Come installare Selinux su Ubuntu e Debian

Selinux2

 

Nel post di oggi continueremo il discorso riguardante SELinux, che abbiamo iniziato nella scorsa puntata. Visto che su Fedora questo tool è gia presente, oggi impareremo a installarlo su Debian e Ubuntu, con l'aiuto di Daniele.

 

 


INSTALLAZIONE SU DEBIAN E UBUNTU
Per installare correttamente SELinux, ci serviranno i privilegi di super utente. Apriamo il terminale e diamo:

su

Oppure se siamo su Ubuntu e derivate:

sudo -i

Procediamo adesso con l'installazione vera e propria digitando:

apt-get install selinux-basics selinux-policy-default auditd

SELinux richiede di essere eseguito anche in fase di boot. In Debian questa peculiarità funziona senza problemi. Invece su Ubuntu abbiamo bisogno di uno script faccia partire SELinux in fase di boot.

Quindi questa parte è esclusivamente dedicata a chi ha Ubuntu sulla propria macchina.
Fatto questa premessa, dobbiamo scaricare questo file. È un piccolo script che permette di adattare SELinux a Ubuntu.
Ora dobbiamo spostare il file che abbiamo appena scaricato nella sua directory dedicata. Di default il nostro browser web lo scarica nella carella "Scaricati". Diamo ora:

cp /home/utente/Scaricati/_load_selinux_policy /usr/share/initramfs-tools/scripts/init-bottom/

Così facendo ora lo abbiamo copiato nella giusta directory. Non ci resta che eseguirlo con:

update-initramfs -u

Terminata questa parte che riguardava solo gli utenti Ubuntu, ricominciamo con la parte comune.

Non ci resta che far partire SELinux. Lo facciamo con il comando:

selinux-activate

Ora che lo abbiamo fatto partire, partirà la fase di configurazione dove ci verrà richiesto di riavviare il sistema.
Facciamo quello che ci è richiesto. Il boot si arresterà, ma non preoccupatevi, è solo SELinux che sta scansionando tutto il file system alla ricerca di partizioni, file e eventuali altri sistemi operativi.
Quando ci saremo loggati di nuovo con il nostro account, riapriamo il terminale e diamo il comando:

check-selinux-installation

Praticamente in ogni caso vi si presenteranno diversi errori.
Noi ne abbiamo riscontrati due.
- Uno riguardante il PAM;
- L'altro riguardante FSCK;

 

 

ERRORE FSCK
È un errore tipico. SELinux sta semplicemente chiedendo di poter riparare il filesystem nel caso sia danneggiato.
La procedura correzione del problema è molto semplice.
Diamo da terminale il comando:

grep FSC /etc/default/rcS

E se l'output è simile a:

#FSCKFIX=no

Dobbiamo cambiarlo. Diamo da terminale il comando:

nano /etc/default/rcS

 

Seconda

Andiamo ora all'ultima riga, togliamo il commento, # e dopo l'uguale, al posto di no, inseriamo yes.

 

 

ERORE PAM
L'errore riguardante il PAM è molto più semplice da risolvere in quanto è un falso positivo.
A questo punto ridiamo il comando:

check-selinux-installation

E se otteniamo un output che lista solo l'errore PAM siamo a cavallo.


Senza Errori

 

 

ULTIME CONFIGURAZIONI
Di default, alla fine dell'installazione SELinux è impostato in modalità Permissive. Per incrementare definitivamente la sicurezza impostiamo la modalità Enforcing.
Diamo da terminale il comando:

/usr/sbin/getenforce

Per sapere la modalità attuale a cui è impostato SELinux. Se l'output è Permissive, noi di Tux Maniacs vi consigliamo caldamente di impostarla in Enforcing.
Ora non ci resta che cambiare il valore:

/usr/sbin/setenforce 1

Così facendo impostiamo in modalità Enforcing permanentemente.

Il prossimo post di Giovedì sarà ancora incentrato su SELinux.
Se ti sei perso la puntata precedente di SELinux, segui questo link.
Se vuoi restare aggiornato su tutti i post che vengono pubblicati sul blog, iscriviti alla newsletter gratuita o metti mi piace alla pagina ufficiale di Tux Maniacs su Facebook.

 

Link alle puntate:
- Prima Puntata.
- Terza Puntata.

 

Fonti:
- Immagini di Joel Garia;
- SELinux documentation;
- SELinux for Debian;

Dottore in Informatica. Appassionato di computer fin dal primo PC Olivetti con Windows 95 e la bellezza di 8 MB di RAM.
Utilizzatore Linux da 5 anni, credo profondamente nella filosofia open source.
Dopo tante distro provate sul mio fidato Toshiba, uso Fedora per lo studio e il divertimento.

Lascia un commento