Установка SELinux

Так как SELinux – это не полноценный дистрибутив, а видоизмененное ядро с набором патчей для некоторых приложений и утилиты, обеспечивающие работу в новом окружении, поэтому первоначально необходимо иметь уже установленную Linux-систему. В качестве базового может использоваться практически любой дистрибутив со стандартным размещением конфигурационных файлов. Я для установки использовал CRUX (http://crux.nu) – легкий, i686 оптимизированный дистрибутив, рассчитанный на подготовленного пользователя, имеющий удобную систему пакаджей и портов, подобную FreeBSD, и в базовом составе не содержащий ничего лишнего, но имеющий все необходимое для установки SELinux. И к тому же при установке CRUX все равно приходится самостоятельно собирать ядро. Теперь по адресу http://www.nsa.gov/selinux/src-disclaim.html выбираем необходимые пакеты. Советую скачать сразу все необходимое, т.е. LSM-патченное ядро, модули ядра SELinux, набор файлов политик, необходимые программы управления доступом и основные утилиты (ps, cp, find, id, ls, mkdir) с поддержкой режимов работы SELinux. Все это доступно одним архивом, помеченным на сайте единицей. Хотя можно попробовать самому пропатчить ядро и установить необходимые утилиты, но это займет больше времени.

Перед установкой необходимо убедиться, что файловая система отформатирована как ext2 или ext3, установлены необходимые сервисы (Apache, Samba и т. д.), также рекомендовано настроить систему без автоматического запуска X-Window, для чего в файле /etc/inittab необходимо установить 3 уровень запуска (для Red Hat совместимых дистрибутивов). Установить SELinux можно двумя способами, все они описаны в соответствующем README. В простейшем случае после распаковки скачанного архива необходимо отредактировать файл ./selinux/policy/user, в котором определен каждый пользователь, признаваемый системной политикой защиты, т.е. разрешенные роли для каждого пользователя. Необходимо разрешить по крайней мере одному пользователю роль администратора системы (sysadm_r), а для других достаточно будет обычной роли пользователя (user_r). Не забудьте удалить пример jadmin и Jdoe. Далее для конкретной системы необходимо проверить пути к файлам для каждого охраняемого сервиса в файле ./selinux/policy/file_contexts/{types.fc,program/*.fc}. Теперь, зарегистрировавшись как root, вводим make quickinstall, и программа сама выполнит необходимые команды. При конфигурировании ядра не забудьте включить поддержку ext3 и тип процессора. Также обязательно включите следующие опции:

n  В Networking Options:

Network Packet Filtering

n  И в Security Options:

Enable different security models

    Capabilities Support

    NSA SELinux Support

    NSA SELinux Development Support