|
[ << ] [ < ] [ Inicio ] [ > ] [ >> ] 7. Historial de cambiosContenido:
Este documento ofrece una vista rápida de todos los cambios en SELinux documentados y que se han realizado en fechas particulares y que por tanto pueden ser de importancia para los usuarios hagan un seguimiento de los mismos. Los cambios que únicamente afectan a los usuarios con instalaciones de prueba (~arch) se documentarán abajo y se moverán más arriba en el documento cuando se realice su estabilización. Sin embargo, es posible que estos cambios se "corrijan" de forma automática y por tanto se eliminen de esta página. 7.b. Vista rápida de los cambios para usuarios de instalaciones estables 16/04/2013 - Presentar el guión de inicio selinux_gentoo Con el paquete policycoreutils-2.1.13-r8 y los posteriores, ofrecemos nuestro propio guión de inicio selinux_gentoo, el cual incluye el soporte necesario para los usuarios con initramfs en sus sistemas, también reinicia los contextos de los recursos generados dinámicamente (en pseudo sistemas de ficheros) que son distintos de los ajustes por defecto. El primer usuario a tener en cuenta es /sys/devices/system/cpu/online el cual obtiene labeled cpu_online_t (desde la revisión 13 de la directriz SELinux, o cuando se están utilizando ebuilds live para la directriz). El guión de inicio también restaurará por defecto los contextos de todos los dispositivos /dev (a menos que el sistema se inicie con la opción norestorecon) y cambiará al modo forzado (enforcing) si /etc/selinux/config tiene definido SELINUX=enforcing y el usuario inició el sistema con enforcing=0 (a menos que inicie con la opción nosetenforce). Esto significa que ahora se recomienda a los usuarios que añadan este guión al nivel de ejecución boot:
04/12/2012 - Presentar USE=unconfined A partir de la versión selinux-base-2.20120725-r9, se da soporte al ajuste USE=unconfined. Cuando éste se habilita, configurará su directriz SELinux para dar soporte a dominios no confinados. Si su directriz es targeted, este comportamiento estará implícito, mientras que la directriz strict no considerará este ajuste USE de ningún modo (no activará dominios no confinados en strict). El soporte de este ajuste USE, nos permite diferenciar entre dominios no confinados y dominios regulares cuando utilizamos los tipos de directriz mls o mcs. Cuando está definido, se construirá también el paquete selinux-unconfined, y el módulo se cargará, e igualmente, se actualizará el fichero de directriz seusers (el cual contiene los mapeas de los dominios por defecto para los usuarios) para utilizar el usuario SELinux unconfined_u para root y otros usuarios. 16/08/2012 - Añadir el rol system_r a los administradores Desde la versión selinux-base-2.20120725-r3 y en las posteriores, los guiones de inicio ahora ofrecen soporte al enfoque "etiquetado" (labeled) del guión de inicio ofrecido por el equipo de desarrollo principal. Esto implica que los servicios cuyo guión de inicio siguen la convención de nombres <domain>_initrc_exec_t se pueden asignar ahora a usuarios específicos (permitiendo a éstos gestionar servicios sin necesidad de concederles privilegios de administración del sistema). Lo malo de este enfoque es que el propio administrador del sistema (que utiliza el dominio sysadm_t) ahora necesita que se le conceda el privilegio de gestionar esos servicios. Y el hecho de concederle este privilegio implica que el usuario SELinux (sea root o staff_u) necesita que se le conceda el rol system_r:
24/06/2012 - Definición de /run en fstab Se necesita montar la localización /run con el contexto var_run_t. Para hacer esto, se debe modificar /etc/fstab según las instrucciones dadas en Ajustar los contextos del sistema de ficheros. 26/05/2012 - Soporte de initramfs Los usuarios que inician su sistema con un initramfs necesitarán iniciar en primer lugar en modo permisivo, y a continuación cambiar a modo forzado. Esto se puede realizar de forma automática utilizando un guión de inicio, tal y como se documenta en Usuarios de Initramfs. 26/05/2012 - Soporte para gestores gráficos de ingreso en el sistema Los usuarios que inicien en un entorno gráfico (como GDM) tendrán que editar sus ficheros de configuración PAM de forma adecuada para dar soporte a las definiciones de contexto de seguridad de SELinux. Esto está documentado en Usuarios de entornos gráficos. 18/05/2012 - Ya no es necesario configurar sandbox La edición previa de la documentación de /etc/sandbox.conf para permitir la escritura abierta de /sys/fs/selinux/context se puede eliminar ya que el perfil de SELinux lo hace ahora de forma automática. 29/04/2012 - No es necesario editar los guiones lvm-start/stop Cuando el usuario instala las nuevas directrices estables 2.20120215, la edición documentada de /lib/rcscripts/addons/lvm-st*.sh ya no es necesaria. 21/02/2012 - La línea de montaje /dev en fstab ya no es necesaria La documentación previa de la línea de montaje /dev mount in /etc/fstab ya no es necesaria ya que util-linux-2.20.1-r1 se ha marcado como estable (la cual ya contiene la corrección correcta). 10/12/2011 - Depreciación de los perfiles selinux/v2refpolicy/* Los antiguos perfiles de SELinux (los que comienzan por selinux/v2refpolicy) ya no tienen soporte. Se recomienda encarecidamente a los usuarios que cambien a los nuevos perfiles (los que terminan en /selinux). 22/07/2011 - Introducción del soporte para MLS/MCS Actualmente ofrecemos soporte para MLS y MCS, para los tipos de directriz SELinux targeted y strict SELinux. Cuando utilice MLS o MCS, necesitará actualizar la entrada /tmp en su /etc/fstab para que utilice rootcontext=system_u:object_r:tmp_t:s0 (observe el :s0 al final). 7.c. Vista rápida para los usuarios de instalaciones de prueba (~Arch) 19/04/2013 - Presentar la orden selocal Con la aparición de policycoreutils-2.1.13-r11 y versiones posteriores, se dispone de una nueva orden llamada selocal. Esta orden permite a los usuarios añadir fácilmente a la directriz local, reglas de directriz SELinux adicionales sin tener que realizar la tarea de mantener y construir sus propios ficheros .te. En lugar de eso, esta orden hace todo el trabajo. Las reglas que se añaden a la directriz local (de ahí su nombre, selocal) se pueden acompañar de un pequeño comentario para que los usuarios describan porqué realizan determinado cambio (o para hacer referencia a un identificador de incidencia en el bugzilla de Gentoo).
Con --list se muestran las reglas que se han añadido a la directriz local, y con --delete se pueden eliminar de la directriz local. Cuando quiera que los cambios tengan efecto, ejecute selocal --build --load para construir la nueva directriz local y cargarla en memoria. [ << ] [ < ] [ Inicio ] [ > ] [ >> ] El contenido de este documento, a no ser que se especifique expresamente, está registrado bajo los términos de la licencia CC-BY-SA-2.5. Se aplican las Pautas de Utilización del logotipo y nombre de Gentoo. |
|