unit 1 introduction to system services j. valenzuela a. instituto profesional duoc uc semestre 1 -...
TRANSCRIPT
UNIT 1Introduction to System Services
J. Valenzuela A.Instituto Profesional DUOC UC
Semestre 1 - 2012
Objetivos
• Comprender como son administrados los servicios.
• Aprender acerca de los rasgos distintivos comunes entre servicios.
• Introducir los métodos de análisis de fallas de servicios.
Agenda
• Conceptos de administración de servicios.• Servicios administrados por init.• Administración de servicios System V.• Servicios administrados por xinetd.• Los archivos /etc/sysconfig.• Análisis de fallas.• Security Enhanced Linux, SELinux
Administración de Servicios
• Los servicios son administrados de varias maneras: por init por scripts System V por comandos directos Por xinetd
Servicios administrados por init
• Típicamente servicios no-TCP/IP, por ejemplo, dial-in modems.
• Servicios que involucran dial-in modems o puertos seriales (por ejemplo, terminales tontos) están bajo control de init.
• Provee capacidades de respawn – init puede automáticamente volver a ejecutar (respawn) un programa que termina.
Servicios administrados por init
• La administración del sistema X Window en run level 5 es un ejemplo de este tipo de servicio.
• Configurados en /etc/inittab.• Archivos de servicios en el directorio
/etc/init.d.
Administración de servicios System V
• Los procesos son “wrapped” (envueltos) por los scripts de inicialización System V.
• Mas que un script, a menudo son usados varios archivos de configuración, por servicio.
• Algunos servicios tiene mas de un demonio (daemon) administrado por el script service.
• El nombre del script y el nombre del demonio que lo inicia a menudo son similares, pero no siempre es así.
Administración de servicios System V
• La invocación del script del servicio puede ser realizada directamente, o bien a través del uso del comando service, por ejemplo: /etc/init.d/cups start o bien service cups start.
• El comando service es un “wrapper of wrappers”.
chkconfig
• Administra la definición de servicios a nivel de runlevels.
• Por ejemplo, para iniciar el servicio cups en el booteo: chkconfig cups on.
• chkconfig no modifica el estado de ejecución actual de los servicios System V.
• Se pueden listar las definiciones de los runlevels con: chkconfig --list.
chkconfig
[root@localhost~]# chkconfig --list[root@localhost~]# chkconfig xfs --list[root@localhost~]# chkconfig --list ¦ grep xfs
chkconfig
• Usando chkconfig una definición de servicio persiste a través de los reboots.
• chkconfig también administra servicios xinetd.[root@localhost~]# chkconfig cups --listcups 0:off 1:off 2:off 3:on 4:off 5:on …
• El comando chkconfig <service> on habilita por defecto el servicio en los runlevels 2, 3, 4 y 5.
chkconfig
• El comando chkconfig <service> off deshabilita el servicio en los runlevels 2, 3, 4 y 5.
• El comando chkconfig <service> --add asegura que un enlace simbólico kill o start es definido para cada runlevel.
• El comando chkconfig <service> --del remueve un servicio desde la administración de chkconfig.
chkconfig
• Por ejemplo, para “parar” el servicio nscd en los runlevels 3, 4 y 5, se utilizaría el siguiente comando:
#chkconfig --level 345 nscd off
Servicios administrados por xinetd
• Los servicios son iniciados por xinetd en respuesta a requerimientos entrantes.
• xinetd es también administrado por un script System V. El monitorea los puertos usados por todos los servicios bajo su cuidado, y inicia servicios en respuesta a conexiones entrantes.
• chkconfig activa/desactiva servicios xinetd instalados: chkconfig cups-lpd on.
• Archivos en el directorio /etc/xinetd.d/.
El demonio xinetd
• xinetd administra recursos específicos de red y autenticación: servicios necesitados menos frecuentemente, autenticación basada en hosts, servicios estadísticos y de logging, servicios de redirección de IP.
• xinetd reemplaza a inetd.• xinetd es linkeado con libwrap.so.• Archivos de configuración: /etc/xinetd.conf,
/etc/xinetd.d/service.
El demonio xinetd
• La configuración por defecto de xinetd se provee en el archivo de configuración de alto nivel /etc/xinetd.conf y archivos para servicios específicos bajo el árbol de directorio /etc/xinetd.d/.
• Los servicios que son necesitados menos frecuentemente, o que requieren administración de recursos adicionales, son típicamente controlados por xinetd.
El demonio xinetd
• xinetd en RHEL es compilado con soporte libwrap, esto causa que xinetd chequee por los nombres de todos los servicios soportados en host.allow y host.deny.
• Más información puede ser encontrada en http://www.xinetd.org.
xinetd default controls
• Archivo de configuración de alto nivel: /etc/xinetd.conf.
• El archivo de configuración /etc/xinetd.conf define las opciones de configuración globales compartidas por todos los servicios administrados por xinetd.
• También provee el path a configuraciones de servicios específicos.
xinetd default controls
• Un ejemplo de configuración por defecto de /etc/xinetd.conf se muestra a continuación:defaults{
instances = 60log_type = SYSLOG authprivlog_on_success = HOST PIDlog_on_failure = HOSTcps = 25 30
}includedir /etc/xinetd.d
xinetd service controls
• Configuración de servicios específicos: /etc/xinetd.d/<service>.
Archivos /etc/sysconfig
• Muchos archivos bajo /etc/sysconfig describen la configuración del hardware de la máquina; sin embargo, algunos de estos archivos configuran parámetros de servicios run-time.
• Algunos servicios son configurados por como ellos corren: named, sendmail, dhcpd, samba, init, syslog.
Fault Analysis
• Determinar la severidad de la falla: Cuando se está analizando una falla de servicio (o del sistema), se debe considerar su severidad. Mirar y leer los mensajes de error desplegados cuando se presenten.
• Estos mensajes pueden ser incluidos en un archivo de log, y a menudo describen el tipo de falla encontrado.
Fault Analysis
• Los sistemas operativos pueden fallar, o el hardware del sistema. También es posible, pero raro, que una combinación de estas causas potenciales pueda ocurrir al mismo tiempo, sin embargo, un sector malo en el disco (hardware) puede resultar en malos datos (alguna parte de un archivo de configuración), que puede resultar en una falla de programa al iniciar.
Fault Analysis
• Inspeccionar los archivos de logs antes que los archivos de configuración.
• Usar opciones de comandos para depurar (debugging).
• Documentar la investigación.
Security-Enhanced LINUX
• Security-Enhanced Linux (SELinux), es una característica de seguridad de LINUX que provee una variedad de políticas de seguridad, a través del uso de los módulos de seguridad LINUX (LSM) incluidos en el kernel LINUX.
• SELinux fue desarrollado por NSA (National Security Agency), como un proyecto de investigación. LINUX fue elegido debido a que es open source, y por lo tanto es más fácil probar la tecnología.
Security-Enhanced LINUX
• El LINUX tradicional deja el control de acceso al usuario. El usuario decide quien puede accesar sus archivos, basados en membrecía de grupos.
• Con la opción ACL activada en el filesystem, los usuarios pueden afinar de gran manera este control. Sin embargo, si un atacante toma el control de la cuenta, puede cambiar estas opciones.
Security-Enhanced LINUX
• SELinux proporciona un sistema flexible de Control de Acceso Obligatorio (Mandatory Access Control, MAC) incorporado en el kernel.
• Al ejecutar un kernel SELinux MAC se protege al sistema de aplicaciones maliciosas o dañinas que pueden perjudicar o destruir el sistema.
Security-Enhanced LINUX
• SELinux permite definir el acceso y los derechos de transición de cada usuario, aplicación, proceso y archivos en el sistema por medio de MAC.
• Con MAC, dejamos que el administrador de seguridad decida “quién puede hacer qué sobre cuáles archivos”.
Security-Enhanced LINUX
• El Control de Acceso Obligatorio de SELinux se encuentra bajo el control del Administrador de Seguridad.
• El control de acceso tradicional está bajo el control del usuario.
• Cada proceso u objeto (tal como un archivo, directorio o socket de red) en el sistema tiene un contexto de seguridad SELinux.
Security-Enhanced LINUX
• Este contexto consiste de un identificador de usuario SELinux, un rol, y un dominio (para procesos) o un tipo (para objetos archivos):
Identity:role:domain/type• La política SELinux controla que identidad SELinux
es asignada a un proceso cuando se inicia. La identidad determina que roles son accesibles para el proceso, y los roles son usados para determinar a que dominios el proceso puede conmutar.
Security-Enhanced LINUX
• Una vez se está ejecutando en un dominio particular, la política también determina que acceso un proceso tendrá a los objetos de tipos particulares de SELinux.
• La política también determina el tipo por defecto para un objeto nuevo cuando es creado.
El Proceso de Toma de Decisión de SELinux
• Cuando un sujeto (por ejemplo, una aplicación), intenta acceder a un objeto (por ejemplo, un archivo), el servidor de la aplicación de políticas en el kernel chequea un vector de acceso en caché (AVC). Si una decisión no se puede hacer basada en los datos en el AVC, la petición continúa hacia el servidor de seguridad, el cual mira el contexto de seguridad de la aplicación y el archivo en una matriz.
El Proceso de Toma de Decisión de SELinux
• El permiso es entonces concedido o denegado a continuación, con un avc: denied message detallado en /var/log/messages si el permiso es denegado. El contexto de seguridad de sujetos y objetos es aplicado desde la política instalada, que también proporciona la información para poblar la matriz del servidor de seguridad.
El Proceso de Toma de Decisión de SELinux
Terminología usada en SELinux
• Los siguientes términos aparecen frecuentemente nombrados, y constituyen los términos fundamentales de SELinux: Identidad, dominio, tipo, rol, contexto de seguridad, transición y política.
• Identidad – Una identidad bajo SELinux NO es lo mismo que el tradicional UID. Las Identidades bajo SELinux forman parte de un contexto de seguridad que afectará los dominios que pueden ser accesados, es decir, afectará lo que se puede realizar.
Terminología usada en SELinux
• Dominio – Cada proceso se ejecuta en un dominio. Un dominio directamente determina el acceso que un proceso tiene. Un dominio es básicamente una lista de lo que pueden hacer los procesos, o que acciones un proceso puede realizar sobre tipos diferentes.
Terminología usada en SELinux
• Tipo - Un tipo se asigna a un objeto y determina quién puede acceder a ese objeto. La definición de dominio es prácticamente la misma, excepto que un dominio se aplica a los procesos y un tipo se aplica a objetos tales como directorios, archivos, sockets, etc.
Terminología usada en SELinux
• Rol - Un rol determina qué dominios se pueden utilizar. Los dominios que un rol de usuario puede tener acceso están predefinidos en los archivos de configuración de la política. Si un rol no está autorizado a entrar en un dominio (en la base de datos de políticas), entonces se puede denegar.
Terminología usada en SELinux
• Example:• In order to allow a user from the user_t
domain (the unprivileged user domain) to execute the passwd command, the following is specified in the relevant config file:
• role user_r types user_passwd_t It shows that a user in the user role (user_r) is allowed to enter the user_passwd_t domain i.e. they can run the passwd command.
Terminología usada en SELinux
• Contexto de seguridad – Un contexto de seguridad tiene todos los atributos que se asocian con cosas como archivos, directorios, sockets TCP, etc. Un contexto de seguridad está formado por la identidad, el rol y el dominio o el tipo. Es posible revisar su propio contexto de seguridad actual mediante la ejecución del comando id bajo SELinux.
Terminología usada en SELinux
• Transición – Una decisión de transición, también conocida como una decisión de etiquetado, determina qué contexto de seguridad será asignado a una operación solicitada. Hay dos tipos principales de transiciones: En primer lugar, hay una transición de dominios de proceso utilizado cuando se ejecuta un proceso de un tipo especificado. En segundo lugar, hay una transición de tipo de archivo utilizada cuando se crea un archivo bajo un directorio en particular.
Terminología usada en SELinux
• Políticas – Las políticas son un conjunto de normas que regulan aspectos como los roles que un usuario tiene acceso a, qué roles pueden entrar en que dominios y qué dominios pueden acceder a que tipos.
Opciones de instalación de SELinux
• Durante la instalación, SELinux es activado automáticamente. Existen tres opciones que se pueden elegir:
• Disabled• Warn (permisivo)• Active (enforcing) - es la opción por defecto.
Opciones de instalación de SELinux
• Cuando la opción –Active es elegida, solo algunos demonios estarán bajo el control de SELinux, la opción “strict” afectará a todos los demonios.
• Cambiar entre los modos enforcing y pasivo, se puede realizar en tiempo de booteo, en tiempo de ejecución o bien hacerlo permanente.
Opciones de instalación de SELinux
• Para hacerlo permanente editar el archivo /boot/grub/grub.conf.
• Se edita dicho archivo y agregar “enforcing=1” a la línea del kernel para activarlo, “enforcing=0” para desactivarlo.
• También se puede utilizar la documentación asociada al archivo /etc/sysconfig/selinux para elegir la opción adecuada.
Opciones de instalación de SELinux
• Por último, para fijar las opciones de seguridad podemos utilizar también system-config-securitylevel.
Control de SELinux
• Las políticas SELinux pueden ser ajustadas o deshabilitadas a través de algunas utilidades:
• system-config-securitylevel• setenforce y setsebool• /etc/sysconfig/selinux• enforcing=0• /selinux virtual filesystem
Control de SELinux
Archivos relacionados con SELinux
• El pseudo-sistema de archivos /selinux/ contiene los comandos que son más comúnmente utilizados por el subsistema del kernel.
• /selinux/ es similar a los también pseudo-sistemas de archivos /proc/ y /sys/.
• Los administradores y usuarios normalmente NO necesitan manipular estos componentes.
Archivos relacionados con SELinux
• /selinux/ presenta información acerca del estado de SELinux en el kernel a los programas o utilidades antes mencionadas.
Archivos relacionados con SELinux
• El siguiente ejemplo muestra el contenido del directorio /selinux/:
Archivos relacionados con SELinux
• Existen dos maneras de configurar SELinux bajo RHEL: usando la Security Level Configuration Tool (system-config-selinux), o manualmente, editando el archivo de configuración /etc/sysconfig/selinux.
• El archivo /etc/sysconfig/selinux es el archivo de configuración primaria para habilitar o deshabilitar SELinux.
Archivos relacionados con SELinux
• Debemos notar que el archivo /etc/sysconfig/selinux contiene un enlace simbólico al actual archivo de configuración /etc/selinux/config.
• Las siguientes son las opciones disponibles para configuración: SELINUX=enforcing | permissive | disabled SELINUXTYPE=targeted | strict
Archivos relacionados con SELinux
SETLOCALDEFS=0 | 1• El directorio /etc/selinux es la localización
primaria para todos los archivos de políticas así como el archivo de configuración principal.
• El siguiente ejemplo muestra el contenido del directorio /etc/selinux/:
Archivos relacionados con SELinux
• Los dos subdirectorios , strict/ y targeted/, son los directorios específicos donde los archivos de políticas del mismo nombre (esto es, strict y targeted) están contenidas.
Administración de SELinux
• Además de las tareas a menudo realizadas por usuarios, los administradores SELinux deberían ser capaces de realizar una cierta cantidad de tareas adicionales.
• Estas tareas típicamente requieren acceso como root al sistema.
• El comando sestatus provee una vista configurable acerca del estado de SELinux.
Administración de SELinux
[root@localhost~]# sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 21 Policy from config file: targeted
Administración de SELinux
• La opción –v incluye información acerca de los contextos de seguridad de una serie de archivos que son especificados en /etc/sestatus.conf.[root@localhost~]# sestatus -v
• La opción –b despliega el estado actual de algunas variables booleanas. [root@localhost~]# sestatus -b ¦ grep httpd ¦ grep on$
Administración de SELinux
• Podemos habilitar/deshabilitar SELinux enforcement en tiempo de ejecución o configurarlo para que inicie en el modo correcto en tiempo de booteo, usando el comando setenforce.
• SELinux puede operar en uno de tres modos posibles: disabled, permissive o enforcing.
• Disabled indica que no está habilitado en el kernel. En esta caso SELinux está completamente desactivado.
Administración de SELinux
• Permissive indica que SELinux está corriendo y logeando pero no está controlando los permisos. En este caso SELinux advierte pero NO impone la política.
• Este modo es útil para propósitos de depuración o de resolución de problemas.
• Enforcing indica que SELinux está corriendo y haciendo cumplir las políticas.
• El comando setenforce permite cambiar entre los modos permissive y enforcing en tiempo de ejecución.
Administración de SELinux
• Se usa setenforce 0 para entrar a modo permissive y setenforce 1 para entrar a modo enforcing.
• El comando setstatus despliega el modo actual y el modo referenciado desde el archivo de configuración durante el booteo:[root@localhost~]# setstatus ¦ grep –i modeCurrent mode: permissiveMode from config file: permissive
Administración de SELinux
• Notar que cambiando el enforcement en tiempo de ejecución no afecta la configuración en tiempo de booteo:[root@localhost~]# setenforce 1[root@localhost~]# setstatus ¦ grep –i modeCurrent mode: enforcingMode from config file: permissive
Administración de SELinux
• Es posible deshabilitar el modo enforcing para un demonio en particular, por ejemplo, si intentamos hacer troubleshoot al demonio named y SELinux, podemos deshabilitar el enforcing solo para ese demonio.
• El comando getsebool obtiene el estado actual del booleano:[root@localhost~]# getsebool named_disable_transnamed_disable_trans --> off
Administración de SELinux
• Se usa el siguiente comando para deshabilitar el modo enforcing para este demonio:
[root@localhost~]# setsebool named_disable_trans 1[root@localhost~]# getsebool named_disable_trans
named_disable_trans --> on
SELinux para scripts
• La siguiente es una lista de comandos introducidos con SELinux, y que pueden ser utilizados cuando se escriben scripts para ayudar a administrar el sistema:
• getenforce• setenforce [Enforcing ¦ Permissive ¦ 1 ¦ 0]• selinuxenabled – este comando devuelve
estado 0 si SELinux está habilitado, y 1 si SELinux está deshabilitado.
SELinux para scripts
selinuxenabled echo $? 0• getsebool [-a] [boolean_name] – este
comando muestra el estado de todas las variables booleanas (-a) o un booleano especifico (<boolean_name>).
• setsebool [-P] <boolean_name> value – Este comando fija uno o más valores booleanos. La opción -P hace los cambios persistentes a través de reboots.
Contextos para SELinux
• Los contextos de procesos pueden ser listados agregando la opción –Z al comando ps:[root@localhost~]# ps -Z
• Muchos procesos corren en el dominio unconfined_t (no confinado) que indica que ellos no están restringidos por la política por defecto de SELinux.
Contextos para SELinux
• Los procesos corriendo en otros dominios son más comúnmente restringidos por la política por defecto de SELinux.
• Servicios afectados incluyen dhcpd, hhtpd, mysqld, named, ncsd, ntpd, portmap, postgres, snmpd, squid, syslogd, y winbindd.
• Los contextos de seguridad de archivos pueden ser desplegados a través del comando:[root@localhost~]# ls -Z
Contextos para SELinux
• Un archivo creado es asignado al contexto de su directorio padre a no ser que la política especifique otra cosa.
• El comando chcon (change context) permite cambiar el contexto de un archivo, y trabaja tal cual como lo hacen chown y chmod.
Troubleshooting en SELinux
• Las violaciones a las políticas SELinux son registradas en /var/log/messages.
• Un mensaje de error podría tener el siguiente aspecto: