sepgsqllà một mô-đun có thể tải hỗ trợ điều khiển truy cập bắt buộc dựa trên nhãn (MAC) dựa trên10135_10144Chính sách cách đọc kèo bóng đá.
10237_10362Phần F.35.7.
Mô -đun này tích hợp vớiSelinuxĐể cung cấp thêm một lớp kiểm tra cách đọc kèo bóng đá ở trên và ngoài những gì thường được cung cấp bởiPostgreSQL. Từ quan điểm củaSelinux, Mô -đun này cho phépPostgreSQL11026_11257PostgreSQL.
SelinuxQuyết định kiểm soát truy cập được thực hiện bằng cách sử dụng cách đọc kèo bóng đá nhãn bảo mật, được biểu thị bằng cách đọc kèo bóng đá chuỗi nhưSystem_u: Object_r: sepgsql_table_t: S0. Mỗi quyết định kiểm soát truy cập liên quan đến hai nhãn: nhãn của đối tượng cố gắng thực hiện hành động và nhãn của đối tượng mà hoạt động sẽ được thực hiện. Vì cách đọc kèo bóng đá nhãn này có thể được áp dụng cho bất kỳ loại đối tượng nào, cách đọc kèo bóng đá quyết định kiểm soát truy cập cho cách đọc kèo bóng đá đối tượng được lưu trữ trong cơ sở dữ liệu có thể (và, với mô -đun này, là) phải tuân theo cùng một tiêu chí chung được sử dụng cho cách đọc kèo bóng đá đối tượng thuộc bất kỳ loại nào khác, chẳng hạn như cách đọc kèo bóng đá tệp. Thiết kế này nhằm cho phép chính sách bảo mật tập trung bảo vệ tài sản thông tin độc lập với cách đọc kèo bóng đá chi tiết về cách lưu trữ cách đọc kèo bóng đá tài sản đó.
TheNhãn cách đọc kèo bóng đáCâu lệnh cho phép gán nhãn bảo mật cho đối tượng cơ sở dữ cách đọc kèo bóng đá.
sepgsqlChỉ có thể được sử dụng trênLinux2.6.28 trở lên vớiSelinux12688_12762Libselinux2.1.10 trở lên vàSelinux-Policy3.9.13 trở lên (mặc dù một số phân phối có thể đặt lại cách đọc kèo bóng đá quy tắc cần thiết vào cách đọc kèo bóng đá phiên bản chính sách cũ hơn).
ThesestatusLệnh cho phép bạn kiểm tra trạng thái củaSelinux. Một màn hình điển hình là:
$ sestatus Trạng thái Selinux: Đã bật Selinuxfs gắn kết: /selinux Chế độ hiện tại: Thực thi Chế độ từ tệp cấu hình: Thực thi Phiên bản chính sách: 24 Chính sách từ tệp cấu hình: được nhắm mục tiêu
nếuSelinuxbị vô hiệu hóa hoặc chưa được cài đặt, bạn phải đặt sản phẩm đó lên trước khi cài đặt mô -đun này.
Để xây dựng mô -đun này, bao gồm tùy chọn--with-selinuxTrong PostgreSQL của bạnCấu hìnhLệnh. Hãy chắc chắn rằngLibselinux-develRPM được cài đặt tại thời điểm xây dựng.
Để sử dụng mô -đun này, bạn phải bao gồmsepgsqltrongshared_preload_l Libriestham số trongPostgreSql.conf. Mô -đun sẽ không hoạt động chính xác nếu được tải theo bất kỳ cách nào khác. Khi mô -đun được tải, bạn nên thực thisepgsql.sqlTrong mỗi cơ sở dữ liệu. Điều này sẽ cài đặt cách đọc kèo bóng đá chức năng cần thiết để quản lý nhãn bảo mật và gán nhãn bảo mật ban đầu.
Đây là một ví dụ cho thấy cách khởi tạo cụm cơ sở dữ cách đọc kèo bóng đá mới vớisepgsqlcách đọc kèo bóng đá chức năng và nhãn bảo mật được cài đặt. Điều chỉnh cách đọc kèo bóng đá đường dẫn hiển thị khi thích hợp cho cài đặt của bạn:
14626_15057
Xin lưu ý rằng bạn có thể thấy một số hoặc tất cả cách đọc kèo bóng đá thông báo sau tùy thuộc vào cách đọc kèo bóng đá phiên bản cụ thể mà bạn có củalibselinuxvàSelinux-Policy:
/etc /etc /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 38 có loại đối tượng không hợp lệ db_langage /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 40 có loại đối tượng không hợp lệ db_langage
Những tin nhắn này vô hại và nên bị bỏ qua.
15953_16046
Do bản chất củaSelinux, Chạy cách đọc kèo bóng đá bài kiểm tra hồi quy chosepgsqlYêu cầu một số bước cấu hình bổ sung, một số trong đó phải được thực hiện dưới dạng gốc. cách đọc kèo bóng đá bài kiểm tra hồi quy sẽ không được chạy bởi một thông thườngLàm cho kiểm trahoặcTạo Installchecklệnh; Bạn phải thiết lập cấu hình và sau đó gọi tập lệnh kiểm tra theo cách thủ công. cách đọc kèo bóng đá bài kiểm tra phải được chạy trongPRINT/SEPGSQLThư mục của cây xây dựng PostgreSQL được cấu hình. Mặc dù chúng yêu cầu một cây xây dựng, cách đọc kèo bóng đá thử nghiệm được thiết kế để thực hiện đối với máy chủ được cài đặt, đó là chúng có thể so sánh vớiTạo InstallcheckkhôngLàm cho kiểm tra.
Đầu tiên, thiết lậpsepgsqlTrong cơ sở dữ cách đọc kèo bóng đá làm việc theo hướng dẫn trongPhần F.35.2. Lưu ý rằng người dùng hệ điều hành hiện tại phải có thể kết nối với cơ sở dữ cách đọc kèo bóng đá dưới dạng Superuser mà không cần xác thực mật khẩu.
Thứ hai, xây dựng và cài đặt gói chính sách để kiểm tra hồi quy. Thesepgsql-regtestChính sách là gói chính sách mục đích đặc biệt cung cấp một bộ quy tắc được cho phép trong cách đọc kèo bóng đá bài kiểm tra hồi quy. Nó phải được xây dựng từ tệp nguồn chính sáchsepgsql-regtest.te, được thực hiện bằng cách sử dụnglàmVới Makefile được cung cấp bởi Selinux. Bạn sẽ cần phải xác định vị trí makefile thích hợp trên hệ thống của bạn; Đường dẫn hiển thị dưới đây chỉ là một ví dụ. Sau khi được xây dựng, cài đặt gói chính sách này bằngsemoduleLệnh, tải cách đọc kèo bóng đá gói chính sách được cung cấp vào kernel. Nếu gói được cài đặt chính xác,semodule-Lsepgsql-regtestLà một gói chính sách có sẵn:
$ cd .../prong/sepgsql $ make -f/usr/share/selinux/devel/makefile $ sudo semodule -u sepgsql -regtest.pp $ sudo semodule -L | GREP SEPGSQL sepgsql-regtest 1.07
thứ ba, bậtsepgsql_regression_test_mode. Vì lý do bảo mật, cách đọc kèo bóng đá quy tắc trongsepgsql-regtestkhông được bật theo mặc định; Thesepgsql_Regression_test_modeTham số cho phép cách đọc kèo bóng đá quy tắc cần thiết để khởi chạy cách đọc kèo bóng đá bài kiểm tra hồi quy. Nó có thể được bật bằng cách sử dụngSetseboollệnh:
$ sudo setsebool sepgsql_regression_test_mode trên $ getsebool sepgsql_regression_test_mode sepgsql_regression_test_mode - trên
Thứ tư, xác minh vỏ của bạn đang hoạt động trongUnconfined_tmiền:
$ id -z Unconfined_u: Unconed_r: Unconed_t: S0-S0: C0.C1023
xemPhần F.35.8Để biết chi tiết về việc điều chỉnh miền làm việc của bạn, nếu cần thiết.
Cuối cùng, chạy tập lệnh kiểm tra hồi quy:
$ ./test_sepgsql
Tập lệnh này sẽ cố gắng xác minh rằng bạn đã thực hiện tất cả cách đọc kèo bóng đá bước cấu hình một cách chính xác và sau đó nó sẽ chạy cách đọc kèo bóng đá thử nghiệm hồi quy chosepgsqlMô -đun.
Sau khi hoàn thành cách đọc kèo bóng đá bài kiểm tra, bạn khuyên bạn nên vô hiệu hóasepgsql_regression_test_modetham số:
$ sudo setsebool sepgsql_regression_test_mode tắt
Bạn có thể thích xóasepgsql-regtestChính sách hoàn toàn:
$ sudo semodule -r sepgsql -regtest
sepgsql.permissive(Boolean)Tham số này cho phépsepgsqlhoạt động trong chế độ cho phép, bất kể cài đặt hệ thống. Mặc định là tắt. Tham số này chỉ có thể được đặt trongPostgreSql.confTệp hoặc trên dòng lệnh máy chủ.
Khi tham số này,sepgsqlcách đọc kèo bóng đá chức năng ở chế độ cho phép, ngay cả khi Selinux nói chung đang làm việc trong chế độ thực thi. Tham số này chủ yếu hữu ích cho mục đích thử nghiệm.
sepgsql.debug_audit(Boolean)Tham số này cho phép in cách đọc kèo bóng đá tin nhắn kiểm toán bất kể cài đặt chính sách hệ thống. Mặc định tắt, có nghĩa là cách đọc kèo bóng đá tin nhắn sẽ được in theo cài đặt hệ thống.
Chính sách cách đọc kèo bóng đá củaSelinuxCũng có cách đọc kèo bóng đá quy tắc để kiểm soát xem cách đọc kèo bóng đá truy cập cụ thể có được ghi lại hay không. Theo mặc định, vi phạm truy cập được ghi lại, nhưng không được phép truy cập.
Tham số này buộc tất cả cách đọc kèo bóng đá đăng nhập có thể được bật, bất kể chính sách hệ thống.
Mô hình cách đọc kèo bóng đá củaSelinuxMô tả tất cả cách đọc kèo bóng đá quy tắc kiểm soát truy cập là mối quan hệ giữa một thực thể chủ thể (thông thường là máy khách của cơ sở dữ liệu) và một thực thể đối tượng (như đối tượng cơ sở dữ liệu), mỗi đối tượng được xác định bởi nhãn bảo mật. Nếu quyền truy cập vào một đối tượng không được dán nhãn, đối tượng được xử lý như thể nó được gán nhãnUnlabeled_t.
Hiện tại,sepgsqlCho phép cách đọc kèo bóng đá nhãn bảo mật được gán cho cách đọc kèo bóng đá lược đồ, bảng, cột, trình tự, chế độ xem và chức năng. Khisepgsqlđang được sử dụng, cách đọc kèo bóng đá nhãn bảo mật được tự động được gán cho cách đọc kèo bóng đá đối tượng cơ sở dữ liệu được hỗ trợ tại thời điểm tạo. Nhãn này được gọi là nhãn bảo mật mặc định và được quyết định theo Chính sách bảo mật hệ thống, lấy làm nhãn của người tạo, nhãn được gán cho đối tượng cha mẹ của đối tượng mới và tên tùy chọn của đối tượng được xây dựng.
Một đối tượng cơ sở dữ liệu mới về cơ bản kế thừa nhãn bảo mật của đối tượng cha, ngoại trừ khi chính sách bảo mật có cách đọc kèo bóng đá quy tắc đặc biệt được gọi là quy tắc chuyển đổi loại, trong trường hợp đó có thể áp dụng nhãn khác. Đối với cách đọc kèo bóng đá lược đồ, đối tượng cha là cơ sở dữ liệu hiện tại; Đối với cách đọc kèo bóng đá bảng, trình tự, chế độ xem và chức năng, đó là lược đồ chứa; Đối với cách đọc kèo bóng đá cột, đó là bảng chứa.
cho cách đọc kèo bóng đá bảng,db_table: select, db_table: chèn, db_table: cập nhậthoặcdb_table: xóađược kiểm tra tất cả cách đọc kèo bóng đá bảng mục tiêu được tham chiếu tùy thuộc vào loại câu lệnh; Ngoài ra,db_table: selectcũng được kiểm tra tất cả cách đọc kèo bóng đá bảng có chứa cách đọc kèo bóng đá cột được tham chiếu trongWHEREhoặcTrở vềmệnh đề, như một nguồn dữ cách đọc kèo bóng đá choCập nhật, v.v.
Quyền cấp độ cột cũng sẽ được kiểm tra cho mỗi cột được tham chiếu.db_column: chọnĐược kiểm tra trên không chỉ cách đọc kèo bóng đá cột được đọc bằngChọn, nhưng những người được tham chiếu trong cách đọc kèo bóng đá câu lệnh DML khác;db_column: cập nhậthoặcdb_column: chèncũng sẽ được kiểm tra cách đọc kèo bóng đá cột được sửa đổi bởiCập nhật25120_25126Chèn.
Ví dụ: xem xét:
Cập nhật T1 Set x = 2, y = func1 (y) trong đó z = 100;
ở đây,db_column: cập nhậtsẽ được kiểm traT1.x, vì nó đang được cập nhật,db_column: chọn cập nhậtsẽ được kiểm traT1.Y, vì nó vừa được cập nhật và tham chiếu, vàdb_column: chọnsẽ được kiểm traT1.Z, vì nó chỉ được tham chiếu.db_table: chọn cập nhậtcũng sẽ được kiểm tra ở cấp độ bảng.
cho cách đọc kèo bóng đá chuỗi,DB_Sequence: get_valueđược kiểm tra khi chúng tôi tham chiếu một đối tượng chuỗi bằng cách sử dụngChọn; Tuy nhiên, lưu ý rằng chúng tôi hiện không kiểm tra quyền khi thực hiện cách đọc kèo bóng đá chức năng tương ứng nhưlastVal ().
để xem,26169_26185Sẽ được kiểm tra, sau đó mọi quyền bắt buộc khác sẽ được kiểm tra trên cách đọc kèo bóng đá đối tượng được mở rộng từ chế độ xem, riêng lẻ.
cho cách đọc kèo bóng đá chức năng,db_procedure: execute26398_26562DB_Procedure: EntryPointQuyền kiểm tra xem nó có thể thực hiện dưới dạng điểm nhập của thủ tục đáng tin cậy hay không.
Để truy cập bất kỳ đối tượng lược đồ nào,db_schema: tìm kiếmQuyền được yêu cầu trên lược đồ chứa. Khi một đối tượng được tham chiếu mà không có trình độ lược đồ, cách đọc kèo bóng đá lược đồ mà quyền này không có mặt sẽ không được tìm kiếm (giống như thể người dùng không cósử dụngĐặc quyền trên lược đồ). Nếu có trình độ lược đồ rõ ràng có mặt, sẽ xảy ra lỗi nếu người dùng không có quyền cần thiết trên lược đồ có tên.
Khách hàng phải được phép truy cập tất cả cách đọc kèo bóng đá bảng và cột được tham chiếu, ngay cả khi chúng có nguồn gốc từ cách đọc kèo bóng đá chế độ xem sau đó được mở rộng, để chúng tôi áp dụng cách đọc kèo bóng đá quy tắc kiểm soát truy cập nhất quán độc lập với cách thức mà nội dung bảng được tham chiếu.
Hệ thống đặc quyền cơ sở dữ liệu mặc định cho phép cách đọc kèo bóng đá siêu người dùng cơ sở dữ liệu sửa đổi danh mục hệ thống bằng cách đọc kèo bóng đá lệnh DML và tham chiếu hoặc sửa đổi cách đọc kèo bóng đá bảng bánh mì nướng. cách đọc kèo bóng đá hoạt động này bị cấm khisepgsqlđược bật.
SelinuxXác định một số quyền để kiểm soát cách đọc kèo bóng đá hoạt động chung cho từng loại đối tượng; chẳng hạn như sáng tạo, thay đổi, thả và relabel của nhãn bảo mật. Ngoài ra, một số loại đối tượng có quyền đặc biệt để kiểm soát cách đọc kèo bóng đá hoạt động đặc trưng của chúng; chẳng hạn như bổ sung hoặc xóa cách đọc kèo bóng đá mục tên trong một lược đồ cụ thể.
Tạo đối tượng cơ sở dữ cách đọc kèo bóng đá mới yêu cầuTạocho phép.Selinuxsẽ cấp hoặc từ chối quyền này dựa trên nhãn bảo mật của khách hàng và nhãn bảo mật được đề xuất cho đối tượng mới. Trong một số trường hợp, cần có cách đọc kèo bóng đá đặc quyền bổ sung:
Tạo cơ sở dữ cách đọc kèo bóng đá28907_28932GetAttrQuyền cho cơ sở dữ cách đọc kèo bóng đá nguồn hoặc mẫu.
Tạo một đối tượng lược đồ yêu cầuadd_namequyền trên lược đồ cha.
Tạo một bảng cũng yêu cầu quyền tạo từng cột bảng riêng lẻ, giống như mỗi cột bảng là một đối tượng cấp cao nhất.
Tạo hàm được đánh dấu làLeakproofNgoài ra yêu cầuCài đặtquyền. (Quyền này cũng được kiểm tra khiLeakproofđược đặt cho một chức năng hiện có.)
Khithảlệnh được thực thi,thảsẽ được kiểm tra trên đối tượng bị xóa. Quyền cũng sẽ được kiểm tra cho cách đọc kèo bóng đá đối tượng bị rơi gián tiếp quaCascade30037_30162remove_nameTrên lược đồ.
khithay đổiLệnh được thực thi,SETATTR30326_30582
Chuyển một đối tượng sang một lược đồ mới cũng yêu cầuremove_namequyền trên lược đồ cũ vàadd_namequyền trên cái mới.
ĐặtLeakproofthuộc tính trên một hàm yêu cầuCài đặtquyền.
sử dụngNhãn cách đọc kèo bóng đáTrên một đối tượng cũng yêu cầuRelabelfromQuyền cho đối tượng kết hợp với nhãn cách đọc kèo bóng đá cũ của nó vàrelabeltoQuyền cho đối tượng kết hợp với nhãn cách đọc kèo bóng đá mới. (Trong trường hợp nhiều nhà cung cấp nhãn được cài đặt và người dùng cố gắng đặt nhãn cách đọc kèo bóng đá, nhưng nó không được quản lý bởiSelinux, chỉSETATTR31786_31876
Quy trình đáng tin cậy tương tự như cách đọc kèo bóng đá hàm xác định bảo mật hoặc cách đọc kèo bóng đá lệnh setuid.Selinux32283_32701
32730_33395
cách đọc kèo bóng đá hoạt động trên nên được thực hiện bởi người dùng quản trị.
Postgres =# Chọn * từ Khách hàng; Lỗi: Selinux: vi phạm chính sách cách đọc kèo bóng đá postgres =# Chọn CID, CNAME, SHOW_CREDIT (CID) từ Khách hàng; cid | cname | show_credit -----+--------+--------------------- 1 | Taro | 1111-2222-3333-XXXX 2 | Hanako | 5555-6666-7777-XXXX (2 hàng)
Trong trường hợp này, người dùng thông thường không thể tham chiếuKhách hàng.Credittrực tiếp, nhưng một thủ tục đáng tin cậyshow_creditCho phép người dùng in số thẻ tín dụng của khách hàng với một số chữ số được che dấu.
Có thể sử dụng tính năng chuyển đổi miền động của Selinux để chuyển nhãn cách đọc kèo bóng đá của quy trình khách, miền máy khách, sang bối cảnh mới, nếu chính sách cách đọc kèo bóng đá cho phép. Miền máy khách cầnSetCiencho phép và cảDyntransitionTừ tên miền cũ đến miền mới.
Chuyển đổi miền động nên được xem xét cẩn thận, vì họ cho phép người dùng chuyển nhãn của họ, và do đó, cách đọc kèo bóng đá đặc quyền của họ, theo tùy chọn của họ, thay vì (như trong trường hợp quy trình đáng tin cậy) theo hệ thống. Do đó,DyntransitionQuyền chỉ được coi là an toàn khi được sử dụng để chuyển sang một miền với một bộ đặc quyền nhỏ hơn so với bản gốc. Ví dụ:
hồi quy =# chọn sepgsql_getcon ();
sepgsql_getcon
-----------------------------------------------------------
Unconfined_u: Unconed_r: Unconed_t: S0-S0: C0.C1023
(1 hàng)
hồi quy =# Chọn sepgsql_setcon ('unconfined_u: unconfined_r: unconfined_t: s0-s0: c1.c4');
sepgsql_setcon
----------------
t
(1 hàng)
hồi quy =# Chọn sepgsql_setcon ('unconfined_u: unconfined_r: unconfined_t: s0-s0: c1.c1023');
Lỗi: Selinux: vi phạm chính sách cách đọc kèo bóng đá
Trong ví dụ này, chúng tôi được phép chuyển từ phạm vi MCS lớn hơnC1.C1023đến phạm vi nhỏ hơnC1.C4, nhưng chuyển đổi trở lại đã bị từ chối.
Một sự kết hợp giữa chuyển đổi miền động và quy trình đáng tin cậy cho phép một trường hợp sử dụng thú vị phù hợp với vòng đời quy trình điển hình của phần mềm gộp kết nối. Ngay cả khi phần mềm gộp kết nối của bạn không được phép chạy hầu hết cách đọc kèo bóng đá lệnh SQL, bạn có thể cho phép nó chuyển nhãn bảo mật của máy khách bằng cách sử dụngsepgsql_setcon ()chức năng từ trong một thủ tục đáng tin cậy; Điều đó sẽ cần một số thông tin xác thực để ủy quyền cho yêu cầu chuyển nhãn máy khách. Sau đó, phiên này sẽ có đặc quyền của người dùng mục tiêu, thay vì Pooler kết nối. Kết nối Pooler sau này có thể hoàn nguyên thay đổi nhãn cách đọc kèo bóng đá bằng cách sử dụngsepgsql_setcon ()vớinull36621_37019
Chúng tôi từ chốiTải37364_37471
Bảng F.29Hiển thị cách đọc kèo bóng đá chức năng có sẵn.
Bảng F.29. Chức năng sepgsql
sepgsql_getcon () trả về văn bản |
Trả về miền máy khách, nhãn cách đọc kèo bóng đá hiện tại của máy khách. |
sepgsql_setcon (văn bản) trả về bool |
Chuyển miền máy khách của phiên hiện tại sang miền mới, nếu được chính sách cách đọc kèo bóng đá cho phép. Nó cũng chấp nhậnnullĐầu vào như một yêu cầu chuyển sang miền gốc của máy khách. |
sepgsql_mcstrans_in (văn bản) trả về văn bản |
Dịch phạm vi MLS/MCS đủ điều kiện thành định dạng RAW nếu trình nền McStrans đang chạy. |
sepgsql_mcstrans_out (văn bản) trả về văn bản |
Dịch phạm vi MLS/MCS đã cho thành định dạng đủ điều kiện nếu trình nền McStrans đang chạy. |
SEPGSQL_RESTORECON (văn bản) Trả về Bool |
Đặt nhãn bảo mật ban đầu cho tất cả cách đọc kèo bóng đá đối tượng trong cơ sở dữ liệu hiện tại. Đối số có thể là null hoặc tên của một specfile được sử dụng như là sự thay thế của mặc định hệ thống. |
Do hạn chế thực hiện, một số hoạt động DDL không kiểm tra quyền.
Do cách đọc kèo bóng đá hạn chế thực hiện, cách đọc kèo bóng đá hoạt động DCL không kiểm tra quyền.
PostgreSQLHỗ trợ truy cập cấp hàng, nhưngsepgsqlkhông.
sepgsql40727_41115
Trang wiki này cung cấp một cái nhìn tổng quan ngắn gọn, thiết kế bảo mật, kiến trúc, quản trị và cách đọc kèo bóng đá tính năng sắp tới.
Tài cách đọc kèo bóng đá này cung cấp một loạt kiến thức để quản lýSelinuxTrên cách đọc kèo bóng đá hệ thống của bạn. Nó tập trung chủ yếu vào cách đọc kèo bóng đá hệ điều hành Red Hat, nhưng không giới hạn ở họ.
Tài liệu này trả lời cách đọc kèo bóng đá câu hỏi thường gặp vềSelinux. Nó tập trung chủ yếu vào Fedora, nhưng không giới hạn ở Fedora.
Kaigai Kohei<kaigai@ak.jp.nec.com