Gentoo Logo

Renuncia de responsabilidad: Este documento ya no es válido y carece de soporte.


[ << ] [ < ] [ Inicio ] [ > ] [ >> ]


7. Historial de cambios

Contenido:

7.a. Introducción

Acerca de este documento

Este documento ofrece una vista rápida de todos los cambios en SELinux documentados y que se han realizado en fechas particulares y que por tanto pueden ser de importancia para los usuarios hagan un seguimiento de los mismos.

Los cambios que únicamente afectan a los usuarios con instalaciones de prueba (~arch) se documentarán abajo y se moverán más arriba en el documento cuando se realice su estabilización. Sin embargo, es posible que estos cambios se "corrijan" de forma automática y por tanto se eliminen de esta página.

7.b. Vista rápida de los cambios para usuarios de instalaciones estables

19/04/2013 - Presentar la orden selocal

Con la aparición de policycoreutils-2.1.13-r11 y versiones posteriores, se dispone de una nueva orden llamada selocal. Esta orden permite a los usuarios añadir fácilmente a la directriz local, reglas de directriz SELinux adicionales sin tener que realizar la tarea de mantener y construir sus propios ficheros .te. En lugar de eso, esta orden hace todo el trabajo.

Las reglas que se añaden a la directriz local (de ahí su nombre, selocal) se pueden acompañar de un pequeño comentario para que los usuarios describan porqué realizan determinado cambio (o para hacer referencia a un identificador de incidencia en el bugzilla de Gentoo).

Listado de Código 2.1: Añadir una regal a la directriz local

# selocal -a "rpcbind_stream_connect(sysadm_t)" -c "Permitir las llamadas a a exportfs (NFS)"
# selocal --build --load

Con --list se muestran las reglas que se han añadido a la directriz local, y con --delete se pueden eliminar de la directriz local. Cuando quiera que los cambios tengan efecto, ejecute selocal --build --load para construir la nueva directriz local y cargarla en memoria.

16/04/2013 - Presentar el guión de inicio selinux_gentoo

Con el paquete policycoreutils-2.1.13-r8 y los posteriores, ofrecemos nuestro propio guión de inicio selinux_gentoo, el cual incluye el soporte necesario para los usuarios con initramfs en sus sistemas, también reinicia los contextos de los recursos generados dinámicamente (en pseudo sistemas de ficheros) que son distintos de los ajustes por defecto.

El primer usuario a tener en cuenta es /sys/devices/system/cpu/online el cual obtiene labeled cpu_online_t (desde la revisión 13 de la directriz SELinux, o cuando se están utilizando ebuilds live para la directriz).

El guión de inicio también restaurará por defecto los contextos de todos los dispositivos /dev (a menos que el sistema se inicie con la opción norestorecon) y cambiará al modo forzado (enforcing) si /etc/selinux/config tiene definido SELINUX=enforcing y el usuario inició el sistema con enforcing=0 (a menos que inicie con la opción nosetenforce).

Esto significa que ahora se recomienda a los usuarios que añadan este guión al nivel de ejecución boot:

Listado de Código 2.2: Añadir selinux_gentoo al nivel de ejecución

# rc-update add selinux_gentoo boot

04/12/2012 - Presentar USE=unconfined

A partir de la versión selinux-base-2.20120725-r9, se da soporte al ajuste USE=unconfined. Cuando éste se habilita, configurará su directriz SELinux para dar soporte a dominios no confinados. Si su directriz es targeted, este comportamiento estará implícito, mientras que la directriz strict no considerará este ajuste USE de ningún modo (no activará dominios no confinados en strict).

El soporte de este ajuste USE, nos permite diferenciar entre dominios no confinados y dominios regulares cuando utilizamos los tipos de directriz mls o mcs. Cuando está definido, se construirá también el paquete selinux-unconfined, y el módulo se cargará, e igualmente, se actualizará el fichero de directriz seusers (el cual contiene los mapeas de los dominios por defecto para los usuarios) para utilizar el usuario SELinux unconfined_u para root y otros usuarios.

16/08/2012 - Añadir el rol system_r a los administradores

Desde la versión selinux-base-2.20120725-r3 y en las posteriores, los guiones de inicio ahora ofrecen soporte al enfoque "etiquetado" (labeled) del guión de inicio ofrecido por el equipo de desarrollo principal. Esto implica que los servicios cuyo guión de inicio siguen la convención de nombres <domain>_initrc_exec_t se pueden asignar ahora a usuarios específicos (permitiendo a éstos gestionar servicios sin necesidad de concederles privilegios de administración del sistema).

Lo malo de este enfoque es que el propio administrador del sistema (que utiliza el dominio sysadm_t) ahora necesita que se le conceda el privilegio de gestionar esos servicios. Y el hecho de concederle este privilegio implica que el usuario SELinux (sea root o staff_u) necesita que se le conceda el rol system_r:

Listado de Código 2.3: Conceder el rol system_r

# semanage user -m -R "staff_r sysadm_r system_r" root
# semanage user -m -R "staff_r sysadm_r system_r" staff_u

24/06/2012 - Definición de /run en fstab

Se necesita montar la localización /run con el contexto var_run_t. Para hacer esto, se debe modificar /etc/fstab según las instrucciones dadas en Ajustar los contextos del sistema de ficheros.

26/05/2012 - Soporte de initramfs

Los usuarios que inician su sistema con un initramfs necesitarán iniciar en primer lugar en modo permisivo, y a continuación cambiar a modo forzado. Esto se puede realizar de forma automática utilizando un guión de inicio, tal y como se documenta en Usuarios de Initramfs.

26/05/2012 - Soporte para gestores gráficos de ingreso en el sistema

Los usuarios que inicien en un entorno gráfico (como GDM) tendrán que editar sus ficheros de configuración PAM de forma adecuada para dar soporte a las definiciones de contexto de seguridad de SELinux. Esto está documentado en Usuarios de entornos gráficos.

18/05/2012 - Ya no es necesario configurar sandbox

La edición previa de la documentación de /etc/sandbox.conf para permitir la escritura abierta de /sys/fs/selinux/context se puede eliminar ya que el perfil de SELinux lo hace ahora de forma automática.

29/04/2012 - No es necesario editar los guiones lvm-start/stop

Cuando el usuario instala las nuevas directrices estables 2.20120215, la edición documentada de /lib/rcscripts/addons/lvm-st*.sh ya no es necesaria.

21/02/2012 - La línea de montaje /dev en fstab ya no es necesaria

La documentación previa de la línea de montaje /dev mount in /etc/fstab ya no es necesaria ya que util-linux-2.20.1-r1 se ha marcado como estable (la cual ya contiene la corrección correcta).

10/12/2011 - Depreciación de los perfiles selinux/v2refpolicy/*

Los antiguos perfiles de SELinux (los que comienzan por selinux/v2refpolicy) ya no tienen soporte. Se recomienda encarecidamente a los usuarios que cambien a los nuevos perfiles (los que terminan en /selinux).

22/07/2011 - Introducción del soporte para MLS/MCS

Actualmente ofrecemos soporte para MLS y MCS, para los tipos de directriz SELinux targeted y strict SELinux. Cuando utilice MLS o MCS, necesitará actualizar la entrada /tmp en su /etc/fstab para que utilice rootcontext=system_u:object_r:tmp_t:s0 (observe el :s0 al final).

7.c. Vista rápida para los usuarios de instalaciones de prueba (~Arch)

07/07/2013 - Presentar el soporte para mcstrans

Cuando la directriz SELinux está habilitada para MLS (MCS o MLS), entonces tenemos la opción de gestionar las categorías. Las categorías nos permiten "etiquetar" recursos y asegurarnos de que solo los procesos que tienen el conjunto categoría asignado a ellos, pueden leer o manipular los recursos.

Para SELinux, las categorías son números que comienzan por c0 (categoría cero) hasta el máximo que se utilice en la directriz:

Listado de Código 3.1: Comprobar el número máximo de categorías

$ seinfo | grep Categories
  Sensitivities:      1   Categories:       1024

Sin embargo, para la mayoría de los adminstradores, esto no es muy eficiente. Para dar soporte a formatos más legibles por los humanos. SELinux ofrece soporte a traducciones de categorías (e incluso a traducciones sensibles). Dentro de un fichero de configuración (setrans.conf en el directorio principal de configuración, como /etc/selinux/mcs) los administradores pueden introducir conjuntos comunes sensibles y rangos. La herramienta chcat se puede utilizar entonces para listar éstos:

Listado de Código 3.2: Listar las traducciones de los rangos de sensibilidad

# chcat -L
s0                             SystemLow
s0-s0:c0.c1023                 SystemLow-SystemHigh
s0:c0.c1023                    SystemHigh

Par habilitar estas traducciones, cree el fichero de traducción apropiado (del cual puede encontrar numerosos ejemplos en /usr/share/doc/policycoreutils-*/mcstrans) y a continuación arranque el serviciomcstransd.

Listado de Código 3.3: Arrancar el servicio mcstransd

# rc-service mcstransd start

Eso es todo, si ahora miramos a los contextos, veremos los rangos traducidos.

Listado de Código 3.4: Listar contextos para ver los rangos traducidos

# ls -lZ seusers
-rw-r--r--. root root system_u:object_r:selinux_config_t:SystemLow seusers

[ << ] [ < ] [ Inicio ] [ > ] [ >> ]


Imprimir

Ver completo

Página actualizada 16 de agosto, 2013

Sumario: A medida que la documentación evoluciona con la tecnología, este manual sufrirá sus cambios correspondientes. Para permitir a los usuarios que ya utilizand SELinux, verificar si hay cambios de los que necesitan tener conocimiento, este capítulo muestra la lista de cambios en orden cronológico.

Chris PeBenito
Autor

Sven Vermeulen
Autor

Chris Richards
Autor

José María Alonso
Traductor

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.