個人用ツール

Pandora:Documentation ja:SELinux configuration for Pandora FMS

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS のための SELinux 設定

概要

We have always recomended instal Pandora with SELinux disabled (even automaticaly added in our ISO file), but there are many enviroments that we must have it enabled for security issues.

通常、Pandora のインストールでは SELinux は無効化することをお勧めしています(我々の ISO イメージには追加されてます)。しかし、セキュリティ上の理由から有効化が必要な環境も多くあります。

In this guide we will detail how to create policies for the differents modules inside SELinux in a custom way.

ここでは、カスタムで SELinux で個々のモジュールのポリシーを作成する方法を示します。

In order to create this rules, we will use Audit2allow, it will be ___ to alow the needed actions.

ルールを作成するには、Audit2allow を利用します。必要なアクションを許可するには ___ です。

Audit2allow のインストール

Before to start the installation, it may be possible to install different kind of packages in order to use Audit2allow.

インストールを開始するまえに、Audit2allow を使うために必要なパッケージをインストールします。

# sudo yum install SELinux-policy-devel
# sudo yum install policycoreutils-python

SELinux ディレクトリの場所

Errors returned by SELinux could be locate in the route bellow:

SELinux が返すエラーは、以下にあります。

- /var/log/audit/audit.log - /var/log/messages

In order to check the cleanest way, we highly recomend to remove previous logs and wait until it are generated again with new records.

確認をしやすくするために、すでに出ているログを削除し新たなログが出るまで待つことを強くお勧めします。

Stop syslog (This service could be called rsyslog too):

syslog を停止します。(rsyslog の場合もあります)

# /etc/init.d/syslog stop 

Remove audit.log and system message log file.

audit.log とシステムのメッセージログファイルを削除します。

# rm /var/log/audit/audit.log /var/log/messages

And start it again:

syslog を再開します。

# /etc/init.d/syslog start

SELinux 設定

To configure SELinux with the desired value, we will modify its configuration file:

SELinux を希望の内容で設定するには、設定ファイルを編集します。

# This file controls the state of SELinux on the system.
# SELinux= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELinux=enforcing
# SELinuxTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELinuxTYPE=targeted

We will set SELinux to "enforcing" in order to execute in a restrictive way (check audit.log for denied executions by SELinux). The other option is to set SELinux to "permissive", it won't block executions and it will record errors in the audit.log file.

プログラムの実行に制限を付けるには、SELinux を "enforcing" に設定します(SELinux での実行制限は audit.log で確認します)。別のオプションとしては SELinux を "permissive" に設定します。この場合、実行は制限されませんが、audit.log ファイルにエラーが記録されます。

ポリシールールを作成するためのエントリーの検索

To show the last input logs, execute:

最新のログを見るにはつぎのようにします。

# tail -f /var/log/audit/audit.log /var/log/messages

You can notice some errors like:

次のようないくつかのエラーがみつかります。

# type=AVC msg=audit(1431437562.755:437): avc:  denied  { write } for  pid=1835 comm="httpd" name="collections" dev=dm-0 ino=266621 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_spool_t:s0 tclass=dir

To convert these errors in SELinux rules:

これらのエラーを SELinux ルールに変換します。

# grep collections /var/log/audit/audit.log | audit2allow -M pandora

After this, 2 new files will be created:

実行すると 2つの新たなファイルが作成されます。

- pandora.pp
- pandora.te

To activate the new rule, we will execute:

新たなルールを有効化するには、次のようにします。

# sudo semodule -i pandora.pp

Repeat the process to add missed rules. After this, SELinux will stop reporting errors.

エラーが出たものをルールに追加する対応を繰り返します。その後、SELinux からエラーの出力がなくなります。

Pandora FMS の適切な動作に必要なルール

If you want that PandoraFMS execute all services properly, you will have to create some rules for the following operations:

Pandora FMS が実行するすべてのサービスが正しく動作するようにしたい場合は、次の操作を許可するいくつかのルールを作成する必要があります。

- Create, update and delete collections.

- コレクションの作成、更新、削除

- Send e-mails by programmed tasks (Cronjob).

- プログラムタスクによるメール送信 (cronジョブ)

- Agent remote config.

- エージェントのリモート設定

The other way, SELinux will block any accion associated to this operations.

逆にいうと、SELinux はこれらの操作に関連するアクションをブロックします。

In order to join all rules in one and use PandoraFMS with SELinux enabled, it will be:

SELinux が有効化された状態で Pandora FMS を利用するためのルールを追加するには、次のようにします。

# grep -e data_in -e collections -e var_spool_t -e zip -e md5 -e denied /var/log/audit/audit.log | audit2allow -M pandora

After that you will have to repeat the step above to enable the rule.

その後、ルールを有効化するための前述の対応を行う必要があります。

# sudo semodule -i pandora.pp