Kebijakan SELinux menjelaskan izin akses untuk semua pengguna, program, proses, file, dan perangkat yang mereka gunakan. SELinux mengimplementasikan salah satu dari dua kebijakan yang berbeda:
- Ditargetkan :Kebijakan default ini menerapkan kontrol akses ke proses tertentu (bertarget).
- MLS :Keamanan Multi-Level
Pilih jenis kebijakan dari GUI SELinux, atau atur arahan SELINUXTYPE di file /etc/selinux/config. Contoh:
# vim /etc/selinux/config SELINUXTYPE=targeted
Dengan kebijakan yang ditargetkan, proses yang ditargetkan berjalan di domain mereka sendiri, yang disebut domain terbatas. Dalam domain terbatas, file yang dapat diakses oleh proses yang ditargetkan dibatasi. Jika proses terbatas dikompromikan oleh penyerang, akses penyerang ke sumber daya dan kemungkinan kerusakan yang dapat mereka lakukan juga terbatas. SELinux menolak akses ke sumber daya ini dan mencatat penolakan tersebut.
Hanya layanan tertentu yang ditempatkan ke dalam domain keamanan berbeda yang dibatasi oleh kebijakan. Misalnya, pengguna berjalan di domain yang sepenuhnya tidak dibatasi sementara layanan yang mendengarkan permintaan klien di jaringan, seperti bernama, httpd, dan sshd, berjalan di domain terbatas tertentu yang disesuaikan dengan operasinya. Proses yang berjalan sebagai pengguna root Linux dan melakukan tugas untuk pengguna, seperti aplikasi passwd, juga dibatasi.
Proses yang tidak ditargetkan berjalan di domain yang tidak dibatasi. Aturan kebijakan SELinux memungkinkan proses berjalan di domain yang tidak dibatasi hampir semua akses. Jika proses yang tidak dibatasi dikompromikan, SELinux tidak mencegah penyerang mendapatkan akses ke sumber daya dan data sistem. Aturan DAC masih berlaku di domain yang tidak dibatasi. Berikut ini adalah contoh domain yang tidak dibatasi:
- domain initrc_t :program init berjalan di domain tidak terbatas ini.
- domain kernel_t :Proses kernel yang tidak dibatasi berjalan di domain ini.
- domain unconfined_t :Pengguna Linux yang masuk ke sistem berjalan di domain ini.
Banyak domain yang dilindungi oleh SELinux memiliki halaman manual yang menjelaskan cara menyesuaikan kebijakan mereka. Konfigurasi untuk setiap kebijakan dipasang di /etc/selinux/[SELINUXTYPE] direktori. Contoh berikut menunjukkan sebagian daftar /etc/selinux direktori dengan kebijakan bertarget dan MLS terpasang:
# ll -lrt /etc/selinux/ total 16 -rw-r--r--. 1 root root 546 Jan 1 2017 config drwxr-xr-x. 2 root root 6 Aug 4 2017 tmp -rw-r--r--. 1 root root 2321 Aug 4 2017 semanage.conf drwxr-xr-x. 7 root root 4096 Feb 19 19:20 targeted drwx------. 2 root root 6 Feb 19 19:20 final drwxr-xr-x. 7 root root 4096 Mar 5 16:39 mls
Kebijakan yang ditargetkan diinstal secara default, tetapi kebijakan MLS tidak. Untuk menggunakan kebijakan MLS, instal paket selinux-policy-mls:
# yum install selinux-policy-mlsPanduan Pemula untuk SELinux
Cara Menonaktifkan atau mengatur SELinux ke mode Permissive
Cara Memeriksa apakah SELinux Diaktifkan atau Dinonaktifkan
Cara mengaktifkan/menonaktifkan Mode SELinux di RHEL/CentOS
Apa adalah Mode SELinux dan cara mengaturnya