aplica rótulos de segurança apropriados durante a restauração do sistema de arquivos

1

Ao restaurar um sistema de arquivos em um sistema separado (ou seja, possivelmente um sistema diferente daquele em que o sistema de arquivos foi originalmente montado e em uso), gostaria de aplicar as etiquetas de segurança corretas aos arquivos que estão sendo restaurados. / p>

Existem algumas facetas para esta consulta:

  1. Se possível, eu gostaria de aplicar o rótulo apropriado para cada arquivo como ele restaura (em oposição a fazer a restauração seguido por um passe com ferramentas SELinux para aplicar separadamente os rótulos ).

  2. É possível que o sistema operacional de restauração seja diferente do SO que hospedou originalmente o sistema de arquivos que está sendo restaurado.

  3. Se (1) é possível, posso de alguma forma apontar a ferramenta de restauração em um conjunto diferente de contextos de arquivos do que o padrão do sistema operacional restaurador (por exemplo, / etc / selinux / targeted / contextts / files / file_contextts) - ou anular qualquer informação de contexto de segurança que possa estar associada ao arquivo. Veja também (5).

  4. Semelhante a (2), quão "diferente" pode ser o SO de restauração do que o SO de destino? Ou seja, em que ponto as diferentes versões do kernel (por exemplo, o Linux 2.6 na restauração do sistema operacional versus 4.4 do sistema operacional de destino), sistemas de arquivos diferentes ou diferentes userland (por exemplo, ferramentas libc & selinux) têm um impacto? Existem regras gerais que se aplicam a restaurações "de versão cruzada" (por exemplo, garantias da API / ABI de uma versão principal do sistema operacional para outro tipo de pesquisa de compatibilidade avançada / retroativa).

  5. Por mais que se queira preservar as permissões clássicas do unix & propriedade de arquivo & Atributos de arquivo estendidos, pode-se desejar preservar o contexto de segurança original dos arquivos que estão sendo restaurados. Muitas ferramentas de backup [1] podem incorporar a propriedade de arquivo, mas provavelmente a maioria não tem extensões para preservar o contexto de segurança (tornando assim mais fácil a restauração do contexto durante a restauração) - talvez haja algum? O contexto de segurança não precisa ser embutido no arquivo - ele pode ser salvo "fora da banda" em um arquivo ou arquivos que podem ser preservados junto com o próprio arquivo.

Esta questão é colocada principalmente na implementação do SELinux, mas geralmente se aplica a outras estruturas de segurança (como MAC e Capsicum). Informações relacionadas aplicáveis a outras estruturas de segurança também são úteis.

A questão também é estruturada em torno da restauração de um sistema de arquivos, mas geralmente se aplica à restauração de uma imagem de backup que não é necessariamente de um sistema de arquivos - pode ser apenas uma hierarquia de arquivos que faz parte de um sistema de arquivos. Às vezes, a distinção é importante porque diferentes ferramentas de backup têm recursos diferentes em relação ao armazenamento (e extração) de algumas informações estendidas sobre o conteúdo do arquivo.

[1] A questão também é aplicável às ferramentas dump (8) / restore (8), mas também pode se aplicar a outras ferramentas, como tar (1) & opções baseadas no libarchive (3).

Os formatos RPM recentes têm algum suporte para incorporar informações de política de segurança. Eu não olhei para ele com muito detalhe, pois não é realmente uma ferramenta de backup de propósito geral. Talvez eu deva começar a fazer o backup com o RPM? < / piada >

    
por Juan 06.02.2016 / 21:37

0 respostas