selinux permissive e type targeted

1

eu estou correndo centos 6.2

Recentemente notei que o apache estava rodando com o selinux habilitado

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=Permissive
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

notei que esses erros estavam chegando no dmesg

type=1400 audit(1354453732.704:9056368): avc:  denied  { name_connect } for  pid=39006 comm="httpd" dest=11211 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:memcache_port_t:s0 tclass=tcp_socket
type=1400 audit(1354453735.777:9056369): avc:  denied  { name_connect } for  pid=39046 comm="httpd" dest=6379 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

eu então ativo

 /usr/sbin/setsebool httpd_can_network_connect=1

e isso parou os erros e as páginas da web começaram a funcionar.

A minha pergunta é se o selinux está no modo permissivo, o selinuxtype = target reforce todas as políticas?

se não como resolveu o problema com o apache já que o selinux já estava em modo permissivo?

    
por krisdigitx 02.12.2012 / 15:41

2 respostas

2

No modo permissivo, o SElinux registrará os itens que resultariam em negação de acesso no modo de imposição, mas não negarão essas ações. Portanto, não, não aplicará políticas no modo permissivo, mas consultará essas políticas. Se você estivesse no modo enforcing, você não teria sido capaz de iniciar / usar o httpd até ter emitido o comando setsebool, já que o link entre ele e uma conexão de rede teria sido evitado pelo SELinux.

    
por 04.12.2012 / 18:49
0

Como já foi respondido por John, o SELinux apenas registra os erros, em vez de bloquear os serviços.

Usamos o SElinux em cenários em que gostaríamos de testar as coisas antes de implementá-las na produção e gostaríamos de entender o que tudo poderia dar errado.

Embora você possa testar o mesmo na produção também, e continue corrigindo as políticas até o momento em que tiver certeza de que tudo está em vigor e, mais tarde, altere o modo para segmentado.

    
por 04.12.2012 / 18:58