Installation

Noyau
  • linux-2.4.16.tar.bz2
  • lsm-full-2001_12_10-2.4.16.patch.gz
  • selinux-2001121010.patch.gz + mise à jour décrire dans la documentation de selopt
  • selopt-0.06/patches/diff-kernel.txt
Applications (avec patches spécifiques à SE Linux)
  • fileutils
    • chcon
    • cp --context=CONTEXT --sid=SID
    • install --preserve_context --context=CONTEXT --sid=SID
    • ls --lsid --lcontext --context --scontext
    • mkdir --context=CONTEXT --sid=SID
    • mkfifo --context=CONTEXT --sid=SID
    • mknod --context=CONTEXT --sid=SID
  • findutils
    • find -scontext CONTEXT -sid SID -printf '%C %S'
  • logrotate
    • Reprend le même SID à la création de nouveaux fichiers.
  • openssh
    • Crée une nouvelle session pour l'usager à l'aide de get_default_user_sid() et execve_secure().
    • Change le contexte de sécurité du tty utilisé à l'aide de get_default_user_sid(), security_change_sid() et chsid().
  • procps
    • ps --context --SID --secsid --sort context,secsid
  • psmisc
    • killall -c CONTEXT -s SID
    • pstree -x CONTEXT -s SID
  • sh-utils
    • id --context --sid
    • runas
  • stat
    • Utilise stat_secure() et imprime une ligne supplémentaire avec le SID et le contexte.
  • tar
    • tar --include--contexts --preserve-contexts --show-contexts
    • Utilise lstat_secure() et tente d'écrire des blocs de contextes de sécurité dans l'archive (nommés ././@Context). À la lecture, tente d'utiliser lchsid.
  • util-linux (login)
    • Crée une nouvelle session pour l'usager à l'aide de get_default_user_sid() et execvp_secure().
    • Change le contexte de sécurité du tty utilisé ou des vcs et vcsa utilisés à l'aide de get_default_user_sid(), security_change_sid() et chsid().
    • Produit des messages de log incluant le contexte de sécurité.
  • vixie-cron
    • Utilise le nom d'usager system_u plutôt que *system*.
    • Exécute les tâches à l'aide de get_default_user_sid() et execle_secure().
    • Effectue une vérification à l'aide de security_compute_av().
  • SE Linux utils
    • newrole -r ROLE -t TYPE -- shell_args
    • run_init
    • spasswd
Systèmes de fichiers
  • Programme setfiles.
  • Fichier de configuration file_contexts : chaque ligne se compose d'une expression régulière à comparer à des noms de fichiers complets, d'un type de fichier (1re colonne de ls -l ; optionnel) et d'un contexte de sécurité (ou <<none>>).
  • Répertoire ...security à la base de chaque système de fichiers.
Modes de test et de production
Initialement, un système SE Linux roule dans un mode de test dans lequel les vérifications de sécurité sont effectuées mais ne sont pas mises en application. Seuls des avertissement sont imprimés à la console et envoyés à syslog. Pour passer en mode de production, il faut se servir d'un utilitaire nommé avc_toggle. Il n'est possible de revenir en mode de test que si la politique de sécurité a été configurée pour permettre à avc_toggle de refaire le passage en sens inverse à partir d'un contexte de sécurité réservé à cette fin et si l'on possède encore un processus (typiquement un shell) qui se trouve dans ce contexte.
plan de la présentation
Linux-Québec Recherches Ericsson Canada