¿Una forma de desencadenar una violación de la política de SELinux?

Estoy estudiando el funcionamiento básico de SELinux y sería útil desencadenar una negación. Mi máquina de prueba ejecuta CentOS 7, es una instalación básica del servidor sin ningún servicio adicional, y getenforce dice 'Enforcing'. Así que me sentí seguro de que hacer que / root sea legible en todo el mundo e intentar leer archivos desde allí como un usuario sin privilegios haría el truco. Pero no hay suerte! ¿Alguien puede sugerir algunas pruebas rápidas? Intentar acceder a rutas o abrir puertos, etc.

Idealmente, estoy buscando comandos de shell directos que un DAC no hubiera restringido, pero un MAC lo notará y lo negará. Como tal, no estoy buscando compilar programas a medida o instalar servicios específicos (como un servidor web) para lograr esto. Esto es valioso ya que proporciona una forma genérica y clara de ver a SELinux en acción.

No tengo problemas para modificar el DAC (es decir, los permisos del sistema de archivos) para que sean menos restrictivos de lo que serían por defecto como parte de una prueba.

Para demostrar la utilidad de SELinux en la detección de errores para terceros / su propio código de desarrollador, aquí hay una prueba de protección de memoria (modificando el primer ejemplo de código aquí ):

#include <fcntl.h>
#include <stdio.h>
#include <sys/mman.h>

int main (void) {
  // open file read-write, get a memory-mapped pointer with private access, write permission
  int fd = open ("file_to_test", O_RDWR);
  char *p = mmap (NULL, 42, PROT_READ | PROT_WRITE, MAP_PRIVATE, fd, 0);

  p[0] = 'a';   // put something

  // Update protection mode; SELinux response depends on sebool: allow_execmod
  int r = mprotect (p, 42, PROT_READ | PROT_EXEC);

  // Display mprotect result
  printf ("mprotect = %d\n", r);

  close(fd);
  return 0;
}

$ echo "test data" > file_to_test
$ gcc execmod.c 

$ ./a.out 
mprotect = 0

$ sudo aureport -a

AVC Report
========================================================
# date time comm subj syscall class permission obj event
========================================================
<no events of interest were found>

Cambie los booleanos para detectar el problema:

$ sudo getsebool allow_execmod
allow_execmod --> on

$ sudo setsebool allow_execmod 0
$ ./a.out 
mprotect = -1

$ sudo aureport -a

AVC Report
========================================================
# date time comm subj syscall class permission obj event
========================================================
1. 04/30/2015 12:26:41 a.out unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 10 file execmod unconfined_u:object_r:user_home_t:s0 denied 3612

Esto demuestra claramente una política MAC en la que un DAC equivalente podría haberse omitido en una instalación base de CentOS 7.

1. Por defecto (en CentOS en el momento de la escritura) los usuarios no privilegiados, que no son del sistema, inician sesión como el rol 'nonfined_u'. Sin embargo, podemos cambiar nuestro sistema para que nuestro usuario no privilegiado 'alice' se coloque en el rol 'user_u' en su lugar. Las políticas predeterminadas se pueden hacer para restringir claramente esta función con solo una pequeña cantidad de configuración adicional.

   [root]# echo "alice:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
   

2. Ahora apague la capacidad de estos usuarios para ejecutar archivos ubicados en sus directorios de inicio y / tmp. Una vez más, el valor predeterminado es permitir este comportamiento. Este comando puede tardar un momento en completarse .

   [root]# setsebool -P user_exec_content off
   

3. Ahora (con nuestro usuario no privilegiado) podemos iniciar sesión e intentar ejecutar algo en una de estas áreas prohibidas. Como puede ver, se nos niega.

   [alice]$ cp /bin/ls /tmp/
   [alice]$ /tmp/ls
   -bash: /tmp/ls: Permission denied
   

4. Finalmente, podemos ver el registro AVC para ver nuestra negación SELinux.

   [root]# aureport -a
   
   AVC Report
   ========================================================
   # date time comm subj syscall class permission obj event
   ========================================================
   1. 02/05/15 21:08:33 bash user_u:user_r:user_t:s0 59 file execute user_u:object_r:user_tmp_t:s0 denied 693
   

A menos que haya cambiado sus políticas en la pestaña Booleana de system-config-selinux (o en / etc / selinux / policy), el valor predeterminado debería responder a lo siguiente (NB, es posible que también desee instalar setroubleshoot para una inmersión más profunda) :

mkdir -m 755 -p / install / ks

cp /root/anaconda-ks.cfg / install / ks

chmod 644 /install/ks/anaconda-ks.cfg

Luego, reinicie su servidor web e intente acceder a http: // localhost / ks con su navegador web. Debería ver un mensaje "Prohibido". Si está siguiendo /var/log/audit/audit.logo si está ejecutando ausearch -m avc -ts recent, entonces debería poder ver el mensaje:type=AVC msg=audit(1391277951.222:266): avc: denied { read } for pid=1731 comm="httpd" name="ks" dev=sda1 ino=22351 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined u:object r:default t:s0 tclass=dir

Luego puede cambiar el contexto de SELinux chcon -Rv --reference /var/www/html /install/kssi no desea deshabilitar SELinux pero puede acceder al recurso.

EDITAR: lo siento, no vi que dijiste "no es un servidor web". Intente chcon -u fake_u <filename>usar una cuenta sin privilegios en un archivo del sistema.

instale dos paquetes pequeños, sin dependencias

  yum install -y vsftpd lftp

iniciar un servidor FTP

  systemctl start vsftpd

crear un archivo en la casa de root

  touch ~/tux.tch

pasar de la raíz al directorio FTP.
nota: mover, no copiar, o el texto del archivo cambiará

  mv ~/tux.tch /var/ftp/pub

inicie sesión en su servidor FTP como usuario del cliente FTP e intente acceder al nuevo archivo.
nota: la finalización automática de pestañas no funcionará aquí

  lftp localhost
    ls pub/tux.tch
    exit

ver la negación en los registros sin procesar

  grep AVC /var/log/audit/audit.log

o si has setroubleshoot*instalado

  grep sealert /var/log/messages