Sl: различия между версиями
Stanv (обсуждение | вклад) Нет описания правки |
Stanv (обсуждение | вклад) Нет описания правки |
||
| Строка 110: | Строка 110: | ||
вызывается из inet_accept | вызывается из inet_accept | ||
так что по идее в проверках read для socket можно ловить приём не тем процессом, каким надо с учётом изменения уровня сокета | так что по идее в проверках read для socket можно ловить приём не тем процессом, каким надо с учётом изменения уровня сокета | ||
=== CIPSOv4 === | |||
Пакеты маркируются утилитой netlabelctl. | |||
В заголовок IP пакета добавлется security option 134 (0x86) | |||
[http://tools.ietf.org/html/draft-ietf-cipso-ipsecurity-01 http://tools.ietf.org/html/draft-ietf-cipso-ipsecurity-01] | |||
После добавления в IP заголовок пакета security option некие сетевые протоколы начинают странно себя вести. | |||
====ICMP==== | |||
Каждый ответ приходит с сообщением: ''unknown option 86''. | |||
Что само по себе, режет глаза. Но по словам Paul Moore: | |||
<tt>I agree it is annoying, but ping is a rather unusual application in that it | |||
deals with raw packets (at least the last time I looked at the code). At some | |||
point I should probably submit a patch to quiet the CIPSO option but that is a | |||
very low priority item on my todo list.</tt> | |||
# ping 192.168.55.2 | |||
PING 192.168.55.2 (192.168.55.2) 56(84) bytes of data. | |||
64 bytes from 192.168.55.2: icmp_req=1 ttl=64 time=0.125 ms | |||
unknown option 86 | |||
64 bytes from 192.168.55.2: icmp_req=2 ttl=64 time=0.085 ms | |||
unknown option 86 | |||
22:36:34.316321 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto | |||
ICMP (1), length 96, options (unknown 134,EOL)) | |||
192.168.55.2 > 192.168.55.1: ICMP echo request, id 3627, seq 1, | |||
length 64 | |||
===TCP=== | |||
TCP подглючивает местами, и именно неправильно выставляется cksum: | |||
192.168.55.1.8811 > 192.168.55.2.38542: Flags [S.], cksum 0xef7a (incorrect -> 0xce92), seq 3815783505, ack 2513766785, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 | |||
или | |||
22:40:35.038984 IP (tos 0x0, ttl 64, id 47912, offset 0, flags [DF], proto TCP (6), length 52, options (unknown 134,EOL)) | |||
192.168.55.1.8811 > 192.168.55.2.38543: Flags [F.], cksum 0xef6e (incorrect -> 0x73c6), seq 1, ack 8, win 115, length 0 | |||
Paul Moore отвечает как: | |||
<tt> | |||
I remember there being an issue with IP/TCP checksum offload and | |||
tcpdump/wireshark if it was run on the system being monitored. You can always | |||
use netstat or similar tools to verify the number of dropped/bad packets on a | |||
system. | |||
</tt> | |||
А еще ''некто'' ответил: | |||
так кривые контрольные суммы для своих исходящих пакетов там всегда были | |||
надо сетевуху отупить совсем, чтобы там всё заполнено было | |||
в сеть они нормальные уходят | |||
просто считаются аппаратно | |||
можно в ethtool -K поотрубать всё | |||
====sshd==== | |||
Для openssh нужен патч, иначе sshd демон будет закрывать все соединения со следующим сообщением: | |||
Jul 5 22:29:21 se1 sshd[4881]: fatal: Connection from D*\v\312\230\177 with IP options: 86 0b 00 00 00 01 01 05 00 04 04 00 | |||
Клиент будет обламываться как: | |||
# ssh 192.168.55.1 | |||
ssh: ssh_exchange_identification: Connection closed by remote host | |||
Для этого нужно приложить патч: ''openssh-5.2p1-allow-ip-opts.patch''. | |||
Версия от 09:13, 10 июля 2013
Howto get working SeLinux AltLinux policy
Install policy
Install package selinux-policy-altlinux
Update Grub config
Update configuration GRUB's file: /etc/sysconfig/grub2:
GRUB_CMDLINE_LINUX_DEFAULT='panic=30 quiet splash security=selinux selinux=1'
It is also possible to add:
- enforcing=1
- log_buf_len=1M
grub-mkconfig > /boot/grub/grub.cfg
PAM configuration
- Add to /etc/pam.d/newrole before pam_namespace.so module
session required pam_exec.so debug /etc/security/alt.newrole/helper /etc/security/alt.newrole/config
- Add to /etc/pam.d/common-login:
# The first `session' module # pam_selinux.so close should be the first session rule session required pam_selinux.so close
# The last `session' module # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open verbose
ALT Linux aspects
newrole modifications
Add patch for policycoreutils-newrole has patch, that adds to Linux capabilities: CAP_SETGID & CAP_AUDIT_WRITE. For more info look up at: http://git.altlinux.org/gears/p/policycoreutils.git
Users
When system's users login the __default__ rule takes action. This rule says that:
- all system users are mapped to generic_u SeLinux user.
- all OS users has access only to s0 level.
# semanage login -l Login Name SELinux User MLS/MCS Range __default__ generic_u s0 root officer_u s0-s5:c0.c15
Add for specfic user:
# semanage login -a -s generic_u -r s0-s3:c2.c14 stanv
Policy's internals
systemd
systemd-journald - выполняется в домене trusted_t. Это обусловленно тем, что ему необходимо читать статус процессов из /proc/<PID>. В свою очередь, proc-файлы для каждого процесса имеют контекст процесса.
Network
Одна TCP транзакция для
auditallow unconfineddomain file_type:{ peer } recv;
# ./getpeercon_server 777 -> running as officer_u:generic_r:generic_t:s3:c3-s15:c0.c31 -> creating socket ... ok -> listening on TCP port 777 ... ok -> waiting ...
Посылает сообщение nc из s4:c4
# echo 'Hello world!' | nc localhost 777
выглядит следующим образом:
granted { recv } for pid=9879 comm="nc" saddr=127.0.0.1 src=58387 daddr=127.0.0.1 dest=777 netif=lo scontext=officer_u:generic_r:generic_t:s3:c3-s15:c0.c31 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9879 comm="nc" saddr=127.0.0.1 src=777 daddr=127.0.0.1 dest=58387 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4-s15:c0.c31 tcontext=generic_u:object_r:unlabeled:s0 tclass=peer
granted { recv } for pid=9879 comm="nc" saddr=127.0.0.1 src=58387 daddr=127.0.0.1 dest=777 netif=lo scontext=officer_u:generic_r:generic_t:s3:c3-s15:c0.c31 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9879 comm="nc" saddr=127.0.0.1 src=58387 daddr=127.0.0.1 dest=777 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9867 comm="gs" saddr=127.0.0.1 src=777 daddr=127.0.0.1 dest=58387 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4-s15:c0.c31 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9879 comm="nc" saddr=127.0.0.1 src=58387 daddr=127.0.0.1 dest=777 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9867 comm="gs" saddr=127.0.0.1 src=777 daddr=127.0.0.1 dest=58387 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4-s15:c0.c31 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
granted { recv } for pid=9867 comm="gs" saddr=127.0.0.1 src=58387 daddr=127.0.0.1 dest=777 netif=lo scontext=officer_u:generic_r:generic_t:s4:c4 tcontext=generic_u:object_r:unlabeled:s4:c4 tclass=peer
Разбор:
- getpeercon_server работает как s3:c3-s15:c0.c31<br\>
- nc работает как s4:c4-s15:c0.c31<br\>
- трафик от s4:c4-s15:c0.c31 получается s4:c4<br\>
- tcontext=generic_u:object_r:unlabeled:s0 - SYN, SYN+ACK (видимо, от ядра, поэтому s0)
- tclass == peer относится только к классу трафика
- define(`all_peer_perms',`{ recv }') - у этого класса (трафика) есть только один метод recv
- в сокет scontext=officer_u:generic_r:generic_t:s4:c4 припёрся пакет с tcontext=generic_u:object_r:unlabeled:s4:c4
- получается, что где-то в районе accept новому сокету назначается контекст в соответствии с тем, кто туда пришёл. Cубъект тут — именно сокет, поскольку пакет кладётся в буфер сокета, а какой именно процесс потом его оттуда будет брать, неизвестно.
- сокет - можно и другому процессу передать. смысл в том, что читать из сокета может совсем не тот процесс, который его создавал.
- при системном вызове проверка SOCKET__READ, и вот тут уже субъектом будет процесс, а объектом — сокет
- sid нового сокета делается через security_sid_mls_copy(sksec->sid, peersid, &newsid);
- без CIPSO у тебя peersid не приедет с другого конца
- security_sid_mls_copy() - computes a new sid based on the given * sid and the mls portion of mls_sid.
- вот так у сокета и получается s4:c4, поскольку оно из пакета приходит
- s3:c3 создал себе сокет, в него пришел трафик, и сокет стал == уровню трафика который туда попал.
вот нашёл место, где sock->sk->sk_security->sid всё-таки попадает в SOCK_INODE(sock)->i_security->sid selinux_sock_graft вызывается из inet_accept так что по идее в проверках read для socket можно ловить приём не тем процессом, каким надо с учётом изменения уровня сокета
CIPSOv4
Пакеты маркируются утилитой netlabelctl.
В заголовок IP пакета добавлется security option 134 (0x86)
http://tools.ietf.org/html/draft-ietf-cipso-ipsecurity-01
После добавления в IP заголовок пакета security option некие сетевые протоколы начинают странно себя вести.
ICMP
Каждый ответ приходит с сообщением: unknown option 86. Что само по себе, режет глаза. Но по словам Paul Moore:
I agree it is annoying, but ping is a rather unusual application in that it deals with raw packets (at least the last time I looked at the code). At some point I should probably submit a patch to quiet the CIPSO option but that is a very low priority item on my todo list.
# ping 192.168.55.2 PING 192.168.55.2 (192.168.55.2) 56(84) bytes of data. 64 bytes from 192.168.55.2: icmp_req=1 ttl=64 time=0.125 ms unknown option 86 64 bytes from 192.168.55.2: icmp_req=2 ttl=64 time=0.085 ms unknown option 86
22:36:34.316321 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto
ICMP (1), length 96, options (unknown 134,EOL))
192.168.55.2 > 192.168.55.1: ICMP echo request, id 3627, seq 1,
length 64
TCP
TCP подглючивает местами, и именно неправильно выставляется cksum:
192.168.55.1.8811 > 192.168.55.2.38542: Flags [S.], cksum 0xef7a (incorrect -> 0xce92), seq 3815783505, ack 2513766785, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 или 22:40:35.038984 IP (tos 0x0, ttl 64, id 47912, offset 0, flags [DF], proto TCP (6), length 52, options (unknown 134,EOL)) 192.168.55.1.8811 > 192.168.55.2.38543: Flags [F.], cksum 0xef6e (incorrect -> 0x73c6), seq 1, ack 8, win 115, length 0
Paul Moore отвечает как:
I remember there being an issue with IP/TCP checksum offload and tcpdump/wireshark if it was run on the system being monitored. You can always use netstat or similar tools to verify the number of dropped/bad packets on a system.
А еще некто ответил:
так кривые контрольные суммы для своих исходящих пакетов там всегда были надо сетевуху отупить совсем, чтобы там всё заполнено было в сеть они нормальные уходят просто считаются аппаратно можно в ethtool -K поотрубать всё
sshd
Для openssh нужен патч, иначе sshd демон будет закрывать все соединения со следующим сообщением:
Jul 5 22:29:21 se1 sshd[4881]: fatal: Connection from D*\v\312\230\177 with IP options: 86 0b 00 00 00 01 01 05 00 04 04 00
Клиент будет обламываться как:
# ssh 192.168.55.1 ssh: ssh_exchange_identification: Connection closed by remote host
Для этого нужно приложить патч: openssh-5.2p1-allow-ip-opts.patch.