www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brSELinuxTrabalho solicitado pel...
Tópicos abordados●Introdução– O que é Controle de Acesso?– Tipos de Controle de Acesso– DAC vs. MAC●O que é o SELinux ?●Br...
Controle de AcessoO Controle de Acesso tem a habilidade de permitir ou negar autilização de um objeto por um sujeito. O co...
Tipos de Controle deAcessoDiscretionary Access Control (DAC) é uma política de controle deacesso determinada pelo propriet...
Tipos de Controle deAcessoMandatory Access Control (MAC) a política de acesso édeterminada pelo sistema. Ele é composto de...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brDAC vs. MAC
O que é o SELinux?O Security-Enhanced Linux (SELinux) é uma implementação de umaflexível e refinada arquitetura Mandatory ...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brBreve HistóricoO SELinux foi o...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brBreve HistóricoA próxima etapa...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo funciona?SELinux utiliza ...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo funciona?
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brPor que utilizá-lo?A ideia do ...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?O SELinux já vem ...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?Via Terminal, bas...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?Via Central de Pr...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brModos de operaçãoSELinux tem t...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo configura?Para realizar a...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo configura?Para realizar a...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brFerramentas nativasExistem fer...
www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brReferênciasPIRANI, Deivis F. L...
Upcoming SlideShare
Loading in …5
×

Daniel Mota - SELinux

544 views
440 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
544
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Daniel Mota - SELinux

  1. 1. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brSELinuxTrabalho solicitado pelo Prof. Tarsio Cavalcante paraa disciplina Segurança em Sistemas de Informação.Por Daniel Mota e Maurício Cayres.
  2. 2. Tópicos abordados●Introdução– O que é Controle de Acesso?– Tipos de Controle de Acesso– DAC vs. MAC●O que é o SELinux ?●Breve Histórico●Como funciona?●Por que utilizá-lo?●Como instala?●Modos de operação●Como configura?●Ferramentas nativaswww.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.br
  3. 3. Controle de AcessoO Controle de Acesso tem a habilidade de permitir ou negar autilização de um objeto por um sujeito. O controle de acesso écomposto dos processos:●Autenticação, identifica quem acessa o sistema;●Autorização, determina o que um usuário autenticado podefazer;●Auditoria, diz o que o usuário fez.www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.br
  4. 4. Tipos de Controle deAcessoDiscretionary Access Control (DAC) é uma política de controle deacesso determinada pelo proprietário (owner) do recurso, onde oproprietário decide quem tem permissão e qual privilégio ele tem.O DAC tem dois conceitos importantes:●Todo objeto em um sistema deve ter um proprietário;●Direitos de acesso são estabelecidos pelo proprietário dorecurso.www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.br
  5. 5. Tipos de Controle deAcessoMandatory Access Control (MAC) a política de acesso édeterminada pelo sistema. Ele é composto de:●Rótulos de sensibilidade, define o seu nível de confiança, etodos os sujeitos e objetos devem ter rótulos associados.●Importação e exportação de dados, é uma função crítica quebusca garantir que os rótulos de sensibilidade sejammantidos e implementados de maneira apropriada.www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.br
  6. 6. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brDAC vs. MAC
  7. 7. O que é o SELinux?O Security-Enhanced Linux (SELinux) é uma implementação de umaflexível e refinada arquitetura Mandatory Access Control (MAC).O SELinux provê uma política de segurança sobre todos osprocessos e objetos do sistema baseando suas decisões emetiquetas contendo uma variedade de informações relevantes àsegurança.www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.br
  8. 8. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brBreve HistóricoO SELinux foi originalmente desenvolvido pela National SecurityAgency (NSA).Inicialmente a implementação do SELinux utilizava osidentificadores armazenado nos inodes do sistema de arquivosext2.Essa representação numérica era mapeada pelo SELinux comouma etiqueta do contexto de segurança.
  9. 9. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brBreve HistóricoA próxima etapa da evolução do SELinux foi um módulocarregável no Kernel 2.4 que armazenava os PSIDs em umarquivo normal fazendo com que suportasse mais sistemas dearquivos.Posteriormente o código do SELinux finalmente foi integrado aokernel 2.6 com total suporte por LSM e contendo atributos(xattrs) no sistema de arquivos ext3.
  10. 10. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo funciona?SELinux utiliza conceitos gramaticais para classificar os elementosem um sistema de segurança, sendo utilizados termos gramaticaiscomuns:●Os Sujeitos, são os processos de um sistema que executamações sobre os objetos.●Os objetos, são compostos por quaisquer elementos que sequeira proteger, como por exemplo arquivos, diretórios,sistemas de arquivos, etc.●As ações, são quaisquer operações que um sujeito queiraexecutar sobre um objeto, e estas são relativas ao tipo ouclasse que representa o objeto em questão.
  11. 11. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo funciona?
  12. 12. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brPor que utilizá-lo?A ideia do SELinux é restringir as permissões, de forma que cadaserviço ou aplicativo tenha permissão para realizar apenas astarefas a que é destinado.Isso impede que serviços vulneráveis sejam usados para obterprivilégios adicionais, como é comum em ataques.Sem o SELINUX Com o SELinux
  13. 13. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?O SELinux já vem instalado por padrão no Fedora Linux e noRedHat Enterprise Linux.O Ubuntu Linux usa por padrão o AppArmor, uma outraimplementação de Controle de Acesso baseado em MAC. Mas épossível instalar o SELinux e substituir o AppArmor. Para talexiste as formas:– Via Terminal– Via Central de Programas do Ubuntu
  14. 14. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?Via Terminal, basta abrir um terminal e digitar: sudo apt-getinstall selinux . O processo é bem simples e autoexplicativo.
  15. 15. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo instala?Via Central de Programasdo Ubuntu, pesquise porselinux. Em seguidaclique em Instalar.
  16. 16. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brModos de operaçãoSELinux tem três modos principais de operação:●Enforcing - impõe que deve cumprir a política carregada.●Permissive - carrega a política, mas não obriga cumpri-la. Issogeralmente é usado para testes e verificar o log de auditoria.●Disabled - A infra-estrutura SELinux não é carregada no kernel.
  17. 17. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo configura?Para realizar a configuração básica e ativar o modo Enforcing deve-se editar o arquivo de configuração do SELinux, que encontra-sena pasta /etc/selinux/ e possui o nome config.Em seu conteúdo há as variáveis:●SELINUX=permissive # Controla o estado do SELinux no sistema●SELINUXTYPE=ubuntu # Políticas que devem ser carregadas●SETLOCALDEFS=0 # Verifica alterações locaisObs: Para validar a configuração, é preciso reiniciar o sistema.
  18. 18. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brComo configura?Para realizar a configuração em tempo de execução do sistemaoperacional basta digitar o comando, como root:●setenforcing 0 | 1 # Onde: 0 = permissive e 1 = enforcingPara visualizar o status da configuração em tempo de execuçãodo sistema operacional basta digitar o comando, como root:●getenforcing●sestatus
  19. 19. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brFerramentas nativasExistem ferramentas do SELinux que auxiliam e permitem aalteração e criação de políticas. Como exemplos podem sercitadas:●audit2allow: gera regras de permissão na política à partir delogs de operações negadas.●audit2why: traduz mensagens de logs de operações negadas●semodule: gerencia módulos da política●semanage: configura elementos da política●chcon: altera o contexto de segurança de um objeto
  20. 20. www.danielmota.com.brwww.danielmota.com.brwww.mauriciocayres.com.brwww.mauriciocayres.com.brReferênciasPIRANI, Deivis F. Linux com Segurança Aprimorada – SELinux. Disponível em: <http://www.deivis.eti.br/blog/?p=46>. Acesso em 13 de julho de 2012.MORIMOTO, Carlos E. Guia do Fedora - Firewall e SELinux. Disponível em: <http://www.hardware.com.br/guias/fedora/firewall-selinux.html>. Acesso dia 07 de julho de 2012.MCALLISTER, Murray; RADVAN, Scott; WALSH, Daniel; GRIFT, Dominick; PARIS, Eric; MORRIS, James.Fedora 13 - Security-Enhanced Linux User Guide. Edition 1.5. Disponível em: <http://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/>. Acesso dia 07 de julho de2012_______, SELinux - Main Page. Disponível em: <http://selinuxproject.org/page/Main_Page>. Acesso em10 de julho de 2012.SOUZA, Maria Angélica L. De; ROSA, Rafael Pereira. Controle de Acesso e SELinux. Disponível em: <http://www.lsd.ic.unicamp.br/mo806/index.php/SELinux>. Acesso em 13 de julho de 2012.VIEIRA, Luiz. SELinux – Security Enchanced Linux. Disponível em: <http://www.vivaolinux.com.br/artigo/SELinux-Security-Enhanced-Linux>. Acesso dia 07 de julho de 2012.WALSH, Dan. What’s new in SELinux for Red Hat Enterprise Linux 5? Disponível em: <http://magazine.redhat.com/2007/05/04/whats-new-in-selinux-for-red-hat-enterprise-linux-5/>. Acesso dia07 de julho de 2012.

×