Быстрое создания SELinux-модулей с помощью утилиты sepolicy

В пакет policycoreutils-devel входит python-утилита sepolicy, которая сильно облегчает написание модуля. В этой статье мы рассмотрим процесс создания модуля для nmap с помощью этой утилиты.

TL; DR

В предыдущих статьях мы детально рассматривали создание policy module и связанные с этим вопросы. Сейчас же я расскажу о том, как значительно облегчить себе жизнь с man 8 sepolicy ^[1]

Постановка задачи

Задачи, которые мы решим в статье:

• Написать модуль для nmap.
• Разрешить пользователям проводить сканы.
• Ограничить любые деструктивные действия.

Создание заготовки

У sepolicy есть режим генерации базовых модулей, вызываемый командой sepolicy generate (или sepolgen). Давайте создадим шаблон нашего модуля:

# sepolgen -n nmap --application /usr/bin/nmap -u user_u -u staff_u
Loaded plugins: fastestmirror
Created the following files:
/root/nmap_module/nmap.te # Type Enforcement file
/root/nmap_module/nmap.if # Interface file
/root/nmap_module/nmap.fc # File Contexts file
/root/nmap_module/nmap_selinux.spec # Spec file
/root/nmap_module/nmap.sh # Setup Script

Разберем аргументы командной строки:

• -n — имя модуля.
• --application — тип/приложение.
• /usr/bin/nmap — путь к исполняемому файлу.
• -u staff_u -u user_u — список пользователей, которые могут использовать это приложение.

Так как путь /usr/bin/nmap уже описан как traceroute_exec_t, сборка модуля as is вызовет конфликт. Поэтому удаляем файл nmap.fc перед сборкой модуля, а после сборки — делаем chcon.

# rm nmap.fc 
rm: remove regular file 'nmap.fc'? y
# ./nmap.sh 
Building and Loading Policy
+ make -f /usr/share/selinux/devel/Makefile nmap.pp
Compiling minimum nmap module
/usr/bin/checkmodule:  loading policy configuration from tmp/nmap.tmp
/usr/bin/checkmodule:  policy configuration loaded
/usr/bin/checkmodule:  writing binary representation (version 17) to tmp/nmap.mod
Creating minimum nmap.pp policy package
rm tmp/nmap.mod tmp/nmap.mod.fc
+ /usr/sbin/semodule -i nmap.pp
...
# chcon -t nmap_exec_t /usr/bin/nmap 

Отладка

Сейчас модуль работает в permissive-режиме, т. е. политики проверяются, но реальной блокировки не происходит. Это можно понять по строке permissive nmap_t в файле nmap.te.

Теперь запустим nmap с различными опциями для формирования достаточного количества логов. Предварительно рекомендую выполнить команду semodule -DB для отключения dontaudit-правил (правила, которые не дают писать в лог те или иные запреты).

# chmod u+s /usr/bin/nmap
# semodule -DB
$ id
user_u:user_r:user_t:s0
$ nmap -sS -A -PI jnode.in
....
$ nmap -A -sU -PI jnode.in
....
$ nmap jnode.in -o out.log
....

Смотрим результаты:

# audit2allow -bl -R -t nmap_t
allow nmap_t self:capability {net_raw dac_read_search dac_override};
allow nmap_t self:unix_dgram_socket { create ioctl };
allow nmap_t self:packet_socket { bind create getopt ioctl read setopt write };
allow nmap_t self:rawip_socket { create setopt write };
corenet_tcp_connect_http_port(nmap_t)
corenet_tcp_connect_smtp_port(nmap_t)
corenet_tcp_connect_ssh_port(nmap_t)
kernel_read_network_state(nmap_t)
kernel_read_system_state(nmap_t)
userdom_use_inherited_user_ptys(nmap_t)

Заодно видим, что out.log создался с контекстом user_home_dir_t — нужно создать новый тип (nmap_result_log_t) и дать необходимые права доступа.

Финализация

Итак, нам нужно сделать следующее:

• Разрешить необходимые доступы к сети.
• Разрешить писать логи.
• Сделать новый тип для логов.
• Сделать правило перехода типов для логов.
• Дать права пользователям и приложению на правку этих логов.

Правим модуль и получаем следующий код:

policy_module(nmap, 1.0.0)
########################################
#
# Declarations
#

attribute_role nmap_roles;
roleattribute system_r nmap_roles;

type nmap_t;
type nmap_exec_t;
application_domain(nmap_t, nmap_exec_t)
role nmap_roles types nmap_t;

# log files type
type nmap_result_log_t;
files_type(nmap_result_log_t)
# home transition
userdom_user_home_dir_filetrans(nmap_t, nmap_result_log_t, { dir file })
# permissive nmap_t;
########################################
#
# nmap local policy
#
allow nmap_t self:process { setrlimit };

allow nmap_t self:fifo_file manage_fifo_file_perms;
allow nmap_t self:unix_stream_socket create_stream_socket_perms;

domain_use_interactive_fds(nmap_t)

files_read_etc_files(nmap_t)

auth_use_nsswitch(nmap_t)

miscfiles_read_localization(nmap_t)

sysnet_dns_name_resolve(nmap_t)

optional_policy(`
        gen_require(`
                type user_t;
                role user_r;
        ')

        nmap_run(user_t, user_r)
       # nmap log files access
        manage_files_pattern(user_t, nmap_result_log_t, nmap_result_log_t)
')

optional_policy(`
        gen_require(`
                type staff_t;
                role staff_r;
        ')

        nmap_run(staff_t, staff_r) # autogenerated macro from nmap.if
       # nmap log files access
        manage_files_pattern(staff_t, nmap_result_log_t, nmap_result_log_t)
')

# from audit2allow
allow nmap_t self:capability { dac_override net_raw dac_read_search };
allow nmap_t self:packet_socket { bind create getopt ioctl read setopt write };
allow nmap_t self:rawip_socket { create setopt write };
kernel_read_network_state(nmap_t)
kernel_read_system_state(nmap_t)
userdom_use_inherited_user_ptys(nmap_t)
corenet_tcp_connect_all_ports(nmap_t)
#nmap log files access
manage_files_pattern(nmap_t, nmap_result_log_t, nmap_result_log_t)

Пересобираем модуль:

# ./nmap.sh
....

И проверяем в enforcing-режиме:

$ nmap -A -PI -sX -p 53 jnode.in -o out.log

Starting Nmap 6.40 ( http://nmap.org ) at 2018-05-13 13:29 CEST
WARNING: Running Nmap setuid, as you are doing, is a major security risk.

Nmap scan report for jnode.in (79.137.74.224)
Host is up (0.012s latency).
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND hostmaster
...
$ ls -laZ out.log 
-rw-rw-r--. root user user_u:object_r:nmap_result_log_t:s0 out.log
$ rm out.log
$

Что еще может sepolicy?

Показать списки макросов интерфейсов

# sepolicy interface -v -l|grep filetrans|grep user_home_dir
userdom_user_home_dir_filetrans(domain, private_type, object_class, name)  Create objects in a user home directory with an automatic type transition to a specified private type.
# sepolicy interface -v -l|grep corenet_tcp_connect|grep all
corenet_tcp_connect_all_ports(domain)  Connect TCP sockets to all ports.
# sepolicy interface -v -l|grep files_pattern|grep manage   
manage_files_pattern

Отслеживать возможные переходы типов

# sepolicy transition -s user_t -t nmap_t
user_t @ nmap_exec_t --> nmap_t

Отслеживать «общие» типы для обмена данными

# sepolicy communicate -s user_t -t nmap_t
xserver_tmpfs_t
user_tmp_t
user_fonts_t
nmap_result_log_t

А также генерировать документацию, показывать состояние booleans и прочие полезные вещи. Очень хорошая утилита, на самом деле.

Вместо заключения

SELinux не так страшен, как его малюют. Пользуйтесь вспомогательными утилитами, и написание полиси станет для вас легким и приятным делом.

Если вы хотите узнать больше — приходите на PHDays 18, где я буду вести четырехчасовой семинар по настройке SELinux-окружения ^[6].

P.S. Скачать исходники этого модуля (и других) можно здесь ^[7].

Автор: kreon

Источник ^[8]