1 |
nimiux 12/05/02 21:18:04 |
2 |
|
3 |
Modified: hb-using-install.xml hb-using-policies.xml |
4 |
hb-using-states.xml |
5 |
Log: |
6 |
Update with 20120215 related material |
7 |
|
8 |
Revision Changes Path |
9 |
1.10 xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml |
10 |
|
11 |
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml?rev=1.10&view=markup |
12 |
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml?rev=1.10&content-type=text/plain |
13 |
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml?r1=1.9&r2=1.10 |
14 |
|
15 |
Index: hb-using-install.xml |
16 |
=================================================================== |
17 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml,v |
18 |
retrieving revision 1.9 |
19 |
retrieving revision 1.10 |
20 |
diff -u -r1.9 -r1.10 |
21 |
--- hb-using-install.xml 11 Apr 2012 22:22:26 -0000 1.9 |
22 |
+++ hb-using-install.xml 2 May 2012 21:18:04 -0000 1.10 |
23 |
@@ -4,11 +4,11 @@ |
24 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
25 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
26 |
|
27 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml,v 1.9 2012/04/11 22:22:26 nimiux Exp $ --> |
28 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-install.xml,v 1.10 2012/05/02 21:18:04 nimiux Exp $ --> |
29 |
|
30 |
<sections> |
31 |
-<version>20</version> |
32 |
-<date>2012-04-10</date> |
33 |
+<version>21</version> |
34 |
+<date>2012-04-29</date> |
35 |
|
36 |
<section> |
37 |
<title>Instalar Gentoo (Hardened)</title> |
38 |
@@ -93,6 +93,10 @@ |
39 |
</body> |
40 |
</subsection> |
41 |
--> |
42 |
+<!-- |
43 |
+TODO Validate after 2.20120215-r8 is stable that this is no longer |
44 |
+necessary? Not sure about it though : check userspace ebuilds as well. |
45 |
+--> |
46 |
<subsection> |
47 |
<title>Cambiar a Python 2</title> |
48 |
<body> |
49 |
@@ -289,20 +293,6 @@ |
50 |
</p> |
51 |
|
52 |
<ul> |
53 |
- <!-- |
54 |
- TODO When 2.20120215-r5 or higher is stabilized, the LVM change is not |
55 |
- needed anymore |
56 |
- --> |
57 |
- <li> |
58 |
- Si utiliza LVM para uno o más de sus sistemas de ficheros, necesitará |
59 |
- editar <path>/lib/rcscripts/addons/lvm-start.sh</path> |
60 |
- (o <path>/lib64/..</path>) y <path>lvm-stop.sh</path> y ajustar la |
61 |
- la configuración de la localización de <path>/dev/.lvm</path> a |
62 |
- <path>/etc/lvm/lock</path>. A continuación, cree el directorio |
63 |
- <path>/etc/lvm/lock</path>. Finalmente, añada |
64 |
- <path>/lib(64)/rcscripts/addons</path> a <c>CONFIG_PROTECT</c> en su |
65 |
- fichero <path>make.conf</path>. |
66 |
- </li> |
67 |
<li> |
68 |
Compruebe si tiene los ficheros <path>*.old</path> en <path>/bin</path>. |
69 |
Si es así, puede eliminarlos o hacer una copia de los mismos de forma |
70 |
@@ -434,8 +424,8 @@ |
71 |
|
72 |
<pre caption="Habilitar las opciones del sistema de ficheros específicas de selinux"> |
73 |
<comment># El montaje de udev se debe al bug #373381</comment> |
74 |
-udev /dev tmpfs rw,rootcontext=system_u:object_r:device_t,seclabel,nosuid,relatime,size=10m,mode=755 0 0 |
75 |
-none /selinux selinuxfs defaults 0 0 |
76 |
+udev /dev tmpfs rw,rootcontext=system_u:object_r:device_t,seclabel,nosuid,relatime,size=10m,mode=755 0 0 |
77 |
+none /sys/fs/selinux selinuxfs defaults 0 0 |
78 |
</pre> |
79 |
|
80 |
<note> |
81 |
@@ -443,14 +433,6 @@ |
82 |
nivel de sensibilidad, por lo que: <c>...:device_t:s0</c>. |
83 |
</note> |
84 |
|
85 |
-<p> |
86 |
-Cree igualmente el punto de montaje <path>/selinux</path>: |
87 |
-</p> |
88 |
- |
89 |
-<pre caption="Crear el punto de montaje /selinux"> |
90 |
-~# <i>mkdir /selinux</i> |
91 |
-</pre> |
92 |
- |
93 |
</body> |
94 |
</subsection> |
95 |
<subsection> |
96 |
@@ -460,7 +442,7 @@ |
97 |
<p> |
98 |
Una vez realizados los cambios mencionados arriba, reinicie su sistema. |
99 |
Asegúrese de que ahora está corriendo un núcleo Linux con SELinux |
100 |
-habilitado (el sistema de ficheros <path>/selinux</path> deberá estar |
101 |
+habilitado (el sistema de ficheros <path>/sys/fs/selinux</path> deberá estar |
102 |
montado). No se preocupe, todavía no está activado SELinux. |
103 |
</p> |
104 |
|
105 |
|
106 |
|
107 |
|
108 |
1.3 xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml |
109 |
|
110 |
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml?rev=1.3&view=markup |
111 |
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml?rev=1.3&content-type=text/plain |
112 |
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml?r1=1.2&r2=1.3 |
113 |
|
114 |
Index: hb-using-policies.xml |
115 |
=================================================================== |
116 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml,v |
117 |
retrieving revision 1.2 |
118 |
retrieving revision 1.3 |
119 |
diff -u -r1.2 -r1.3 |
120 |
--- hb-using-policies.xml 29 Mar 2012 17:29:21 -0000 1.2 |
121 |
+++ hb-using-policies.xml 2 May 2012 21:18:04 -0000 1.3 |
122 |
@@ -4,11 +4,11 @@ |
123 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
124 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
125 |
|
126 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml,v 1.2 2012/03/29 17:29:21 nimiux Exp $ --> |
127 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-policies.xml,v 1.3 2012/05/02 21:18:04 nimiux Exp $ --> |
128 |
|
129 |
<sections> |
130 |
-<version>3</version> |
131 |
-<date>2012-03-01</date> |
132 |
+<version>4</version> |
133 |
+<date>2012-04-29</date> |
134 |
|
135 |
<section> |
136 |
<title>Lenguaje de la directriz SELinux</title> |
137 |
@@ -372,6 +372,129 @@ |
138 |
') |
139 |
</pre> |
140 |
|
141 |
+<p> |
142 |
+La siguiente tabla muestra algunas interfaces comunes que se podrían |
143 |
+utilizar. Recomendamos echar un vistazo a las interfaces disponibles |
144 |
+cuando cree o mejore sus propios módulos. Asegúrese de elegir la |
145 |
+interfaz que añade exactamente lo que necesita y nada más. |
146 |
+</p> |
147 |
+ |
148 |
+<table> |
149 |
+<tr> |
150 |
+ <th colspan="3">Plantillas</th> |
151 |
+</tr> |
152 |
+<tr> |
153 |
+ <th>Sufijo</th> |
154 |
+ <th>Ejemplo</th> |
155 |
+ <th>Descripción</th> |
156 |
+</tr> |
157 |
+<tr> |
158 |
+ <ti>_template</ti> |
159 |
+ <ti>virt_domain_template(prefijo)</ti> |
160 |
+ <ti> |
161 |
+ No se trata realmente de una interfaz, las plantillas crean dominios |
162 |
+ adicionales basados en la información que se les facilita. Esto se |
163 |
+ realiza normalmente en plantillas de directriz ajustadas finamente con |
164 |
+ un (sub)conjunto de privilegios. |
165 |
+ </ti> |
166 |
+</tr> |
167 |
+<tr> |
168 |
+ <th colspan="3">Transformaciones</th> |
169 |
+</tr> |
170 |
+<tr> |
171 |
+ <th>Sufijo</th> |
172 |
+ <th>Ejemplo</th> |
173 |
+ <th>Descripción</th> |
174 |
+</tr> |
175 |
+<tr> |
176 |
+ <ti></ti> |
177 |
+ <ti>miscfiles_cert_type(recurso)</ti> |
178 |
+ <ti> |
179 |
+ Las interfaces de transformación, generalmente añaden atributos |
180 |
+ específicos a recursos o dominios. Los atributos "transforman" el |
181 |
+ recurso dado en algo más. En el ejemplo dado, |
182 |
+ miscfiles_cert_type(recurso), asigna el atributo cert_type al |
183 |
+ recurso (y también lo marca como un fichero). Las interfaces como |
184 |
+ miscfiles_read_all_certs trabajan con estos atributos. |
185 |
+ </ti> |
186 |
+</tr> |
187 |
+<tr> |
188 |
+ <th colspan="3">Interfaces de acceso</th> |
189 |
+</tr> |
190 |
+<tr> |
191 |
+ <th>Sufijo</th> |
192 |
+ <th>Ejemplo</th> |
193 |
+ <th>Descripción</th> |
194 |
+</tr> |
195 |
+<tr> |
196 |
+ <ti>_<access>_<recurso></ti> |
197 |
+ <ti>mta_getattr_spool(dominio)</ti> |
198 |
+ <ti> |
199 |
+ Concede acceso al dominio especificado al recurso mostrado. El |
200 |
+ recurso normalmente define también el tipo (como |
201 |
+ kudzu_getattr_exec_files: concede getattr sobre los ficheros |
202 |
+ kudzu_exec_t) a menos que sea obvio a partir del nombre, o cuando |
203 |
+ el recurso es un término más específico que el dominio. Puede incluir |
204 |
+ también dontaudit (como mta_dontaudit_getattr_spool). |
205 |
+ </ti> |
206 |
+</tr> |
207 |
+<tr> |
208 |
+ <ti>_exec</ti> |
209 |
+ <ti>dmesg_exec(dominio)</ti> |
210 |
+ <ti> |
211 |
+ Concede a un dominio el derecho de ejecutar el fichero ejecutable del |
212 |
+ dominio dado (en el ejemplo, permite a "dominio" ejecutar |
213 |
+ dmesg_exec_t files), pero sin implicar una transición del dominio. |
214 |
+ En otras palabras, dmesg se ejecuta pero está confinado por los |
215 |
+ privilegios del dominio fuente. |
216 |
+ </ti> |
217 |
+</tr> |
218 |
+<tr> |
219 |
+ <ti>_domtrans</ti> |
220 |
+ <ti>dmesg_domtrans(dominio)</ti> |
221 |
+ <ti> |
222 |
+ Concede a un dominio ejecutar y transicionar privilegios hacia el |
223 |
+ nuevo dominio. Esta interfaz es comúnmente utilizada para permitir |
224 |
+ a los dominios de aplicación transicionar a otros dominios. En el |
225 |
+ ejemplo dado, dmesg se ejecuta con los privilegios del dominio |
226 |
+ dmesg_t. |
227 |
+ </ti> |
228 |
+</tr> |
229 |
+<tr> |
230 |
+ <ti>_run</ti> |
231 |
+ <ti>netutils_run(dominio, rol)</ti> |
232 |
+ <ti> |
233 |
+ Concede a un rol y dominio dados los derechos para ejecutar y |
234 |
+ transicionar hacia el dominio dado. Esto se concede normalmente a |
235 |
+ roles y dominios de usuario (ya existentes) y les da un conjunto de |
236 |
+ privilegios necesarios para interactuar de forma segura con el |
237 |
+ nuevo dominio (interactivo), tal como el acceso a un terminal. |
238 |
+ </ti> |
239 |
+</tr> |
240 |
+<tr> |
241 |
+ <ti>_role</ti> |
242 |
+ <ti>xserver_role(rol, dominio)</ti> |
243 |
+ <ti> |
244 |
+ Permite al rol y dominio dado los permisos necesarios para |
245 |
+ transicionar e interactuar con el dominio dado. Esta interfaz se |
246 |
+ ha mejorado con los privilegios para interactuar más extensamente |
247 |
+ con el dominio (y sus ficheros correspondientes), y normalmente |
248 |
+ se asigna a los nuevos usuarios y roles creados en la directriz |
249 |
+ (en lugar de mejorar los dominios y roles de usuario ya existentes). |
250 |
+ </ti> |
251 |
+</tr> |
252 |
+<tr> |
253 |
+ <ti>_admin</ti> |
254 |
+ <ti>aide_admin(dominio)</ti> |
255 |
+ <ti> |
256 |
+ Concede al dominio dado los derechos para administrar el entorno |
257 |
+ del dominio objetivo. Esto normalmente involucra privilegios para |
258 |
+ gestionar y reetiquetar todos los ficheros, directorios, zócalos |
259 |
+ (sockets), etc. asociados. |
260 |
+ </ti> |
261 |
+</tr> |
262 |
+</table> |
263 |
+ |
264 |
</body> |
265 |
</subsection> |
266 |
</section> |
267 |
|
268 |
|
269 |
|
270 |
1.2 xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml |
271 |
|
272 |
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml?rev=1.2&view=markup |
273 |
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml?rev=1.2&content-type=text/plain |
274 |
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml?r1=1.1&r2=1.2 |
275 |
|
276 |
Index: hb-using-states.xml |
277 |
=================================================================== |
278 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml,v |
279 |
retrieving revision 1.1 |
280 |
retrieving revision 1.2 |
281 |
diff -u -r1.1 -r1.2 |
282 |
--- hb-using-states.xml 27 Oct 2011 17:29:55 -0000 1.1 |
283 |
+++ hb-using-states.xml 2 May 2012 21:18:04 -0000 1.2 |
284 |
@@ -4,11 +4,11 @@ |
285 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
286 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
287 |
|
288 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml,v 1.1 2011/10/27 17:29:55 nimiux Exp $ --> |
289 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/selinux/hb-using-states.xml,v 1.2 2012/05/02 21:18:04 nimiux Exp $ --> |
290 |
|
291 |
<sections> |
292 |
-<version>1</version> |
293 |
-<date>2011-10-15</date> |
294 |
+<version>2</version> |
295 |
+<date>2012-04-29</date> |
296 |
|
297 |
<section> |
298 |
<title>Estados de SELinux</title> |
299 |
@@ -152,7 +152,7 @@ |
300 |
</p> |
301 |
|
302 |
<pre caption="Conmutar entre forzado y permisivo a través de opciones de inicio"> |
303 |
-<comment>(La siguiente línea de núcleo del cargador GRUB kernel permitiría iniciar en modo permisivo)</comment> |
304 |
+<comment>(La siguiente línea del cargador del núcleo GRUB, permitiría iniciar en modo permisivo)</comment> |
305 |
kernel /kernel-2.6.39-hardened-r8 root=/dev/md3 rootflags=data=journal <i>enforcing=0</i> |
306 |
</pre> |
307 |
|
308 |
@@ -205,6 +205,27 @@ |
309 |
|
310 |
</body> |
311 |
</subsection> |
312 |
+<subsection> |
313 |
+<title>Modo Dominio permisivo</title> |
314 |
+<body> |
315 |
+ |
316 |
+<p> |
317 |
+Puede también optar por marcar un solo dominio permisivo mientras |
318 |
+ejecuta el resto del sistema en modo forzado. Por ejemplo, para marcar |
319 |
+mplayer_t como un dominio permisivo (lo que implica que SELinux no |
320 |
+forzará nada): |
321 |
+</p> |
322 |
+ |
323 |
+<pre caption="Marcar mplayer_t como permisivo"> |
324 |
+# <i>semanage permissive -a mplayer_t</i> |
325 |
+</pre> |
326 |
+ |
327 |
+<p> |
328 |
+Con la opción <c>-d</c>, puede eliminar la marca permisiva de nuevo. |
329 |
+</p> |
330 |
+ |
331 |
+</body> |
332 |
+</subsection> |
333 |
</section> |
334 |
|
335 |
<section> |