List and identify SELinux file and process context:

Tal como referido anteriormente todos os processos num sistema que suporte SELinux têm uma própria etiqueta\label que identifica as restrições de acessos aos mesmos, onde apesar de raiz estes estarem devidamente bem definidos é possível para o administrador de sistema visualizar e alterar como pretender estas labels, podendo personalizar de forma mais granular os acessos aos ficheiros\diretórios\processos.

Podemos analisar as diferentes labels definidas nos ficheiros passando a opção “-Z”ao comando ls. Esta opção mostra ao utilizador quais as labels que estão atribuídas aos ficheiros naquele momento:

# ls -Z Ficheiro
    unconfined_u:object_r:user_home_t:s0 Ficheiro

Aqui podemos ver a estrutura da label que foi previamente referida, contudo vamos analisar a mesma agora em mais detalhe.

Cada etiqueta é composta por 4 campos separados por pontos e virgulas, em primeiro temos a identificação do utilizador, sendo que por default é atribuído a opção “unconfined_u”, de seguida temos o papel ou o propósito do ficheiro em questão e aqui mais uma vez temos a opção default “object_r”, ao lado temos o tipo (de notar que este tipo é sempre adquirido pendente a localização do ficheiro, dado que este tipo é herdado da diretoria pai), no nosso exemplo acima o ficheiro foi criado na Home do utilizador portanto, tem o tipo “user_home_t”, finalmente temos o nível do ficheiro que representa o nível de segurança que deve ser atribuída a esse mesmo ficheiro, esta opção é um pouco complexa sendo que apenas em ambientes de segurança máxima é que é requerido ao administrador personalizar estes campos, contudo pode ser percebido que tal como no exemplo acima a opção “s0” é o nível mais baixo de segurança.

Para o utilizador ver as labels que estão atribuídas a processos pode também passar a opção “-Z”no utilitário ps, de forma a listar as mesmas:

# ps -Z
    LABEL PID TTY TIME CMD
    unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2189 pts/0 00:00:00 bash
    unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3360 pts/0 00:00:00 ps

Para o RHCSA, não será solicitado em grande detalhe a personalização destas labels, contudo é essencial saber identificar as mesmas de forma a mais fácil despistar possíveis dificuldades que surjam durante o exame.

No tópico à frente vamos abordar uma técnica que permite ao administrador repor as configurações defaults dos ficheiros, permitindo ultrapassar dificuldades relacionadas com processos não conseguirem aceder a certos ficheiros, estando os mesmo nas diretorias devidas.

PreviousSet enforcing and permissive modes for SELinux:NextRestore default file contexts:

Last updated

Was this helpful?