[gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened/selinux: hb-using-configuring.xml - gentoo-commits

From:	"JosA MarAa Alonso (nimiux)" <nimiux@g.o>
To:	gentoo-commits@l.g.o
Subject:	[gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened/selinux: hb-using-configuring.xml
Date:	Mon, 28 May 2012 11:26:30
Message-Id:	`20120528112615.E339D2004C@flycatcher.gentoo.org`

1

nimiux      12/05/28 11:26:15

2

3

  Modified:             hb-using-configuring.xml

4

  Log:

5

  Update with initramfs information as well as graphical logon instructions

6

7

Revision  Changes    Path

8

1.3                  xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml

9

10

file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&view=markup

11

plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&content-type=text/plain

12

diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?r1=1.2&r2=1.3

13

14

Index: hb-using-configuring.xml

15

===================================================================

16

RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v

17

retrieving revision 1.2

18

retrieving revision 1.3

19

diff -u -r1.2 -r1.3

20

--- hb-using-configuring.xml	28 Oct 2011 18:25:31 -0000	1.2

21

+++ hb-using-configuring.xml	28 May 2012 11:26:15 -0000	1.3

22

@@ -4,11 +4,12 @@

23

 <!-- The content of this document is licensed under the CC-BY-SA license -->

24

 <!-- See http://creativecommons.org/licenses/by-sa/1.0 -->

25

26

-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.2 2011/10/28 18:25:31 nimiux Exp $ -->

27

+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $ -->

28

29

 <sections>

30

-<version>1</version>

31

-<date>2011-09-30</date>

32

+<version>2</version>

33

+<date>2012-05-26</date>

34

+

35

36

 <section>

37

 <title>Administrando usuarios</title>

38

@@ -23,7 +24,7 @@

39

 "staff_u". Si está corriendo un sistema multiusuario, la gestión de los

40

 mapeos de derechos es importante. Un usuario que se mapea al usuario

41

 "user_u" no obtendrá ningún derecho adicional. Incluso si le concediera

42

-derechos adicionales a través de comandos como <c>sudo</c>, la

43

+derechos adicionales a través de órdenes como <c>sudo</c>, la

44

 directriz de SELinux no le permitiría a este usuario hacer nada que esté

45

 relacionado con la administración.

46

 </p>

47

@@ -1051,4 +1052,112 @@

48

 </body>

49

 </subsection>

50

 </section>

51

+<section>

52

+<title>Siguientes pasos</title>

53

+<subsection>

54

+<title>¿Qué hacer ahora?</title>

55

+<body>

56

+

57

+<p>

58

+Hasta ahora, su sistema ha estado corriendo en <e>modo permisivo</e>.

59

+Necesitará habilitar el modo <e>forzado</e> antes de estar protegido

60

+adecuadamente mediante SELinux. Discutiremos cómo cambiar al modo forzado

61

+en <uri link="?part=2&amp;chap=4">Permisivo, no confinado, deshabilitado o

62

+lo que no...</uri>, pero antes de eso, necesitará tener en cuenta algunas

63

+cosas...

64

+</p>

65

+

66

+</body>

67

+</subsection>

68

+<subsection>

69

+<title>Usuarios de Initramfs</title>

70

+<body>

71

+

72

+<p>

73

+Si su sistema utiliza un initramfs para arrancar, <e>no</e> podrá iniciar

74

+el sistema directamente en modo forzado (debido a la <uri

75

+link="https://bugs.gentoo.org/397567">incidencia #397597</uri>). Para

76

+evitar esta cuestión, puede crear el siguiente guión de inicio que

77

+cambiará de modo permisivo a modo forzado de una forma razonablemente

78

+rápida dentro del proceso de inicio (y antes de arrancar los servicios

79

+de red):

80

+</p>

81

+

82

+<pre caption="Contenido de /etc/init.d/selinux_enforce">

83

+#!/sbin/runscript

84

+# Copyright 1999-2012 Gentoo Foundation

85

+# Distributed under the terms of the GNU General Public License v2

86

+# $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $

87

+

88

+description="Switch into SELinux enforcing mode"

89

+

90

+depend() {

91

+        need localmount

92

+}

93

+

94

+start() {

95

+        ebegin "Restoring file contexts in /dev"

96

+        restorecon -R /dev

97

+        eend 0

98

+

99

+        if get_bootparam "nosetenforce" ; then

100

+                ewarn "Skipping switching to enforcing mode as requested by kernel cmdline"

101

+        else

102

+                . /etc/selinux/config

103

+

104

+                if [ "${SELINUX}" = "enforcing" ];

105

+                then

106

+                        ebegin "Switching to enforcing mode"

107

+                        setenforce 1

108

+                        eend $?

109

+                fi

110

+        fi

111

+}

112

+</pre>

113

+

114

+<p>

115

+Añada el guión de inicio al nivel de ejecución boot, y edite la

116

+configuración de su gestor de arranque para arrancar siempre con la

117

+definición <c>enforcing=0</c>. El guión de inicio actualizará los

118

+contextos de fichero en <path>/dev</path> y a continuación, si su

119

+sistema está configurado para arrancar en modo forzado, cambiará a

120

+ese modo.

121

+</p>

122

+

123

+<p>

124

+Si necesita permanecer en modo permisivo de forma temporal, puede añadir

125

+<c>nosetenforce</c> como parámetro de inicio (despúes de <c>enforcing=0</c>)

126

+lo cual evitará el paso <c>setenforce</c>).

127

+</p>

128

+

129

+</body>

130

+</subsection>

131

+<subsection>

132

+<title>Usuarios de entornos gráficos</title>

133

+<body>

134

+

135

+<p>

136

+Si arranca en un entorno gráfico (es decir, si utiliza GDM, KDM u otro

137

+gestor gráfico de acceso al sistema), necesitará actualizar el o los

138

+fichero(s) de configuración PAM de los gestores mediante las siguientes

139

+indicaciones:

140

+</p>

141

+

142

+<pre caption="Ejemplo de actualización del fichero de configuración LXDM PAM">

143

+<comment># /etc/pam.d/lxdm</comment>

144

+<comment># [...]</comment>

145

+session    required     pam_loginuid.so

146

+session    optional     pam_gnome_keyring.so auto_start

147

+<i>session optional     pam_selinux.so</i>

148

+</pre>

149

+

150

+<p>

151

+Esto asegurará que el contesto de seguridad en el que ha accedido al sistema

152

+está definido correctamente. Actualizaremos los paquete que definen esos

153

+ficheros PAM de forma adecuada, pero esto nos llevará algún tiempo.

154

+</p>

155

+

156

+</body>

157

+</subsection>

158

+</section>

159

 </sections>

1	nimiux 12/05/28 11:26:15
2
3	Modified: hb-using-configuring.xml
4	Log:
5	Update with initramfs information as well as graphical logon instructions
6
7	Revision Changes Path
8	1.3 xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml
9
10	file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&view=markup
11	plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?rev=1.3&content-type=text/plain
12	diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml?r1=1.2&r2=1.3
13
14	Index: hb-using-configuring.xml
15	===================================================================
16	RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v
17	retrieving revision 1.2
18	retrieving revision 1.3
19	diff -u -r1.2 -r1.3
20	--- hb-using-configuring.xml 28 Oct 2011 18:25:31 -0000 1.2
21	+++ hb-using-configuring.xml 28 May 2012 11:26:15 -0000 1.3
22	@@ -4,11 +4,12 @@
23	<!-- The content of this document is licensed under the CC-BY-SA license -->
24	<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
25
26	-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.2 2011/10/28 18:25:31 nimiux Exp $ -->
27	+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $ -->
28
29	<sections>
30	-<version>1</version>
31	-<date>2011-09-30</date>
32	+<version>2</version>
33	+<date>2012-05-26</date>
34	+
35
36	<section>
37	<title>Administrando usuarios</title>
38	@@ -23,7 +24,7 @@
39	"staff_u". Si está corriendo un sistema multiusuario, la gestión de los
40	mapeos de derechos es importante. Un usuario que se mapea al usuario
41	"user_u" no obtendrá ningún derecho adicional. Incluso si le concediera
42	-derechos adicionales a través de comandos como <c>sudo</c>, la
43	+derechos adicionales a través de órdenes como <c>sudo</c>, la
44	directriz de SELinux no le permitiría a este usuario hacer nada que esté
45	relacionado con la administración.
46	</p>
47	@@ -1051,4 +1052,112 @@
48	</body>
49	</subsection>
50	</section>
51	+<section>
52	+<title>Siguientes pasos</title>
53	+<subsection>
54	+<title>¿Qué hacer ahora?</title>
55	+<body>
56	+
57	+<p>
58	+Hasta ahora, su sistema ha estado corriendo en <e>modo permisivo</e>.
59	+Necesitará habilitar el modo <e>forzado</e> antes de estar protegido
60	+adecuadamente mediante SELinux. Discutiremos cómo cambiar al modo forzado
61	+en <uri link="?part=2&chap=4">Permisivo, no confinado, deshabilitado o
62	+lo que no...</uri>, pero antes de eso, necesitará tener en cuenta algunas
63	+cosas...
64	+</p>
65	+
66	+</body>
67	+</subsection>
68	+<subsection>
69	+<title>Usuarios de Initramfs</title>
70	+<body>
71	+
72	+<p>
73	+Si su sistema utiliza un initramfs para arrancar, <e>no</e> podrá iniciar
74	+el sistema directamente en modo forzado (debido a la <uri
75	+link="https://bugs.gentoo.org/397567">incidencia #397597</uri>). Para
76	+evitar esta cuestión, puede crear el siguiente guión de inicio que
77	+cambiará de modo permisivo a modo forzado de una forma razonablemente
78	+rápida dentro del proceso de inicio (y antes de arrancar los servicios
79	+de red):
80	+</p>
81	+
82	+<pre caption="Contenido de /etc/init.d/selinux_enforce">
83	+#!/sbin/runscript
84	+# Copyright 1999-2012 Gentoo Foundation
85	+# Distributed under the terms of the GNU General Public License v2
86	+# $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-configuring.xml,v 1.3 2012/05/28 11:26:15 nimiux Exp $
87	+
88	+description="Switch into SELinux enforcing mode"
89	+
90	+depend() {
91	+ need localmount
92	+}
93	+
94	+start() {
95	+ ebegin "Restoring file contexts in /dev"
96	+ restorecon -R /dev
97	+ eend 0
98	+
99	+ if get_bootparam "nosetenforce" ; then
100	+ ewarn "Skipping switching to enforcing mode as requested by kernel cmdline"
101	+ else
102	+ . /etc/selinux/config
103	+
104	+ if [ "${SELINUX}" = "enforcing" ];
105	+ then
106	+ ebegin "Switching to enforcing mode"
107	+ setenforce 1
108	+ eend $?
109	+ fi
110	+ fi
111	+}
112	+</pre>
113	+
114	+<p>
115	+Añada el guión de inicio al nivel de ejecución boot, y edite la
116	+configuración de su gestor de arranque para arrancar siempre con la
117	+definición <c>enforcing=0</c>. El guión de inicio actualizará los
118	+contextos de fichero en <path>/dev</path> y a continuación, si su
119	+sistema está configurado para arrancar en modo forzado, cambiará a
120	+ese modo.
121	+</p>
122	+
123	+<p>
124	+Si necesita permanecer en modo permisivo de forma temporal, puede añadir
125	+<c>nosetenforce</c> como parámetro de inicio (despúes de <c>enforcing=0</c>)
126	+lo cual evitará el paso <c>setenforce</c>).
127	+</p>
128	+
129	+</body>
130	+</subsection>
131	+<subsection>
132	+<title>Usuarios de entornos gráficos</title>
133	+<body>
134	+
135	+<p>
136	+Si arranca en un entorno gráfico (es decir, si utiliza GDM, KDM u otro
137	+gestor gráfico de acceso al sistema), necesitará actualizar el o los
138	+fichero(s) de configuración PAM de los gestores mediante las siguientes
139	+indicaciones:
140	+</p>
141	+
142	+<pre caption="Ejemplo de actualización del fichero de configuración LXDM PAM">
143	+<comment># /etc/pam.d/lxdm</comment>
144	+<comment># [...]</comment>
145	+session required pam_loginuid.so
146	+session optional pam_gnome_keyring.so auto_start
147	+<i>session optional pam_selinux.so</i>
148	+</pre>
149	+
150	+<p>
151	+Esto asegurará que el contesto de seguridad en el que ha accedido al sistema
152	+está definido correctamente. Actualizaremos los paquete que definen esos
153	+ficheros PAM de forma adecuada, pero esto nos llevará algún tiempo.
154	+</p>
155	+
156	+</body>
157	+</subsection>
158	+</section>
159	</sections>

Gentoo Archives: gentoo-commits