos, como postfix, sendmail, etc; • checkpolicy: contém o compilador do policiamento de segurança; • policycoreutils: contém utilidades, como setfiles, load_policy, newrole etc; • selinux-utils: contém utilitários para algumas aplicações, como para pesquisar o policia- mento; • selinux-doc: contém documentações; 27
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF • libsemanage: contém algumas bibliotecas; • libsepol: contém algumas bibliotecas. Pacotes adicionais a serem instalados no debian • coreutils: contém versões modificadas de comandos, como cp, mv e ls; • procps: contém versões modificadas de comandos, como ps e top; • sysvinit: contém um "pach"para carregar o policiamento; • dpkg: é necessário para rotular os arquivos corretamente, após o pacote ser instalado; • logrotate:contém uma versão modificada do pacote logrotate, o qual preserva a segurança dos contextos dos novos arquivos no SELinux; • cron: é necessário para rodar scripts nos domínios corretos. Para isso, basta usar o comando apt-get install em seu terminal de comandos. E não é necessário realizar o boot na máquina antes de intalá-los, então eles podem ser instalados a qualquer momento. 4.3 Configurações Básicas Editando seu arquivo /etc/fstab e criando o /etc/selinux: Antes de fazer o "reboot"do sistema, primeiramente é necessário editar o arquivo /etc/fstab e criar o diretório /etc/selinux, e configurar as permissões para o modo 500. Então edite seu /etc/fstab, incluindo o seguinte: none /selinux selinuxfs noauto 0 0 Executando o comando make relabel. Se seu Kernel é 2.6.x, com suporte a XATTR, depois de criar o diretório etc/selinux e editar o arquivo /etc/fstab, é necessário executar o comando: make -C /etc/selinux relabel. Este comando dá um novo rótulo para o arquivo de sistemas, com o correto contexto de segu- rança. Porém, se seu Kernel é 2.4.x, este comando não pode ser dado agora. Editando /etc/pam.d/login e etc/pam.d/ssh Antes de fazer o "reboot"do sistema, é necessário editar os arquivos /etc/pam.d/login e /etc/pam.d/ ssh, para que o shell seja iniciado no contexto correto, então adicione "session required pam_selinux. so"em ambos estes arquivos. 28
Capítulo 5 Modulo 3 - Configuração e uso Nesta seção será visto como realizar algumas configurações no SELinux. 5.1 Lição 4 - Contas de usuários 5.1.1 Configurando contas de usuários Criando novas contas de usuários: Verifique se seu domínio de contexto é sysadm_r:sysadm_t role, depois basta usar o comando useradd para adicionar um novo usuário. Para verificar se seu uid é 0, e se está em sysadm_r:sysadm_t role, digite o seguinte comando: id uid=0(root) gid=0(root) groups=0(root) context=faye:sysadm_r:sysadm_t Caso seu uid seja o da sua conta regular, então faça o login como su primeiramente. E siga os comandos abaixo: useradd -c "SE Linux test user-m -d /home/setest -g users -s /bin/bash -u 1005 nome_de_usuário finger nome_de_usuário Login: nome_de_usuário Name: SE Linux test user Directory: /home/nome_de_usuário Shell: /bin/bash Never logged in. No mail. No Plan. passwd nome_de_usuario Enter new UNIX password: senha Retype new UNIX password: senha passwd: password updated successfully Assim o novo usuário "nome_de_usuário"foi criado. Configurando regras para usuários: Como exemplo, para que o usuário tenha acesso a user_r , é necessário configurar o arquivo /etc/selinux/users. Para isso, insira no final de seu arquivo: user usuario roles user_r ; 29
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Assim, o usuário "usuário"é autorizado a ter acesso à user_r role. Então, é necessário atualizar o arquivo /etc/selinux/users, executando o seguinte comando: make -C /etc/selinux load. Ao terminar, aparecerá algo como: Success touch tmp/load make: Leaving directory `/usr/share/selinux/policy/current’ Agora, deve-se configurar um contexto de segurança default, o que será visto na seção seguinte. 5.1.2 Editando domínios de usuários O arquivo de configuração que contém os domínios dos usuários é /etc/selinux/domains/user.te, altere-o, adicionando as seguintes linhas: full_user_role(second) allow system_r second_r allow sysadm_r second_r Também adicione o seguinte comentário: #Ao adicionar novas regras, edite o macro in_user_role em macros/user_macros.te. Para editar o arquivo /etc/selinux/macros/user_macros.te, entre num editor de texto e procure (no final do arquivo) a string in_user_role e adicione: "role second_r types" A linha full_user_role(second) cria o domínio second_t e os diretórios second_home_dir_t e se- cond_home_t O diretório second_tmp_t é criado para arquivos que estão em níveis inferiores a /tmp. O diretório second_tmpfs_t é criado para dividir o espaço de memória criado no contexto tmpfs Os diretórios second_tty_device_t e second_devpts_t são criados para rotular os "tty devices"e os "pseudo tty devices" Agora que já criamos um novo domínio de usuário (second_t), criaremos um novo usuário para usá-lo. Criando um novo usuário (newuser) para o novo domínio criado: Com o próprio comando useradd, crie um novo usuário e o adicione a /etc/selinux/users, que só tenha acesso a regra second_r Execute o comando: make -C /etc/selinux load Para aplicar o policiamento: Deve-se configurar o domínio default para a nova regra, editando o arquivo /etc/security/default_type e adicionando a linha: second_r:second_t Agora é necessário rotular manualmente o arquivo /home/newuser, executando o seguinte co- mando: find /home/newuser | xargs chcon -h system_u:object_r: second_home_t ; chcon -h system_u:object_r:second_ home_dir_t /home/spike Agora que o novo usuário foi criado, tente fazer o login como sendo ele. 30
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 5.1.3 Configurando contextos de segurança Configurando um contexto de segurança default Um contexto de segurança default deve ser associado às sessões de login. Para isso, acesse o arquivo /etc/security/default_context. A linha "system_r:local_login_t user_r:user_t"significa que quando um usuário faz o login local- mente, o programa /bin/login será executado no domínio local_login_t e será associada uma regra de usuário e um domínio de user_r e user_t respectivamente. A linha "system_r:sshd_t user_r:user_t"significa que todos que logarem via ssh serão associados ao usuário user_r:user_t role:domain. 5.2 Lição 5 - Regras 5.3 Alterando regras no SELinux Fornecendo um contexto de usuário no login: Bem, aqui supõe-se que o "reboot"na máquina já tenha sido feito. Ao instalar o pacote selinux- policy-default, os arquivos de policiamento foram instalados de modo a permitir que se realize o login no sistema como usuário default (caso não tenha adicionado novos usuários). Então, fazendo o login como root, o contexto de segurança será: root:user_r:user_t Assim, o id e seu contexto de segurança devem ser similares a: uid=0(root) gid=0(root) groups=0(root) context=root:user_r:user_t Existem duas maneiras para mudar para uma nova regra: 1) Ao fazer o login: Se um usuário está autorizado a entrar no domínio sysadm_t. Então basta que essa pessoa faça o login no terminal. Em "Your default context is faye:user_r:user_t. Do you want to choose a diffe- rent one? "selecione a opção desejada, e clique em enter [1]user:user_r:user_t [2]user:sysadm_r:sysadm_t Enter number of choice: Neste exemplo, o usuário user já tinha acesso a sysadm_r role e a sysadm_t domain. Assim, as opções que serão mostradas são somente aquelas que o usuário tem o acesso permitido. Assim, se o usuário user selecionar a opção 2, terá o contexto de segurança: context=faye:sysadm_r:sysadm_t, que significa que está na regra sysadm_r. 2) Com o comando newrole -r A sintaxe deste comando é: newrole -r regra Substitui-se "regra"pela nova regra desejada. Então será preciso entrar com a senha do usuário, que poderá ser verificada com o comando id. Porém, caso não seja possível que você altere a regra, será retornado algo como: user:sysadm_r:sysadm_t is not a valid context Esta mensagem significa que o usuário "user"não pode ter este contexto, porque não está auto- rizado. Após mudar regras, execute o comando id para verificar seu contexto de segurança. 31

Recomendados

Servidor de emails_seguro
Servidor de emails_seguroServidor de emails_seguro
Servidor de emails_seguroTiago
 
Xdmcp
XdmcpXdmcp
XdmcpTiago
 
Screen
ScreenScreen
ScreenTiago
 
Tcl tk
Tcl tkTcl tk
Tcl tkTiago
 
X dialog
X dialogX dialog
X dialogTiago
 
Wx python
Wx pythonWx python
Wx pythonTiago
 
Squid guard
Squid guardSquid guard
Squid guardTiago
 
Samba
SambaSamba
SambaTiago
 

Recomendados

Servidor de emails_seguro
Servidor de emails_seguroServidor de emails_seguro
Servidor de emails_seguroTiago
 
Xdmcp
XdmcpXdmcp
XdmcpTiago
 
Screen
ScreenScreen
ScreenTiago
 
Tcl tk
Tcl tkTcl tk
Tcl tkTiago
 
X dialog
X dialogX dialog
X dialogTiago
 
Wx python
Wx pythonWx python
Wx pythonTiago
 
Squid guard
Squid guardSquid guard
Squid guardTiago
 
Samba
SambaSamba
SambaTiago
 
Uml
UmlUml
UmlTiago
 
Tunelamento
TunelamentoTunelamento
TunelamentoTiago
 
Sql
SqlSql
SqlHudson Augusto
 
Jspservlets
JspservletsJspservlets
JspservletsHudson Augusto
 
Jdbc
JdbcJdbc
JdbcTiago
 
Zope
ZopeZope
ZopeHudson Augusto
 
Apostila cdtc dotproject
Apostila cdtc dotprojectApostila cdtc dotproject
Apostila cdtc dotprojectTiago
 
J2me
J2meJ2me
J2meHudson Augusto
 
Java Basico
Java BasicoJava Basico
Java BasicoHudson Augusto
 
Java applet
Java appletJava applet
Java appletTiago
 
Java swing
Java swingJava swing
Java swingTiago
 
Qemu
QemuQemu
QemuTiago
 
Java awt
Java awtJava awt
Java awtTiago
 
Vim
VimVim
VimTiago
 
De javaparapython
De javaparapythonDe javaparapython
De javaparapythonTiago
 
Ruby on rails
Ruby on railsRuby on rails
Ruby on railsTiago
 
Squid
SquidSquid
SquidTiago
 
Quanta
QuantaQuanta
QuantaTiago
 
Python gtk
Python gtkPython gtk
Python gtkTiago
 
Inkscape
InkscapeInkscape
InkscapeHudson Augusto
 
J2me
J2meJ2me
J2meTiago
 
Nvu
NvuNvu
NvuTiago
 

Mais conteúdo relacionado

Mais procurados

Tunelamento
TunelamentoTunelamento
TunelamentoTiago
 
Apostila cdtc dotproject
Apostila cdtc dotprojectApostila cdtc dotproject
Apostila cdtc dotprojectTiago
 
Java applet
Java appletJava applet
Java appletTiago
 
Java swing
Java swingJava swing
Java swingTiago
 
Java awt
Java awtJava awt
Java awtTiago
 
De javaparapython
De javaparapythonDe javaparapython
De javaparapythonTiago
 
Ruby on rails
Ruby on railsRuby on rails
Ruby on railsTiago
 
Quanta
QuantaQuanta
QuantaTiago
 
Python gtk
Python gtkPython gtk
Python gtkTiago
 

Mais procurados (20)

Uml
UmlUml
Uml
 
Tunelamento
TunelamentoTunelamento
Tunelamento
 
Sql
SqlSql
Sql
 
Jspservlets
JspservletsJspservlets
Jspservlets
 
Jdbc
JdbcJdbc
Jdbc
 
Zope
ZopeZope
Zope
 
Apostila cdtc dotproject
Apostila cdtc dotprojectApostila cdtc dotproject
Apostila cdtc dotproject
 
J2me
J2meJ2me
J2me
 
Java Basico
Java BasicoJava Basico
Java Basico
 
Java applet
Java appletJava applet
Java applet
 
Java swing
Java swingJava swing
Java swing
 
Qemu
QemuQemu
Qemu
 
Java awt
Java awtJava awt
Java awt
 
Vim
VimVim
Vim
 
De javaparapython
De javaparapythonDe javaparapython
De javaparapython
 
Ruby on rails
Ruby on railsRuby on rails
Ruby on rails
 
Squid
SquidSquid
Squid
 
Quanta
QuantaQuanta
Quanta
 
Python gtk
Python gtkPython gtk
Python gtk
 
Inkscape
InkscapeInkscape
Inkscape
 

Semelhante a Guia SELinux

Pen linux
Pen linuxPen linux
Pen linuxTiago
 
Fw builder
Fw builderFw builder
Fw builderTiago
 
Programacao php moodle
Programacao php moodleProgramacao php moodle
Programacao php moodleTiago
 
Inkscape
InkscapeInkscape
InkscapeTiago
 
Intro micro software
Intro micro softwareIntro micro software
Intro micro softwareTiago
 
Drupal
DrupalDrupal
DrupalTiago
 
Instalacao xoops
Instalacao xoopsInstalacao xoops
Instalacao xoopsTiago
 
Drivers de dispostivos_linux
Drivers de dispostivos_linuxDrivers de dispostivos_linux
Drivers de dispostivos_linuxTiago
 
Jabber
JabberJabber
JabberTiago
 
Nagios2
Nagios2Nagios2
Nagios2Tiago
 
Dovecot
DovecotDovecot
DovecotTiago
 
Pascal
PascalPascal
PascalTiago
 

Semelhante a Guia SELinux (20)

J2me
J2meJ2me
J2me
 
Nvu
NvuNvu
Nvu
 
Pen linux
Pen linuxPen linux
Pen linux
 
Fw builder
Fw builderFw builder
Fw builder
 
Ferm
FermFerm
Ferm
 
Programacao php moodle
Programacao php moodleProgramacao php moodle
Programacao php moodle
 
Inkscape
InkscapeInkscape
Inkscape
 
Intro micro software
Intro micro softwareIntro micro software
Intro micro software
 
Drupal
DrupalDrupal
Drupal
 
Plone
PlonePlone
Plone
 
Instalacao xoops
Instalacao xoopsInstalacao xoops
Instalacao xoops
 
Drivers de dispostivos_linux
Drivers de dispostivos_linuxDrivers de dispostivos_linux
Drivers de dispostivos_linux
 
Jabber
JabberJabber
Jabber
 
Nagios2
Nagios2Nagios2
Nagios2
 
Ltsp
LtspLtsp
Ltsp
 
Dovecot
DovecotDovecot
Dovecot
 
Ps
PsPs
Ps
 
Pascal
PascalPascal
Pascal
 
Mrtg
MrtgMrtg
Mrtg
 
Ftp
FtpFtp
Ftp
 

Mais de Tiago

6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascal6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascalTiago
 
Guia rapido de_pascal
Guia rapido de_pascalGuia rapido de_pascal
Guia rapido de_pascalTiago
 
Python bge
Python bgePython bge
Python bgeTiago
 
Curso python
Curso pythonCurso python
Curso pythonTiago
 
Curso python
Curso pythonCurso python
Curso pythonTiago
 
Aula 01 python
Aula 01 pythonAula 01 python
Aula 01 pythonTiago
 
Threading in c_sharp
Threading in c_sharpThreading in c_sharp
Threading in c_sharpTiago
 
Retirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharpRetirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharpTiago
 
Remover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharpRemover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharpTiago
 
Obter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharpObter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharpTiago
 
Metodo using no_c_sharp
Metodo using no_c_sharpMetodo using no_c_sharp
Metodo using no_c_sharpTiago
 
Introdução ao c# para iniciantes
Introdução ao c# para iniciantesIntrodução ao c# para iniciantes
Introdução ao c# para iniciantesTiago
 
Interfaces windows em c sharp
Interfaces windows em c sharpInterfaces windows em c sharp
Interfaces windows em c sharpTiago
 
Filestream sistema arquivos
Filestream sistema arquivosFilestream sistema arquivos
Filestream sistema arquivosTiago
 
Curso linux professor rafael
Curso linux professor rafaelCurso linux professor rafael
Curso linux professor rafaelTiago
 
Curso de shell
Curso de shellCurso de shell
Curso de shellTiago
 
Controle lpt em_c_sharp
Controle lpt em_c_sharpControle lpt em_c_sharp
Controle lpt em_c_sharpTiago
 
Classes csharp
Classes csharpClasses csharp
Classes csharpTiago
 
C# o basico
C# o basicoC# o basico
C# o basicoTiago
 
C# classes
C# classesC# classes
C# classesTiago
 

Mais de Tiago (20)

6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascal6572501 ldp-apostila-de-turbo-pascal
6572501 ldp-apostila-de-turbo-pascal
 
Guia rapido de_pascal
Guia rapido de_pascalGuia rapido de_pascal
Guia rapido de_pascal
 
Python bge
Python bgePython bge
Python bge
 
Curso python
Curso pythonCurso python
Curso python
 
Curso python
Curso pythonCurso python
Curso python
 
Aula 01 python
Aula 01 pythonAula 01 python
Aula 01 python
 
Threading in c_sharp
Threading in c_sharpThreading in c_sharp
Threading in c_sharp
 
Retirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharpRetirar acentos de_determinado_texto_em_c_sharp
Retirar acentos de_determinado_texto_em_c_sharp
 
Remover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharpRemover caracteres especiais_texto_em_c_sharp
Remover caracteres especiais_texto_em_c_sharp
 
Obter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharpObter ip da_internet_em_c_sharp
Obter ip da_internet_em_c_sharp
 
Metodo using no_c_sharp
Metodo using no_c_sharpMetodo using no_c_sharp
Metodo using no_c_sharp
 
Introdução ao c# para iniciantes
Introdução ao c# para iniciantesIntrodução ao c# para iniciantes
Introdução ao c# para iniciantes
 
Interfaces windows em c sharp
Interfaces windows em c sharpInterfaces windows em c sharp
Interfaces windows em c sharp
 
Filestream sistema arquivos
Filestream sistema arquivosFilestream sistema arquivos
Filestream sistema arquivos
 
Curso linux professor rafael
Curso linux professor rafaelCurso linux professor rafael
Curso linux professor rafael
 
Curso de shell
Curso de shellCurso de shell
Curso de shell
 
Controle lpt em_c_sharp
Controle lpt em_c_sharpControle lpt em_c_sharp
Controle lpt em_c_sharp
 
Classes csharp
Classes csharpClasses csharp
Classes csharp
 
C# o basico
C# o basicoC# o basico
C# o basico
 
C# classes
C# classesC# classes
C# classes
 

Último

trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditaduraAdryan Luiz
 
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfCD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfManuais Formação
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxLuizHenriquedeAlmeid6
 
Música Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMúsica Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMary Alvarenga
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
Slide língua portuguesa português 8 ano.pptx
Slide língua portuguesa português 8 ano.pptxSlide língua portuguesa português 8 ano.pptx
Slide língua portuguesa português 8 ano.pptxssuserf54fa01
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxLuizHenriquedeAlmeid6
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasMary Alvarenga
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasCassio Meira Jr.
 
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOLEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOColégio Santa Teresinha
 
Literatura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptLiteratura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptMaiteFerreira4
 
Nova BNCC Atualizada para novas pesquisas
Nova BNCC Atualizada para novas pesquisasNova BNCC Atualizada para novas pesquisas
Nova BNCC Atualizada para novas pesquisasraveccavp
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024Jeanoliveira597523
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMVanessaCavalcante37
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresLilianPiola
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalJacqueline Cerqueira
 
Livro O QUE É LUGAR DE FALA - Autora Djamila Ribeiro
Livro O QUE É LUGAR DE FALA - Autora Djamila RibeiroLivro O QUE É LUGAR DE FALA - Autora Djamila Ribeiro
Livro O QUE É LUGAR DE FALA - Autora Djamila RibeiroMarcele Ravasio
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -Aline Santana
 

Último (20)

trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditadura
 
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfCD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
 
Música Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividadeMúsica Meu Abrigo - Texto e atividade
Música Meu Abrigo - Texto e atividade
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
Slide língua portuguesa português 8 ano.pptx
Slide língua portuguesa português 8 ano.pptxSlide língua portuguesa português 8 ano.pptx
Slide língua portuguesa português 8 ano.pptx
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavras
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e Específicas
 
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃOLEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
LEMBRANDO A MORTE E CELEBRANDO A RESSUREIÇÃO
 
Literatura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptLiteratura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.ppt
 
Nova BNCC Atualizada para novas pesquisas
Nova BNCC Atualizada para novas pesquisasNova BNCC Atualizada para novas pesquisas
Nova BNCC Atualizada para novas pesquisas
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem Organizacional
 
Livro O QUE É LUGAR DE FALA - Autora Djamila Ribeiro
Livro O QUE É LUGAR DE FALA - Autora Djamila RibeiroLivro O QUE É LUGAR DE FALA - Autora Djamila Ribeiro
Livro O QUE É LUGAR DE FALA - Autora Djamila Ribeiro
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
 

Guia SELinux

  • 2. Sumário I Sobre essa Apostila 3 II Informações Básicas 5 III GNU Free Documentation License 10 IV SELinux 19 1 Visão Geral 20 2 Plano de ensino 21 2.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3 Modulo I - Introdução 24 3.1 Lição 1 - Conceitos Inciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1.1 Vantagens na utilização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4 Modulo 2 - Instalação 26 4.1 Lição 2 - Pré-Requisitos e novas ferramentas . . . . . . . . . . . . . . . . . . . . . . 26 4.1.1 Pré-Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.2 Novas Ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2 Lição 3 - Instalando o SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.1 Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.3 Configurações Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 5 Modulo 3 - Configuração e uso 29 5.1 Lição 4 - Contas de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.1.1 Configurando contas de usuários . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.1.2 Editando domínios de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . 30 1
  • 3. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 5.1.3 Configurando contextos de segurança . . . . . . . . . . . . . . . . . . . . . . 31 5.2 Lição 5 - Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 5.3 Alterando regras no SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2
  • 4. Parte I Sobre essa Apostila 3
  • 5. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Conteúdo O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in- ternet, disponíveis em diversos sites ou originalmente produzido no CDTC (http://www.cdtc.org.br.) O formato original deste material bem como sua atualização está disponível dentro da licença GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seção de mesmo nome, tendo inclusive uma versão traduzida (não oficial). A revisão e alteração vem sendo realizada pelo CDTC (suporte@cdtc.org.br) desde outubro de 2006. Críticas e sugestões construtivas serão bem-vindas a qualquer hora. Autores A autoria deste é de responsabilidade de Frederico Braga (fred@cdtc.org.br) . O texto original faz parte do projeto Centro de Difusão de Tecnologia e Conhecimento que vêm sendo realizado pelo ITI (Instituto Nacional de Tecnologia da Informação) em conjunto com outros parceiros institucionais, e com as universidades federais brasileiras que tem produzido e utilizado Software Livre apoiando inclusive a comunidade Free Software junto a outras entidades no país. Informações adicionais podem ser obtidas através do email ouvidoria@cdtc.org.br, ou da home page da entidade, através da URL http://www.cdtc.org.br. Garantias O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi- lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizam direta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido. Licença Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br) . Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS- TILA. A copy of the license is included in the section entitled GNU Free Documentation License. 4
  • 7. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Sobre o CDTC Objetivo Geral O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina- ção de soluções que utilizem padrões abertos e não proprietários de tecnologia, em proveito do desenvolvimento social, cultural, político, tecnológico e econômico da sociedade brasileira. Objetivo Específico Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário e de código fonte aberto, identificando e mobilizando grupos de formadores de opinião dentre os servidores públicos e agentes políticos da União Federal, estimulando e incentivando o mercado nacional a adotar novos modelos de negócio da tecnologia da informação e de novos negócios de comunicação com base em software não-proprietário e de código fonte aberto, oferecendo treinamento específico para técnicos, profissionais de suporte e funcionários públicos usuários, criando grupos de funcionários públicos que irão treinar outros funcionários públicos e atuar como incentivadores e defensores dos produtos de software não proprietários e código fonte aberto, ofe- recendo conteúdo técnico on-line para serviços de suporte, ferramentas para desenvolvimento de produtos de software não proprietários e do seu código fonte livre, articulando redes de terceiros (dentro e fora do governo) fornecedoras de educação, pesquisa, desenvolvimento e teste de pro- dutos de software livre. Guia do aluno Neste guia, você terá reunidas uma série de informações importantes para que você comece seu curso. São elas: • Licenças para cópia de material disponível; • Os 10 mandamentos do aluno de Educação a Distância; • Como participar dos foruns e da wikipédia; • Primeiros passos. É muito importante que você entre em contato com TODAS estas informações, seguindo o roteiro acima. Licença Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br). 6
  • 8. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior públicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSA APOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu- mentação Livre GNU". Os 10 mandamentos do aluno de educação online • 1. Acesso à Internet: ter endereço eletrônico, um provedor e um equipamento adequado é pré-requisito para a participação nos cursos a distância; • 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá- tica é necessário para poder executar as tarefas; • 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân- cia conta muitos pontos, pois irá colaborar para o processo ensino-aprendizagem pessoal, dos colegas e dos professores; • 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seus colegas de turma respeitando-os e se fazendo ser respeitado pelos mesmos; • 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisão e a sua recuperação de materiais; • 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações e realizá-las em tempo real; • 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre; • 8. Flexibilidade e adaptação: requisitos necessário à mudança tecnológica, aprendizagens e descobertas; • 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente é ponto - chave na comunicação pela Internet; • 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual não controla a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração. Como participar dos fóruns e Wikipédia Você tem um problema e precisa de ajuda? Podemos te ajudar de 2 formas: A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso: . O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informações que sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas a 7
  • 9. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF todos participantes. Assim, se o monitor ou algum outro participante tiver uma informação que interesse ao grupo, favor postá-la aqui. Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico do curso. É recomendado que você faça uso do Fórum de dúvidas gerais que lhe dá recursos mais efetivos para esta prática. . O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativo para solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadas a todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podem ajudar. Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com a formalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópico é recomendável ver se a sua pergunta já foi feita por outro participante. A segunda forma se dá pelas Wikis: . Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par- ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podem ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um ótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé- dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, por pessoas de todas as partes do mundo. Acesse-a em português pelos links: • Página principal da Wiki - http://pt.wikipedia.org/wiki/ Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo! Primeiros Passos Para uma melhor aprendizagem é recomendável que você siga os seguintes passos: • Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar; • Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar das ferramentas básicas do mesmo; • Entrar nas lições seguindo a seqüência descrita no Plano de Ensino; • Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais. Perfil do Tutor Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores. O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivos valores e atitudes, incentiva mas é honesto, imparcial, amável, positivo, respeitador, aceita as idéias dos estudantes, é paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar. 8
  • 10. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e, para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutor ou instrutor: • fornece explicações claras acerca do que ele espera e do estilo de classificação que irá utilizar; • gosta que lhe façam perguntas adicionais; • identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por- que motivo a classificação foi ou não foi atribuída’; • tece comentários completos e construtivos, mas de forma agradável (em contraste com um reparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, de ameaça e de nervossismo’) • dá uma ajuda complementar para encorajar um estudante em dificuldade; • esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente; • ajuda o estudante a alcançar os seus objetivos; • é flexível quando necessário; • mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso, talvez numa fase menos interessante para o tutor); • escreve todas as correções de forma legível e com um nível de pormenorização adequado; • acima de tudo, devolve os trabalhos rapidamente; 9
  • 11. Parte III GNU Free Documentation License 10
  • 12. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF (Traduzido pelo João S. O. Bueno através do CIPSGA em 2001) Esta é uma tradução não oficial da Licença de Documentação Livre GNU em Português Brasi- leiro. Ela não é publicada pela Free Software Foundation, e não se aplica legalmente a distribuição de textos que usem a GFDL - apenas o texto original em Inglês da GNU FDL faz isso. Entretanto, nós esperamos que esta tradução ajude falantes de português a entenderem melhor a GFDL. This is an unofficial translation of the GNU General Documentation License into Brazilian Por- tuguese. It was not published by the Free Software Foundation, and does not legally state the distribution terms for software that uses the GFDL–only the original English text of the GFDL does that. However, we hope that this translation will help Portuguese speakers understand the GFDL better. Licença de Documentação Livre GNU Versão 1.1, Março de 2000 Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA É permitido a qualquer um copiar e distribuir cópias exatas deste documento de licença, mas não é permitido alterá-lo. INTRODUÇÃO O propósito desta Licença é deixar um manual, livro-texto ou outro documento escrito "livre"no sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copiá-lo ou redistribui-lo, com ou sem modificações, comercialmente ou não. Secundariamente, esta Licença mantém para o autor e editor uma forma de ter crédito por seu trabalho, sem ser considerado responsável pelas modificações feitas por terceiros. Esta Licença é um tipo de "copyleft"("direitos revertidos"), o que significa que derivações do documento precisam ser livres no mesmo sentido. Ela complementa a GNU Licença Pública Ge- ral (GNU GPL), que é um copyleft para software livre. Nós fizemos esta Licença para que seja usada em manuais de software livre, por que software livre precisa de documentação livre: um programa livre deve ser acompanhado de manuais que provenham as mesmas liberdades que o software possui. Mas esta Licença não está restrita a manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente do assunto ou se ele é publicado como um livro impresso. Nós recomendamos esta Licença prin- cipalmente para trabalhos cujo propósito seja de introdução ou referência. APLICABILIDADE E DEFINIÇÕES Esta Licença se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo detentor dos direitos autorais dizendo que ele pode ser distribuído sob os termos desta Licença. O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do público é um 11
  • 13. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF licenciado e é referida como "você". Uma "Versão Modificada"do Documento se refere a qualquer trabalho contendo o documento ou uma parte dele, quer copiada exatamente, quer com modificações e/ou traduzida em outra língua. Uma "Seção Secundária"é um apêndice ou uma seção inicial do Documento que trata ex- clusivamente da relação dos editores ou dos autores do Documento com o assunto geral do Documento (ou assuntos relacionados) e não contém nada que poderia ser incluído diretamente nesse assunto geral (Por exemplo, se o Documento é em parte um livro texto de matemática, a Seção Secundária pode não explicar nada de matemática). Essa relação poderia ser uma questão de ligação histórica com o assunto, ou matérias relaci- onadas, ou de posições legais, comerciais, filosóficas, éticas ou políticas relacionadas ao mesmo. As "Seções Invariantes"são certas Seções Secundárias cujos títulos são designados, como sendo de Seções Invariantes, na nota que diz que o Documento é publicado sob esta Licença. Os "Textos de Capa"são certos trechos curtos de texto que são listados, como Textos de Capa Frontal ou Textos da Quarta Capa, na nota que diz que o texto é publicado sob esta Licença. Uma cópia "Transparente"do Documento significa uma cópia que pode ser lida automatica- mente, representada num formato cuja especificação esteja disponível ao público geral, cujos conteúdos possam ser vistos e editados diretamente e sem mecanismos especiais com editores de texto genéricos ou (para imagens compostas de pixels) programas de pintura genéricos ou (para desenhos) por algum editor de desenhos grandemente difundido, e que seja passível de servir como entrada a formatadores de texto ou para tradução automática para uma variedade de formatos que sirvam de entrada para formatadores de texto. Uma cópia feita em um formato de arquivo outrossim Transparente cuja constituição tenha sido projetada para atrapalhar ou de- sencorajar modificações subsequentes pelos leitores não é Transparente. Uma cópia que não é "Transparente"é chamada de "Opaca". Exemplos de formatos que podem ser usados para cópias Transparentes incluem ASCII sim- ples sem marcações, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML usando uma DTD disponibilizada publicamente, e HTML simples, compatível com os padrões, e projetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatos proprietários que podem ser lidos e editados apenas com processadores de texto proprietários, SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edição não estejam disponíveis para o público, e HTML gerado automaticamente por alguns editores de texto com finalidade apenas de saída. A "Página do Título"significa, para um livro impresso, a página do título propriamente dita, mais quaisquer páginas subsequentes quantas forem necessárias para conter, de forma legível, o material que esta Licença requer que apareça na página do título. Para trabalhos que não tenham uma página do título, "Página do Título"significa o texto próximo da aparição mais proe- minente do título do trabalho, precedendo o início do corpo do texto. 12
  • 14. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF FAZENDO CÓPIAS EXATAS Você pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou não comercial, desde que esta Licença, as notas de copyright, e a nota de licença dizendo que esta Licença se aplica ao documento estejam reproduzidas em todas as cópias, e que você não acres- cente nenhuma outra condição, quaisquer que sejam, às desta Licença. Você não pode usar medidas técnicas para obstruir ou controlar a leitura ou confecção de cópias subsequentes das cópias que você fizer ou distribuir. Entretanto, você pode aceitar com- pensação em troca de cópias. Se você distribuir uma quantidade grande o suficiente de cópias, você também precisa respeitar as condições da seção 3. Você também pode emprestar cópias, sob as mesmas condições colocadas acima, e também pode exibir cópias publicamente. FAZENDO CÓPIAS EM QUANTIDADE Se você publicar cópias do Documento em número maior que 100, e a nota de licença do Documento obrigar Textos de Capa, você precisará incluir as cópias em capas que tragam, clara e legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, e Textos da Quarta Capa na capa de trás. Ambas as capas também precisam identificar clara e legivelmente você como o editor dessas cópias. A capa da frente precisa apresentar o título com- pleto com todas as palavras do título igualmente proeminentes e visíveis. Você pode adicionar outros materiais às capas. Fazer cópias com modificações limitadas às capas, tanto quanto estas preservem o título do documento e satisfaçam a essas condições, pode ser tratado como cópia exata em outros aspectos. Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma legível, você deve colocar os primeiros (tantos quantos couberem de forma razoável) na capa verdadeira, e continuar os outros nas páginas adjacentes. Se você publicar ou distribuir cópias Opacas do Documento em número maior que 100, você precisa ou incluir uma cópia Transparente que possa ser lida automaticamente com cada cópia Opaca, ou informar, em ou com, cada cópia Opaca a localização de uma cópia Transparente completa do Documento acessível publicamente em uma rede de computadores, à qual o público usuário de redes tenha acesso a download gratuito e anônimo utilizando padrões públicos de protocolos de rede. Se você utilizar o segundo método, você precisará tomar cuidados razoavel- mente prudentes, quando iniciar a distribuição de cópias Opacas em quantidade, para assegurar que esta cópia Transparente vai permanecer acessível desta forma na localização especificada por pelo menos um ano depois da última vez em que você distribuir uma cópia Opaca (direta- mente ou através de seus agentes ou distribuidores) daquela edição para o público. É pedido, mas não é obrigatório, que você contate os autores do Documento bem antes de redistribuir qualquer grande número de cópias, para lhes dar uma oportunidade de prover você com uma versão atualizada do Documento. 13
  • 15. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF MODIFICAÇÕES Você pode copiar e distribuir uma Versão Modificada do Documento sob as condições das se- ções 2 e 3 acima, desde que você publique a Versão Modificada estritamente sob esta Licença, com a Versão Modificada tomando o papel do Documento, de forma a licenciar a distribuição e modificação da Versão Modificada para quem quer que possua uma cópia da mesma. Além disso, você precisa fazer o seguinte na versão modificada: A. Usar na Página de Título (e nas capas, se houver alguma) um título distinto daquele do Do- cumento, e daqueles de versões anteriores (que deveriam, se houvesse algum, estarem listados na seção "Histórico do Documento"). Você pode usar o mesmo título de uma versão anterior se o editor original daquela versão lhe der permissão; B. Listar na Página de Título, como autores, uma ou mais das pessoas ou entidades responsá- veis pela autoria das modificações na Versão Modificada, conjuntamente com pelo menos cinco dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que cinco); C. Colocar na Página de Título o nome do editor da Versão Modificada, como o editor; D. Preservar todas as notas de copyright do Documento; E. Adicionar uma nota de copyright apropriada para suas próprias modificações adjacente às outras notas de copyright; F. Incluir, imediatamente depois das notas de copyright, uma nota de licença dando ao público o direito de usar a Versão Modificada sob os termos desta Licença, na forma mostrada no tópico abaixo; G. Preservar nessa nota de licença as listas completas das Seções Invariantes e os Textos de Capa requeridos dados na nota de licença do Documento; H. Incluir uma cópia inalterada desta Licença; I. Preservar a seção entitulada "Histórico", e seu título, e adicionar à mesma um item dizendo pelo menos o título, ano, novos autores e editor da Versão Modificada como dados na Página de Título. Se não houver uma sessão denominada "Histórico"no Documento, criar uma dizendo o título, ano, autores, e editor do Documento como dados em sua Página de Título, então adicionar um item descrevendo a Versão Modificada, tal como descrito na sentença anterior; J. Preservar o endereço de rede, se algum, dado no Documento para acesso público a uma cópia Transparente do Documento, e da mesma forma, as localizações de rede dadas no Docu- mento para as versões anteriores em que ele foi baseado. Elas podem ser colocadas na seção "Histórico". Você pode omitir uma localização na rede para um trabalho que tenha sido publicado pelo menos quatro anos antes do Documento, ou se o editor original da versão a que ela se refira der sua permissão; K. Em qualquer seção entitulada "Agradecimentos"ou "Dedicatórias", preservar o título da 14
  • 16. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF seção e preservar a seção em toda substância e fim de cada um dos agradecimentos de contri- buidores e/ou dedicatórias dados; L. Preservar todas as Seções Invariantes do Documento, inalteradas em seus textos ou em seus títulos. Números de seção ou equivalentes não são considerados parte dos títulos da seção; M. Apagar qualquer seção entitulada "Endossos". Tal sessão não pode ser incluída na Versão Modificada; N. Não reentitular qualquer seção existente com o título "Endossos"ou com qualquer outro título dado a uma Seção Invariante. Se a Versão Modificada incluir novas seções iniciais ou apêndices que se qualifiquem como Seções Secundárias e não contenham nenhum material copiado do Documento, você pode optar por designar alguma ou todas aquelas seções como invariantes. Para fazer isso, adicione seus títulos à lista de Seções Invariantes na nota de licença da Versão Modificada. Esses títulos preci- sam ser diferentes de qualquer outro título de seção. Você pode adicionar uma seção entitulada "Endossos", desde que ela não contenha qual- quer coisa além de endossos da sua Versão Modificada por várias pessoas ou entidades - por exemplo, declarações de revisores ou de que o texto foi aprovado por uma organização como a definição oficial de um padrão. Você pode adicionar uma passagem de até cinco palavras como um Texto de Capa da Frente , e uma passagem de até 25 palavras como um Texto de Quarta Capa, ao final da lista de Textos de Capa na Versão Modificada. Somente uma passagem de Texto da Capa da Frente e uma de Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade. Se o Documento já incluir um texto de capa para a mesma capa, adicionado previamente por você ou por acordo feito com alguma entidade para a qual você esteja agindo, você não pode adicionar um outro; mas você pode trocar o antigo, com permissão explícita do editor anterior que adicionou a passagem antiga. O(s) autor(es) e editor(es) do Documento não dão permissão por esta Licença para que seus nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer Versão Modificada. COMBINANDO DOCUMENTOS Você pode combinar o Documento com outros documentos publicados sob esta Licença, sob os termos definidos na seção 4 acima para versões modificadas, desde que você inclua na com- binação todas as Seções Invariantes de todos os documentos originais, sem modificações, e liste todas elas como Seções Invariantes de seu trabalho combinado em sua nota de licença. O trabalho combinado precisa conter apenas uma cópia desta Licença, e Seções Invariantes Idênticas com multiplas ocorrências podem ser substituídas por apenas uma cópia. Se houver múltiplas Seções Invariantes com o mesmo nome mas com conteúdos distintos, faça o título de 15
  • 17. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF cada seção único adicionando ao final do mesmo, em parênteses, o nome do autor ou editor origianl daquela seção, se for conhecido, ou um número que seja único. Faça o mesmo ajuste nos títulos de seção na lista de Seções Invariantes nota de licença do trabalho combinado. Na combinação, você precisa combinar quaisquer seções entituladas "Histórico"dos diver- sos documentos originais, formando uma seção entitulada "Histórico"; da mesma forma combine quaisquer seções entituladas "Agradecimentos", ou "Dedicatórias". Você precisa apagar todas as seções entituladas como "Endosso". COLETÂNEAS DE DOCUMENTOS Você pode fazer uma coletânea consitindo do Documento e outros documentos publicados sob esta Licença, e substituir as cópias individuais desta Licença nos vários documentos com uma única cópia incluida na coletânea, desde que você siga as regras desta Licença para cópia exata de cada um dos Documentos em todos os outros aspectos. Você pode extrair um único documento de tal coletânea, e distribuí-lo individualmente sob esta Licença, desde que você insira uma cópia desta Licença no documento extraído, e siga esta Licença em todos os outros aspectos relacionados à cópia exata daquele documento. AGREGAÇÃO COM TRABALHOS INDEPENDENTES Uma compilação do Documento ou derivados dele com outros trabalhos ou documentos se- parados e independentes, em um volume ou mídia de distribuição, não conta como uma Ver- são Modificada do Documento, desde que nenhum copyright de compilação seja reclamado pela compilação. Tal compilação é chamada um "agregado", e esta Licença não se aplica aos outros trabalhos auto-contidos compilados junto com o Documento, só por conta de terem sido assim compilados, e eles não são trabalhos derivados do Documento. Se o requerido para o Texto de Capa na seção 3 for aplicável a essas cópias do Documento, então, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado. Senão eles precisarão aparecer nas capas de todo o agregado. TRADUÇÃO Tradução é considerada como um tipo de modificação, então você pode distribuir traduções do Documento sob os termos da seção 4. A substituição de Seções Invariantes por traduções requer uma permissão especial dos detentores do copyright das mesmas, mas você pode incluir traduções de algumas ou de todas as Seções Invariantes em adição às versões orignais dessas Seções Invariantes. Você pode incluir uma tradução desta Licença desde que você também in- clua a versão original em Inglês desta Licença. No caso de discordância entre a tradução e a 16
  • 18. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF versão original em Inglês desta Licença, a versão original em Inglês prevalecerá. TÉRMINO Você não pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expres- samente especificado sob esta Licença. Qualquer outra tentativa de copiar, modificar, sublicen- ciar, ou distribuir o Documento é nula, e resultará automaticamente no término de seus direitos sob esta Licença. Entretanto, terceiros que tenham recebido cópias, ou direitos de você sob esta Licença não terão suas licenças terminadas, tanto quanto esses terceiros permaneçam em total acordo com esta Licença. REVISÕES FUTURAS DESTA LICENÇA A Free Software Foundation pode publicar novas versões revisadas da Licença de Documen- tação Livre GNU de tempos em tempos. Tais novas versões serão similares em espirito à versão presente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupações. Veja http://www.gnu.org/copyleft/. A cada versão da Licença é dado um número de versão distinto. Se o Documento especificar que uma versão particular desta Licença "ou qualquer versão posterior"se aplica ao mesmo, você tem a opção de seguir os termos e condições daquela versão específica, ou de qualquer versão posterior que tenha sido publicada (não como rascunho) pela Free Software Foundation. Se o Documento não especificar um número de Versão desta Licença, você pode escolher qualquer versão já publicada (não como rascunho) pela Free Software Foundation. ADENDO: Como usar esta Licença para seus documentos Para usar esta Licença num documento que você escreveu, inclua uma cópia desta Licença no documento e ponha as seguintes notas de copyright e licenças logo após a página de título: Copyright (c) ANO SEU NOME. É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior publicada pela Free Soft- ware Foundation; com as Seções Invariantes sendo LISTE SEUS TÍTULOS, com os Textos da Capa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cópia da li- cença está inclusa na seção entitulada "Licença de Documentação Livre GNU". Se você não tiver nenhuma Seção Invariante, escreva "sem Seções Invariantes"ao invés de dizer quais são invariantes. Se você não tiver Textos de Capa da Frente, escreva "sem Textos de Capa da Frente"ao invés de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os Textos da Quarta Capa. Se o seu documento contiver exemplos não triviais de código de programas, nós recomenda- mos a publicação desses exemplos em paralelo sob a sua escolha de licença de software livre, 17
  • 19. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF tal como a GNU General Public License, para permitir o seu uso em software livre. 18
  • 21. Capítulo 1 Visão Geral A estrutura SELinux (Security Enhanced Linux) é uma camada de segurança extra para servi- dores, e limita as ações dos usuários e programas pela imposição de políticas de segurança por todo o sistema operacional. As restrições impostas por suas políticas fornecem segurança extra contra acesso não autorizado. O SELinux, que toma como base o princípio do mínimo privilégio ao extremo e restringe até o usuário root, foi uma criação da NSA (Agência de Segurança Nacio- nal norte-americana). O curso, com base na distribuição Debian possui uma semana, começando na Segunda-Feira e terminando no Domingo. Todo o conteúdo do curso estará visível somente a partir da data de início. Para começar o curso você deve ler o Guia do aluno a seguir. 20
  • 22. Capítulo 2 Plano de ensino 2.1 Objetivo Capacitar o usuário para o uso autônomo do SELinux e suas ferramentas mais utilizadas. 2.2 Público Alvo Usuários finais ou novatos que desejam migrar os seus sistemas proprietários para software livre, em especial, o SELinux. 2.3 Pré-requisitos Os usuários deverão ser, necessariamente, funcionários públicos e ter conhecimentos básicos para operar um computador. 2.4 Descrição O curso será realizado na modalidade Educação a Distância e utilizará a Plataforma Moodle como ferramenta de aprendizagem. O curso tem duração de uma semana e possui um conjunto de atividades (lições, fóruns, glossários, questionários e outros) que deverão ser executadas de acordo com as instruções fornecidas. O material didático estará disponível on-line de acordo com as datas pré-estabelecidas em cada tópico. 2.5 Metodologia O curso está dividido da seguinte maneira: 2.6 Cronograma • Descrição das atividades • Semana 1 21
  • 23. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF • Lição 1 - Conceitos Iniciais; • Lição 2 - Pré-requisitos e novas ferramentas; • Lição 3 - Instalando o SELinux; • Lição 4 - Contas de usuários; • Lição 5 - Regras; • Avaliação de aprendizagem; • Avaliação do curso. Como mostrado na tabela acima, a cada semana será disponibilizado um conjunto de módulos. É recomendável que o participante siga as datas estabelecidas. // As lições, disponíveis em cada módulo, contêm o conteúdo principal. Elas poderão ser acessadas quantas vezes forem neces- sárias, desde que esteja dentro da semana programada. Ao final de uma lição, você receberá uma nota de acordo com o seu desempenho. Caso sua nota numa determinada lição seja menor do que 6.0, sugerimos que você faça novamente esta lição. // Ao final do curso serão dispo- nibilizadas as avaliações referentes aos módulos estudados anteriormente. Somente a nota da avaliação será considerada para a nota final. Todos os módulos ficarão visíveis para que possam ser consultados durante a avaliação final. // Para conhecer as demais atividades de cada módulo leia o tópico seguinte: "Ambientação do Moodle". // Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deve ser enviada ao fórum correspondente. Diariamente os monitores darão respostas e esclarecimentos. 2.7 Programa O curso oferecerá o seguinte conteúdo: • Instalação e configuração do SELinux. 2.8 Avaliação Toda a avaliação será feita on-line. Aspectos a serem considerados na avaliação: • iniciativa e autonomia no processo de aprendizagem e de produção de conhecimento; • capacidade de pesquisa e abordagem criativa na solução dos problemas apresentados. Instrumentos de avaliação: • participação ativa nas atividades programadas; • avaliação ao final do curso; • o participante fará várias avaliações referentes ao conteúdo do curso. Para a aprovação e obtenção do certificado o participante deverá obter nota final maior ou igual a 6.0 de acordo com a fórmula abaixo: • Nota Final = ((ML x 7) + (AF x 3)) / 10 = Média aritmética das lições. • AF = Avaliações. 22
  • 24. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 2.9 Bibliografia • Página oficial do SELinux http://www.nsa.gov/selinux/ 23
  • 25. Capítulo 3 Modulo I - Introdução Programas que provêem acessibilidade em informática são um conjunto de ferramentas que permitem que portadores das mais diversas necessidades especiais possam utilizar todos os recursos que o computador oferece. Este módulo abordará uma breve introdução aos conceitos envolvidos no SELinux. 3.1 Lição 1 - Conceitos Inciais O SELinux ("Security-Enhanced Linux") foi desenvolvido pela Agência Nacional de Segurança dos EUA, a NSA (National Security Agency), e toma como base o princípio do mínimo privilégio ao extremo, restringindo até o usuário root. SELinux foi implementado usando uma flexível e refinada arquitetura MAC ("Mandatory Access Control"). Desta forma, ele provê uma política de segurança sobre todos os processos e objetos do sistema. Suas decisões são baseadas em labels, e contém uma variedade de informações relevantes à segurança. A lógica da política de tomada de decisões é encapsulada dentro de um simples componente conhecido como servidor de segurança ("security server") com uma inter- face geral de segurança. Ele foi integrado ao Kernel do Linux usando o "framework"LSM ("Linux Security Modules"). Inicialmente sua implementação utilizou os identificadores (IDs ou PSIDs) armazenados nos ino- des livres do sistema de arquivos ext2. Tal representação numérica era mapeada pelo SELinux como um label do contexto de segurança. Porém, isso necessitaria de uma modificação em cada sistema de arquivo para suportar os PSIDs, o que não é uma solução escalável. Assim, a próxima etapa da evolução do SELinux foi um módulo carregável no Kernel 2.4 que armazenava os PSIDs num arquivo normal fazendo com que suportasse mais sistemas de arqui- vos. Entretanto, essa solução não possibilitava a ideal perfomance do sistema. Então o código do SELinux finalmente foi integrado ao kernel 2.6.x com total suporte por LSM e contendo atributos (xattrs) no sistema de arquivos ext3. E o SELinux foi alterado para usar xat- trs como forma de armazenamento da informação do contexto de segurança. Atualmente, vem sendo realizado um extenso trabalho com o objetivo de deixar o kernel pronto para o SELinux bem como seu subseqüente desenvolvimento em esforços conjuntos da NSA, Red Hat, IBM e a comunidade de desenvolvedores do SELinux. 24
  • 26. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 3.1.1 Vantagens na utilização O MAC mostra-se bem superior ao tradicional DAC ("Discretionary Access Control"), pois este possui diversas limitações. Caso utilize somente o DAC, o dono de um arquivo/objeto provê um potencial risco de corrompê- lo. Um usuário pode expor arquivos ou diretórios à brechas de segurança utilizando incorreta- mente o comando chmod e uma não esperada propagação dos direitos de acesso. Um processo inicializado pelo usuário como um script CGI pode fazer tudo que quiser com quaisquer arquivos possuídos por este usuário. Por exemplo um Servidor HTTP pode realizar qualquer operação sobre arquivos que estão no grupo web ou softwares maliciosos podem conquistar nível root de acesso rodando como processo de root ou utilizando setuid ou setgid. O DAC prevê apenas duas grandes categorias de usuários: Administradores e Não-administradores. Para alguns serviços e programas rodarem com nível elevado de privilégio as escolhas são poucas e tipicamente resolvidas dando completo acesso de administrador. O MAC permite que sejam definidas permissões de como os processos irão interagir com outras partes do sistema como arquivos, devices, sockets, portas e outros processos (todos chamados de objetos para o SELinux). Isso é feito através de uma política de segurança definida administrativamente sobre todos os processos e objetos. Estes processos e objetos são controlados pelo Kernel e a decisão de se- gurança é tomada com todas as informações disponíveis ao invés de utilizar somente a identidade do usuário. Com este modelo os processos podem garantir apenas permissões necessárias pela funcionalidade seguindo um princípio de poucos privilégios. Sobre MAC, por exemplo, usuários que expõem seus dados utilizando chmod estão protegidos pelo fato de seus dados terem um tipo único associado com seu diretório "home"e outros proces- sos não podem tocar nestes dados sem devida permissão dentro da política. 25
  • 27. Capítulo 4 Modulo 2 - Instalação Esta seção abordará como instalar o SELinux de forma simples e eficiente, bem como alguns pré-requisitos e conhecimentos necessários à sua instalação. 4.1 Lição 2 - Pré-Requisitos e novas ferramentas 4.1.1 Pré-Requisitos É muito importante ter habilidade de aprender termos técnicos e colocá-los em prática. Tam- bém é importante que já tenha uma idéia do que pretende fazer, como administrar configurações de serviços básicos, satisfazer o usuário /home/servidor via Apache HTTP, manipular o policia- mento da aplicação web PHP, ou realizar um policiamento que permita que certa aplicação seja protegida pelo SELinux. Para isso, é necessário ter: • elevado conhecimento em Linux; • se pretender administrar serviços, manipular ou analisar policiamento, conhecimento em nível de administrador e a experiência necessária; • conhecimento em segurança no sistema Linux/UNIX; • conhecimento sobre como o sistema Linux/UNIX opera em baixo-nível, tal como são reali- zadas as chamadas ao Kernel para operações (entrada, saída, ler, escrever, etc.); • conhecimento de programação e da teoria do sistema que é usado no policiamento; • familiaridade com a linguagem M4, o que ajudaria a entender algumas partes do policia- mento SELinux; • privilégios de administrador no sistema; • algum local para examinar e testar o policiamento.Pode ser uma máquina de teste ou de- senvolvimento, ou uma estação de trabalho. 26
  • 28. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 4.1.2 Novas Ferramentas A versão nova do SELinux possui várias ferramentas novas, dentre elas, citaremos as mais importantes: Sistema de arquivos /selinux O sistema de arquivos /selinux foi incluído. Assim, uma parte do processo de instalação requer a edição de /etc/fstab. Este sistema de arquivos é similar ao /proc, que por sua vez, também é um pseudo sistema de arquivos. O comando ls -l /selinux mostra: total 0 -rw-rw-rw- 1 root root 0 Sep 11 9:16 access -rw-rw-rw- 1 root root 0 Sep 11 9:16 context -rw-rw-rw- 1 root root 0 Sep 11 9:16 create -rw——- 1 root root 0 Sep 11 10:34 enforce -rw——- 1 root root 0 Sep 11 10:34 load -r–r–r– 1 root root 0 Sep 11 10:34 policyvers Executando o comando cat no arquivo enforce, será mostrada 1 para o modo enforcing, ou 0 para o modo permitido. Carregando o policiamento SELinux por meio de init. O responsável por montar o arquivo de sistemas /selinux é o init, depois disso deve ser carregado o policiamento. Não usa-se SIDs e PSIDs Os SIDs (Security Identifiers) eram usados no antigo SELinux na interface com o kernel . E os PSIDs (Persistent SIDs) eram usados no código do kernel para mapear arquivos de contexto para diretórios no disco rígido. No novo SELinux, os atributos extendidos contém o contexto, assim SIDs e PSIDs não são mais necessárias. Opção -Z Esta opção pode ser usada no lugar de –context, depois de um comando como ls ou ps. Comando chcon ao invés de chsid O comando chsid era usado no antigo SELinux para alterar o contexto de um arquivo. O novo SELinux usa o comando chcon para mudar contextos de arquivo. 4.2 Lição 3 - Instalando o SELinux 4.2.1 Instalação Caso utilize uma distribuição que não possua suporte a SELinux, é necessário instalar os se- guintes pacotes: • libselinux1: contém as bibliotecas necessárias para o novo SELinux; • selinux-policy-default: contém arquivos de policiamento para a maioria dos programas usa- dos, como postfix, sendmail, etc; • checkpolicy: contém o compilador do policiamento de segurança; • policycoreutils: contém utilidades, como setfiles, load_policy, newrole etc; • selinux-utils: contém utilitários para algumas aplicações, como para pesquisar o policia- mento; • selinux-doc: contém documentações; 27
  • 29. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF • libsemanage: contém algumas bibliotecas; • libsepol: contém algumas bibliotecas. Pacotes adicionais a serem instalados no debian • coreutils: contém versões modificadas de comandos, como cp, mv e ls; • procps: contém versões modificadas de comandos, como ps e top; • sysvinit: contém um "pach"para carregar o policiamento; • dpkg: é necessário para rotular os arquivos corretamente, após o pacote ser instalado; • logrotate:contém uma versão modificada do pacote logrotate, o qual preserva a segurança dos contextos dos novos arquivos no SELinux; • cron: é necessário para rodar scripts nos domínios corretos. Para isso, basta usar o comando apt-get install em seu terminal de comandos. E não é necessário realizar o boot na máquina antes de intalá-los, então eles podem ser instalados a qualquer momento. 4.3 Configurações Básicas Editando seu arquivo /etc/fstab e criando o /etc/selinux: Antes de fazer o "reboot"do sistema, primeiramente é necessário editar o arquivo /etc/fstab e criar o diretório /etc/selinux, e configurar as permissões para o modo 500. Então edite seu /etc/fstab, incluindo o seguinte: none /selinux selinuxfs noauto 0 0 Executando o comando make relabel. Se seu Kernel é 2.6.x, com suporte a XATTR, depois de criar o diretório etc/selinux e editar o arquivo /etc/fstab, é necessário executar o comando: make -C /etc/selinux relabel. Este comando dá um novo rótulo para o arquivo de sistemas, com o correto contexto de segu- rança. Porém, se seu Kernel é 2.4.x, este comando não pode ser dado agora. Editando /etc/pam.d/login e etc/pam.d/ssh Antes de fazer o "reboot"do sistema, é necessário editar os arquivos /etc/pam.d/login e /etc/pam.d/ ssh, para que o shell seja iniciado no contexto correto, então adicione "session required pam_selinux. so"em ambos estes arquivos. 28
  • 30. Capítulo 5 Modulo 3 - Configuração e uso Nesta seção será visto como realizar algumas configurações no SELinux. 5.1 Lição 4 - Contas de usuários 5.1.1 Configurando contas de usuários Criando novas contas de usuários: Verifique se seu domínio de contexto é sysadm_r:sysadm_t role, depois basta usar o comando useradd para adicionar um novo usuário. Para verificar se seu uid é 0, e se está em sysadm_r:sysadm_t role, digite o seguinte comando: id uid=0(root) gid=0(root) groups=0(root) context=faye:sysadm_r:sysadm_t Caso seu uid seja o da sua conta regular, então faça o login como su primeiramente. E siga os comandos abaixo: useradd -c "SE Linux test user-m -d /home/setest -g users -s /bin/bash -u 1005 nome_de_usuário finger nome_de_usuário Login: nome_de_usuário Name: SE Linux test user Directory: /home/nome_de_usuário Shell: /bin/bash Never logged in. No mail. No Plan. passwd nome_de_usuario Enter new UNIX password: senha Retype new UNIX password: senha passwd: password updated successfully Assim o novo usuário "nome_de_usuário"foi criado. Configurando regras para usuários: Como exemplo, para que o usuário tenha acesso a user_r , é necessário configurar o arquivo /etc/selinux/users. Para isso, insira no final de seu arquivo: user usuario roles user_r ; 29
  • 31. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF Assim, o usuário "usuário"é autorizado a ter acesso à user_r role. Então, é necessário atualizar o arquivo /etc/selinux/users, executando o seguinte comando: make -C /etc/selinux load. Ao terminar, aparecerá algo como: Success touch tmp/load make: Leaving directory `/usr/share/selinux/policy/current’ Agora, deve-se configurar um contexto de segurança default, o que será visto na seção seguinte. 5.1.2 Editando domínios de usuários O arquivo de configuração que contém os domínios dos usuários é /etc/selinux/domains/user.te, altere-o, adicionando as seguintes linhas: full_user_role(second) allow system_r second_r allow sysadm_r second_r Também adicione o seguinte comentário: #Ao adicionar novas regras, edite o macro in_user_role em macros/user_macros.te. Para editar o arquivo /etc/selinux/macros/user_macros.te, entre num editor de texto e procure (no final do arquivo) a string in_user_role e adicione: "role second_r types" A linha full_user_role(second) cria o domínio second_t e os diretórios second_home_dir_t e se- cond_home_t O diretório second_tmp_t é criado para arquivos que estão em níveis inferiores a /tmp. O diretório second_tmpfs_t é criado para dividir o espaço de memória criado no contexto tmpfs Os diretórios second_tty_device_t e second_devpts_t são criados para rotular os "tty devices"e os "pseudo tty devices" Agora que já criamos um novo domínio de usuário (second_t), criaremos um novo usuário para usá-lo. Criando um novo usuário (newuser) para o novo domínio criado: Com o próprio comando useradd, crie um novo usuário e o adicione a /etc/selinux/users, que só tenha acesso a regra second_r Execute o comando: make -C /etc/selinux load Para aplicar o policiamento: Deve-se configurar o domínio default para a nova regra, editando o arquivo /etc/security/default_type e adicionando a linha: second_r:second_t Agora é necessário rotular manualmente o arquivo /home/newuser, executando o seguinte co- mando: find /home/newuser | xargs chcon -h system_u:object_r: second_home_t ; chcon -h system_u:object_r:second_ home_dir_t /home/spike Agora que o novo usuário foi criado, tente fazer o login como sendo ele. 30
  • 32. CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF 5.1.3 Configurando contextos de segurança Configurando um contexto de segurança default Um contexto de segurança default deve ser associado às sessões de login. Para isso, acesse o arquivo /etc/security/default_context. A linha "system_r:local_login_t user_r:user_t"significa que quando um usuário faz o login local- mente, o programa /bin/login será executado no domínio local_login_t e será associada uma regra de usuário e um domínio de user_r e user_t respectivamente. A linha "system_r:sshd_t user_r:user_t"significa que todos que logarem via ssh serão associados ao usuário user_r:user_t role:domain. 5.2 Lição 5 - Regras 5.3 Alterando regras no SELinux Fornecendo um contexto de usuário no login: Bem, aqui supõe-se que o "reboot"na máquina já tenha sido feito. Ao instalar o pacote selinux- policy-default, os arquivos de policiamento foram instalados de modo a permitir que se realize o login no sistema como usuário default (caso não tenha adicionado novos usuários). Então, fazendo o login como root, o contexto de segurança será: root:user_r:user_t Assim, o id e seu contexto de segurança devem ser similares a: uid=0(root) gid=0(root) groups=0(root) context=root:user_r:user_t Existem duas maneiras para mudar para uma nova regra: 1) Ao fazer o login: Se um usuário está autorizado a entrar no domínio sysadm_t. Então basta que essa pessoa faça o login no terminal. Em "Your default context is faye:user_r:user_t. Do you want to choose a diffe- rent one? "selecione a opção desejada, e clique em enter [1]user:user_r:user_t [2]user:sysadm_r:sysadm_t Enter number of choice: Neste exemplo, o usuário user já tinha acesso a sysadm_r role e a sysadm_t domain. Assim, as opções que serão mostradas são somente aquelas que o usuário tem o acesso permitido. Assim, se o usuário user selecionar a opção 2, terá o contexto de segurança: context=faye:sysadm_r:sysadm_t, que significa que está na regra sysadm_r. 2) Com o comando newrole -r A sintaxe deste comando é: newrole -r regra Substitui-se "regra"pela nova regra desejada. Então será preciso entrar com a senha do usuário, que poderá ser verificada com o comando id. Porém, caso não seja possível que você altere a regra, será retornado algo como: user:sysadm_r:sysadm_t is not a valid context Esta mensagem significa que o usuário "user"não pode ter este contexto, porque não está auto- rizado. Após mudar regras, execute o comando id para verificar seu contexto de segurança. 31