1 |
nimiux 12/05/28 11:26:15 |
2 |
|
3 |
Modified: hb-using-configuring.xml |
4 |
Log: |
5 |
Update with initramfs information as well as graphical logon instructions |
6 |
|
7 |
Revision Changes Path |
8 |
1.3 xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&view=markup |
11 |
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?r1=1.2&r2=1.3 |
13 |
|
14 |
Index: hb-using-configuring.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v |
17 |
retrieving revision 1.2 |
18 |
retrieving revision 1.3 |
19 |
diff -u -r1.2 -r1.3 |
20 |
--- hb-using-configuring.xml 28 Oct 2011 18:25:31 -0000 1.2 |
21 |
+++ hb-using-configuring.xml 28 May 2012 11:26:15 -0000 1.3 |
22 |
@@ -4,11 +4,12 @@ |
23 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
24 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
25 |
|
26 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.2 2011/10/28 18:25:31 nimiux Exp $ --> |
27 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $ --> |
28 |
|
29 |
<sections> |
30 |
-<version>1</version> |
31 |
-<date>2011-09-30</date> |
32 |
+<version>2</version> |
33 |
+<date>2012-05-26</date> |
34 |
+ |
35 |
|
36 |
<section> |
37 |
<title>Administrando usuarios</title> |
38 |
@@ -23,7 +24,7 @@ |
39 |
"staff_u". Si está corriendo un sistema multiusuario, la gestión de los |
40 |
mapeos de derechos es importante. Un usuario que se mapea al usuario |
41 |
"user_u" no obtendrá ningún derecho adicional. Incluso si le concediera |
42 |
-derechos adicionales a través de comandos como <c>sudo</c>, la |
43 |
+derechos adicionales a través de órdenes como <c>sudo</c>, la |
44 |
directriz de SELinux no le permitiría a este usuario hacer nada que esté |
45 |
relacionado con la administración. |
46 |
</p> |
47 |
@@ -1051,4 +1052,112 @@ |
48 |
</body> |
49 |
</subsection> |
50 |
</section> |
51 |
+<section> |
52 |
+<title>Siguientes pasos</title> |
53 |
+<subsection> |
54 |
+<title>¿Qué hacer ahora?</title> |
55 |
+<body> |
56 |
+ |
57 |
+<p> |
58 |
+Hasta ahora, su sistema ha estado corriendo en <e>modo permisivo</e>. |
59 |
+Necesitará habilitar el modo <e>forzado</e> antes de estar protegido |
60 |
+adecuadamente mediante SELinux. Discutiremos cómo cambiar al modo forzado |
61 |
+en <uri link="?part=2&chap=4">Permisivo, no confinado, deshabilitado o |
62 |
+lo que no...</uri>, pero antes de eso, necesitará tener en cuenta algunas |
63 |
+cosas... |
64 |
+</p> |
65 |
+ |
66 |
+</body> |
67 |
+</subsection> |
68 |
+<subsection> |
69 |
+<title>Usuarios de Initramfs</title> |
70 |
+<body> |
71 |
+ |
72 |
+<p> |
73 |
+Si su sistema utiliza un initramfs para arrancar, <e>no</e> podrá iniciar |
74 |
+el sistema directamente en modo forzado (debido a la <uri |
75 |
+link="https://bugs.gentoo.org/397567">incidencia #397597</uri>). Para |
76 |
+evitar esta cuestión, puede crear el siguiente guión de inicio que |
77 |
+cambiará de modo permisivo a modo forzado de una forma razonablemente |
78 |
+rápida dentro del proceso de inicio (y antes de arrancar los servicios |
79 |
+de red): |
80 |
+</p> |
81 |
+ |
82 |
+<pre caption="Contenido de /etc/init.d/selinux_enforce"> |
83 |
+#!/sbin/runscript |
84 |
+# Copyright 1999-2012 Gentoo Foundation |
85 |
+# Distributed under the terms of the GNU General Public License v2 |
86 |
+# $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $ |
87 |
+ |
88 |
+description="Switch into SELinux enforcing mode" |
89 |
+ |
90 |
+depend() { |
91 |
+ need localmount |
92 |
+} |
93 |
+ |
94 |
+start() { |
95 |
+ ebegin "Restoring file contexts in /dev" |
96 |
+ restorecon -R /dev |
97 |
+ eend 0 |
98 |
+ |
99 |
+ if get_bootparam "nosetenforce" ; then |
100 |
+ ewarn "Skipping switching to enforcing mode as requested by kernel cmdline" |
101 |
+ else |
102 |
+ . /etc/selinux/config |
103 |
+ |
104 |
+ if [ "${SELINUX}" = "enforcing" ]; |
105 |
+ then |
106 |
+ ebegin "Switching to enforcing mode" |
107 |
+ setenforce 1 |
108 |
+ eend $? |
109 |
+ fi |
110 |
+ fi |
111 |
+} |
112 |
+</pre> |
113 |
+ |
114 |
+<p> |
115 |
+Añada el guión de inicio al nivel de ejecución boot, y edite la |
116 |
+configuración de su gestor de arranque para arrancar siempre con la |
117 |
+definición <c>enforcing=0</c>. El guión de inicio actualizará los |
118 |
+contextos de fichero en <path>/dev</path> y a continuación, si su |
119 |
+sistema está configurado para arrancar en modo forzado, cambiará a |
120 |
+ese modo. |
121 |
+</p> |
122 |
+ |
123 |
+<p> |
124 |
+Si necesita permanecer en modo permisivo de forma temporal, puede añadir |
125 |
+<c>nosetenforce</c> como parámetro de inicio (despúes de <c>enforcing=0</c>) |
126 |
+lo cual evitará el paso <c>setenforce</c>). |
127 |
+</p> |
128 |
+ |
129 |
+</body> |
130 |
+</subsection> |
131 |
+<subsection> |
132 |
+<title>Usuarios de entornos gráficos</title> |
133 |
+<body> |
134 |
+ |
135 |
+<p> |
136 |
+Si arranca en un entorno gráfico (es decir, si utiliza GDM, KDM u otro |
137 |
+gestor gráfico de acceso al sistema), necesitará actualizar el o los |
138 |
+fichero(s) de configuración PAM de los gestores mediante las siguientes |
139 |
+indicaciones: |
140 |
+</p> |
141 |
+ |
142 |
+<pre caption="Ejemplo de actualización del fichero de configuración LXDM PAM"> |
143 |
+<comment># /etc/pam.d/lxdm</comment> |
144 |
+<comment># [...]</comment> |
145 |
+session required pam_loginuid.so |
146 |
+session optional pam_gnome_keyring.so auto_start |
147 |
+<i>session optional pam_selinux.so</i> |
148 |
+</pre> |
149 |
+ |
150 |
+<p> |
151 |
+Esto asegurará que el contesto de seguridad en el que ha accedido al sistema |
152 |
+está definido correctamente. Actualizaremos los paquete que definen esos |
153 |
+ficheros PAM de forma adecuada, pero esto nos llevará algún tiempo. |
154 |
+</p> |
155 |
+ |
156 |
+</body> |
157 |
+</subsection> |
158 |
+</section> |
159 |
</sections> |