Acesse a biblioteca de conteúdos da Red Hat
Controle de acesso discricionário (DAC) e controle de acesso obrigatório (MAC)
Tradicionalmente, os sistemas Linux e UNIX usavam o DAC. O SELinux é um exemplo de sistema MAC para Linux.
No DAC, os arquivos e processos têm proprietários. Um arquivo pode ter um usuário, um grupo ou outro elemento como proprietário. Os usuários podem alterar as permissões nos próprios arquivos.
Em um sistema DAC, o usuário raiz tem controle de acesso total. Com o acesso raiz, é possível acessar os arquivos de todos os usuários e executar qualquer ação no sistema.
No entanto, em sistemas MAC como o SELinux, há uma política de acesso administrativo definida. Mesmo que as configurações do DAC sejam alteradas no diretório de usuário, para manter o sistema seguro, basta ter uma política do SELinux em vigor que impeça o acesso de outro usuário ou processo ao diretório.
As políticas do SELinux podem ser específicas e abranger um grande número de processos. Você pode fazer alterações no SELinux para limitar o acesso entre usuários, arquivos, diretórios e mais.
Como resolver erros do SELinux
Quando você recebe um erro no SELinux, isso indica que algo precisa ser ajustado. Provavelmente, será um destes quatro problemas:
- Os rótulos estão errados. Se for este o caso, use as ferramentas para corrigir os rótulos.
- Uma política precisa ser corrigida. Talvez você precise informar o SELinux sobre uma mudança feita ou ajustar uma política. Para isso, use booleanos ou módulos de política.
- Há um erro na política. Neste caso, o erro precisa ser resolvido.
- O sistema foi comprometido. Embora o SELinux proteja seus sistemas em vários cenários, ainda existe a possibilidade de que um deles seja corrompido. Se você suspeitar de que esse é o caso, tome medidas imediatamente.
O que são booleanos?
Os booleanos são configurações que ativam ou desativam as funções no SELinux. Há centenas de definições para recursos do SELinux, muitas delas já predefinidas. Execute getsebool -a para localizar os booleanos configurados no seu sistema.
A Red Hat pode ajudar
O Red Hat Enterprise Linux é a principal plataforma open source Linux do mundo. Ela permite que você reduza riscos, reforce políticas e configurações de segurança e simplifique estratégias de conformidade.
No Red Hat Enterprise Linux, as funções do sistema são uma coleção de Ansible® roles que oferecem fluxos de trabalho consistentes para aperfeiçoar a execução de tarefas manuais. As funções do sistema ajudam a automatizar os fluxos de trabalho de segurança, mantê-los ao longo do tempo com recursos mínimos e em grande escala, além de simplificarem os requisitos de governança e conformidade. Com a função do sistema SELinux, você pode automatizar a implantação e o gerenciamento do SELinux. Isso inclui:
- Ativar o SELinux com modos obrigatório ou permissivo para garantir a consistência dos controles.
- Personalizar booleanos de política SELinux, contextos de arquivo, portas e logins para atender aos seus requisitos.
- Utilizar a função do sistema para reconciliar contextos de arquivo nos diretórios ou arquivos especificados.
Red Hat Enterprise Linux 10
Descubra como o Red Hat Enterprise Linux 10 enfrenta os desafios mais críticos da TI moderna, desde a carência de habilidades em Linux até a segurança pós-quântica.
