Nel
post di oggi continueremo il discorso riguardante SELinux, che abbiamo iniziato nella
scorsa puntata. Visto che su Fedora questo tool è gia presente,
oggi impareremo a installarlo su Debian e Ubuntu, con l'aiuto di Daniele.
Per installare correttamente SELinux, ci serviranno i privilegi di super utente. Apriamo il terminale e diamo:
su
sudo -i
Oppure se siamo su Ubuntu e derivate:
sudo -i
Procediamo adesso con l'installazione vera e propria digitando:
apt-get install selinux-basics selinux-policy-default auditd
SELinux richiede di essere eseguito anche in fase di boot. In Debian questa peculiarità funziona senza problemi. Invece su Ubuntu abbiamo bisogno di uno script faccia partire SELinux in fase di boot.
Quindi questa parte è esclusivamente dedicata a chi ha Ubuntu sulla propria macchina.
Fatto questa premessa, dobbiamo scaricare questo file. È un piccolo script che permette di adattare SELinux a Ubuntu.
Ora dobbiamo spostare il file che abbiamo appena scaricato nella sua directory dedicata. Di default il nostro browser web lo scarica nella carella "Scaricati". Diamo ora:
cp /home/utente/Scaricati/_load_selinux_policy /usr/share/initramfs-tools/scripts/init-bottom/
Così facendo ora lo abbiamo copiato nella giusta directory. Non ci resta che eseguirlo con:
update-initramfs -u
Terminata questa parte che riguardava solo gli utenti Ubuntu, ricominciamo con la parte comune.
Non ci resta che far partire SELinux. Lo facciamo con il comando:
selinux-activate
Ora che lo abbiamo fatto partire, partirà la fase di configurazione dove ci verrà richiesto di riavviare il sistema.
Facciamo quello che ci è richiesto. Il boot si arresterà, ma non preoccupatevi, è solo SELinux che sta scansionando tutto il file system alla ricerca di partizioni, file e eventuali altri sistemi operativi.
Quando ci saremo loggati di nuovo con il nostro account, riapriamo il terminale e diamo il comando:
check-selinux-installation
Praticamente in ogni caso vi si presenteranno diversi errori.
Noi ne abbiamo riscontrati due.
- Uno riguardante il PAM;
- L'altro riguardante FSCK;
ERRORE FSCK
È un errore tipico. SELinux sta semplicemente chiedendo di poter riparare il filesystem nel caso sia danneggiato.
La procedura correzione del problema è molto semplice.
Diamo da terminale il comando:
grep FSC /etc/default/rcS
E se l'output è simile a:
#FSCKFIX=no
Dobbiamo cambiarlo. Diamo da terminale il comando:
nano /etc/default/rcS
Andiamo ora all'ultima riga, togliamo il commento, # e dopo l'uguale, al posto di no, inseriamo yes.
ERORE PAM
L'errore riguardante il PAM è molto più semplice da risolvere in quanto è un falso positivo.
A questo punto ridiamo il comando:
check-selinux-installation
E se otteniamo un output che lista solo l'errore PAM siamo a cavallo.
ULTIME CONFIGURAZIONI
Di default, alla fine dell'installazione SELinux è impostato in modalità Permissive. Per incrementare definitivamente la sicurezza impostiamo la modalità Enforcing.
Diamo da terminale il comando:
Il prossimo post di Giovedì sarà ancora incentrato su SELinux.
Di default, alla fine dell'installazione SELinux è impostato in modalità Permissive. Per incrementare definitivamente la sicurezza impostiamo la modalità Enforcing.
Diamo da terminale il comando:
/usr/sbin/getenforce
Per sapere la modalità attuale a cui è impostato SELinux. Se l'output è Permissive, noi di Tux Maniacs vi consigliamo caldamente di impostarla in Enforcing.
Ora non ci resta che cambiare il valore:
/usr/sbin/setenforce 1
Così facendo impostiamo in modalità Enforcing permanentemente.
Il prossimo post di Giovedì sarà ancora incentrato su SELinux.
Se ti sei perso la puntata precedente di SELinux, segui questo link.
Se vuoi restare aggiornato su tutti i post che vengono pubblicati sul blog, iscriviti alla newsletter gratuita o metti mi piace alla pagina ufficiale di Tux Maniacs su Facebook.
Fonti:
- Immagini di +Joel Garia;
Nessun commento:
Posta un commento