Custom SELinux Policy Modules

Sudo Friday SELinux
  Wander Boessenkool

Bij veel bedrijven draaien er naast de standaard software die door de OS leverancier is aangeleverd ook custom applicaties op de servers. Soms zijn deze in huis geschreven, soms zijn deze door een andere leverancier aangeleverd. Maar in beide gevallen is de kans klein dat deze services al restricties opgelegd hebben gekregen via een SELinux policy.

Het is gelukkig mogelijk om zelf policy modules te schrijven die de bestaande SELinux policy uitbreiden met extra types en regels voor je custom applicaties. Hoever je wilt gaan in het opleggen van restricties is aan jou.

In deze video laat Wander de basis zien van het maken van zo’n module, met tools die meegeleverd worden met je systeem. Hiermee genereer je niet alleen een custom policy module, maar zelfs en RPM pakket dat de module kan installeren en activeren op andere systemen.

Gerelateerde posts

Back to Basics: SELinux 101

In wat recente videos hebben we gekeken naar SELinux troubleshooting en policy queries, zonder de basis van SELinux te behandelen. Nu hebben we de basis meer dan twee jaar geleden behandeld in een serie videos, maar het is wel weer tijd voor een opfrisser.

Beyond the Basics: SELinux Policy Queries

Op een RHEL systeem is standaard een SELinux policy (meestal targeted) actief die bepaalt wat services wel, maar vooral ook niet, mogen doen. In principe is alles wat niet expliciet is toegestaan verboden, maar wat er nou precies is toegestaan is voor veel beheerders een enigma. Gelukkig zijn er tooltjes waarmee je een SELinux policy kunt uitlezen om te zien wat er nou precies allemaal inzit, zonder naar de source van de policy te hoeven grijpen. Een bijkomend voordeel van je draaiende systeem uitlezen is dat eventueel geladen modules en extensies ook uitgelezen worden.

Back to Basics: SELinux Troubleshooting

Iedere beheerder die RHEL(-familie) systemen beheert is wel eens tegen een probleem aangelopen waarbij SELinux iets aan het tegenhouden was dat eigenlijk niet tegengehouden had moeten worden. Dan kun je zelf de SELinux log files induiken (/var/log/audit/audit.log), maar je kunt ook andere tooltjes daar naar laten kijken voor je, om wat leesbaardere output te krijgen.