SELinux (project 073)



Vergelijkbare documenten
Inhoud Inleiding en terminologie Lastig? Configuratie Werkwijze en tooling Referenties. SELinux. Oscar Buse 9 juni 2015 NLUG.

Security Enhanced Linux

7 Beveiligen van eigen programma Achterhalen welke files het programma gebruikt Bepalen van de security context van deze files...

Fedora 13 Security-Enhanced Linux

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

Extra uitleg bij installatie EPB-software 3G

Fedora 13 Beperkte services beheren. Scott Radvan

Van dvd naar webserver. Marcel Nijenhof 18 Juli

Studietaak 5 Hoe installeer ik software? ProFTPD FTP-Server

Korte uitleg: Wie mag wat met welk bestand

Studietaak 4 Hoe installeer ik software? Apache Webserver

VMware View 4.5 een overview. Eline Klooster Technical Trainer

Technische documentatie Klankie 2010 voor systeembeheerders/installateurs

Aandachtspunten voor installatie suse in vmware server

Linux. Linux lezing 13 april 2005 Marcel Nijenhof Note: De slechste vragen zijn niet gestelde vragen

Secure Application Roles

Je website veilig de zomer(vakantie) door

Veilig samenwerken. November 2010

Standard Parts Installatie Solid Edge ST3

PI themamiddag Role Based Access Control

ICT HANDLEIDING TELEWERKEN. Versie 2010

ICT HANDLEIDING TELEWERKEN. Versie 2010

VMware ThinApp. Application Virtualization Platform that enables complex software to be delivered as self-contained EXE files

Handleiding - Aanmaken van SQL server gebruiker

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

User-supplied VMs op BiG Grid hardware

Beveiligingstips voor je laptop

De eerste stappen. Helpdesk, S4.09a 16 oktober 2009

Als u dit dan probeert te doen dan zal hij zeggen dat de versie van Silverlight al geïnstalleerd is.

ROBOMIND ACADEMY DESKTOP LICENTIE HANDLEIDING

Meldplicht datalekken

HIP Telefooncentralebeheer. Handleiding Partner

Windows Basics. yvan vander sanden. 22 februari 2015

Installatie instructies

- Mail enabled user: - Mailbox enabled user: - Mailbox later aan iemand geven:

Wat is een unattended install?

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Les 2, do : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

operating system beveiliging

MobiDM App Handleiding voor Windows Mobile Standard en Pro

Single sign on kan dé oplossing zijn

Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op.

Het werken met policies onder samba3 Steve Weemaels

Koppelingen voor het downloaden van Bitdefender-beveiligingsoplossingen

NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows

Lesplan: Schooljaar versie: 1.0. HICMBO4P MS Server 2012 Planning

Windows server Wesley de Marie. Wesley

OU s en gebruikers. Lab 3.8. Doel: Je weet hoe je users kan aanmaken en hoe je het overzichtelijk houdt met OU s.

De SAP Cloud Connector 2.0 maakt SAPUI5 ontwikkeling via de WEB-IDE mogelijk met data uit je eigen backend systeem.

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Les 2, ma : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Wat is de cloud? Cloud computing Cloud

Inrichting Windows XP Pro werkstation in schoollan

Netwerkprinter Dell 1320C installeren op Ubuntu LTS - Lucid Lynx

ESET Anti-Ransomware Setup

Beveiliging PC: Sygate firewall

Handleiding: CitrixReceiver installeren voor thuisgebruik.

INSTALLATIE VAN UW SOFTWARE OP WINDOWS VISTA OU 7

Veiligheid en PC. Belangrijkste bedreigingen: Virussen: schade toebrengen aan PC, server

Apache heeft standaard een /var/www directory met daarin een index.html bestand.

Firewall van de Speedtouch 789wl volledig uitschakelen?

Howto make Exim work with Freesco 0.2.7

Multi user Setup. Firebird database op een windows (server)

VU POINT Camera Toevoegen

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november admin@surfnet.nl

1. Als je bent ingelogd op je vm, in welke directory bevind je je?

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Protectie en Security

Configureren van een VPN L2TP/IPSEC verbinding

Inleiding Practicum Operating Systems

RaspBerry Pi installatie

Blackboard aan de TU Delft

Thuiswerken bij Groenhuysen

De verschillen tussen Plesk en DirectAdmin

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Projectwerk 2 Week 1. Nicolas Vermeulen, Yves Lenaerts, Preben Schaeken, Tom Putzeys, Dimitri Kozakiewiez en Lars Nooijens

EM7680 Firmware Update by OTA

Expertise seminar SURFfederatie and Identity Management

Implementatie plan. Versie 1. Bas van Zonneveld

Handleiding Installeren Thuiswerkportaal

Belangrijkste ideeën/concepten uit OS, incl. proces

EM7680 Firmware Update by Micro SD card

Bring Your Own Device

Tetra Industriële Security

Installatie en gebruikershandleiding Cyso Hosted Exchange MacOS X Uw gegevens:

LES 3: XAMPP OF MAMP. Lesoverzicht:

Handleiding installatie en gebruik. Ahsay OBM. Windows server Apple OS X Linux en UNIX-varianten

Om Access Online veilig te houden, gelden er vanaf 2013 aanpassingen. Deze aanpassingen maken onderdeel

Remote Access Voorziening Etam (RAVE)

Saxion Research Cloud Drive (SRCD)

Handleiding Ad-Aware 2007

Security bij de European Registry for Internet Domain Names

Datum: 19 mei 2017 Laatste versie: 1.7. EndNote X8 Windows Multi/Site installatie-instructies

HANDLEIDING EXTERNE TOEGANG CURAMARE

Inleiding Practicum Operating Systems

Identity & Access Management & Cloud Computing

2. Installatie Welp op een PC met internet verbinding

Les 3, di : De Installatie van Windows Server Windows Server De installatie van Windows Server 2012

Transcriptie:

Wat is SELinux? Het staat voor: Security Enhanced Linux

Historie Het is een door de NSA en de Universiteit van Utah ontwikkelde beveiligings uitbreiding voor operating systemen. Het is door NSA opensource gemaakt. DAC = Descretionary Access Control (=rwx) RBAC = Role Based Access Control MAC = Mandatory Access Control (= SELinux) Redhat werkt hard aan SELinux sinds RHEL4 (2004), maar bij RHEL6 is het echt (goed) implementeerbaar.

Mandatory Access Control Wat is het? Een gedwongen/geforceerde toegangs controle op basis van policies/regels. Wikipedia: With mandatory access control, this security policy is centrally controlled by a security policy administrator; users do not have the ability to override the policy and, for example, grant access to files that would otherwise be restricted. http://en.wikipedia.org/wiki/mandatory_access_control

Maar wacht eens even, SELinux 'sucks' Als je 10 Linux beheerder iets vraagt over SELinux, krijg je het volgende antwoord: Dat is het eerste dat ik uitzet op een RHEL/CENTOS machine. Reden hiervoor is dat het nog erg 'jong' is en er bij trainingen te weinig aandacht aan wordt/is besteed.

Wat is SELinux NIET? Antivirus Vervanging voor firewalls etc... Heilig-makende-beveiligings oplossing

SELinux heeft 3 werkstanden: Erforcing Permissive disabled Daarnaast zijn er nog 2 policies meegeleverd: Targeted (default) Multi Level Security (extra te installeren) Voorbeeld: /etc/sysconfig/selinux of sestatus

Maar hoe werkt SELinux dan? Er is in de linux kernel een mechanisme gedefinieerd om de beveiliging beter te kunnen regelen. Denk aan: File access Memory access Process access

SE Linux implementatie -Z is je vriend Ls -Z, id -Z, ps -Z, lsof -Z etc... DEMO

Type enforcement Elke file heeft een extra SELinux type aanduiding: user:role:type:level User = confined/unconfined Role = role based security Type = type enforcement Level = gebruikt bij MLS DEMO

Labelen van files en type enforcement Met chcon een file koppelen aan type. Mogelijke types gedefinieerd in: /etc/selinux/targeted/contexts/files/file_contexts chcon system_u:object_r:httpd_sys_content_t:s0 /srv/www Enforcement met 'restorecon'.

Demo: SELinux (project 073) Apache installatie met index.html

Audit.log SELinux (project 073) Alle selinux meldingen komen in de /var/log/messages & /var/log Tip: Audit2allow & audit2why commando's

RBAC en MLS Role Based Access en Multilevel security, de laatste is een te installeren policy ivp de default 'targeted'. RBAC wordt gebruikt voor processen en niet voor gebruikers. Unconfined_r object_r system_r user_r

Domains SELinux (project 073) In de 'targeted' policy zijn 2 domeinen gedefinierd: Unconfined & confined Een domain wordt voor processen gebruikt en zo kan een unconfined process geen beschrijfbaar/shared geheugen aanspreken. Dit om in geval van 'buffer-overflow attack' geen schade aan andere processen te kunnen aanrichten.

Booleans Booleans zijn extra instellingen om zaken aan/uit te zetten. DEMO getsebool/setsebool (-P). Zie ook semanage boolean -l

SELinux users In SELinux kunnen gebruikers (linux) gekoppeld worden aan selinux-gebruikers. semanage login -l Zo zijn er 'booleans' om tervoor te zorgen dan gebruikers geen apps kunnen starten uit hun homedirectory.

Conclusie: SELinux (project 073) SELinux is toch nog erg complex, maar met een beetje verdieping kom je een heel eind.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback