SELINUX

Verso 1.0.0

Sumrio
I

Sobre essa Apostila

II Informaes Bsicas

III GNU Free Documentation License

10

IV

19

SELinux

1 Viso Geral
2 Plano de ensino
2.1 Objetivo . . .
2.2 Pblico Alvo .
2.3 Pr-requisitos
2.4 Descrio . .
2.5 Metodologia .
2.6 Cronograma
2.7 Programa . .
2.8 Avaliao . .
2.9 Bibliografia .

20
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

21
21
21
21
21
21
21
22
22
23

3 Modulo I - Introduo
24
3.1 Lio 1 - Conceitos Inciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.1.1 Vantagens na utilizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4 Modulo 2 - Instalao
4.1 Lio 2 - Pr-Requisitos e novas ferramentas
4.1.1 Pr-Requisitos . . . . . . . . . . . . .
4.1.2 Novas Ferramentas . . . . . . . . . .
4.2 Lio 3 - Instalando o SELinux . . . . . . . .
4.2.1 Instalao . . . . . . . . . . . . . . . .
4.3 Configuraes Bsicas . . . . . . . . . . . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

26
26
26
27
27
27
28

5 Modulo 3 - Configurao e uso

29
5.1 Lio 4 - Contas de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
5.1.1 Configurando contas de usurios . . . . . . . . . . . . . . . . . . . . . . . . . 29
5.1.2 Editando domnios de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

5.1.3 Configurando contextos de segurana . . . . . . . . . . . . . . . . . . . . . . 31

5.2 Lio 5 - Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.3 Alterando regras no SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Parte I

Sobre essa Apostila

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

Contedo
O contedo dessa apostila fruto da compilao de diversos materiais livres publicados na internet, disponveis em diversos sites ou originalmente produzido no CDTC (http://www.cdtc.org.br.)
O formato original deste material bem como sua atualizao est disponvel dentro da licena
GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seo de
mesmo nome, tendo inclusive uma verso traduzida (no oficial).
A reviso e alterao vem sendo realizada pelo CDTC (suporte@cdtc.org.br) desde outubro
de 2006. Crticas e sugestes construtivas sero bem-vindas a qualquer hora.

Autores
A autoria deste de responsabilidade de Frederico Braga (fred@cdtc.org.br) .
O texto original faz parte do projeto Centro de Difuso de Tecnologia e Conhecimento que
vm sendo realizado pelo ITI (Instituto Nacional de Tecnologia da Informao) em conjunto com
outros parceiros institucionais, e com as universidades federais brasileiras que tem produzido e
utilizado Software Livre apoiando inclusive a comunidade Free Software junto a outras entidades
no pas.
Informaes adicionais podem ser obtidas atravs do email ouvidoria@cdtc.org.br, ou da
home page da entidade, atravs da URL http://www.cdtc.org.br.

Garantias
O material contido nesta apostila isento de garantias e o seu uso de inteira responsabilidade do usurio/leitor. Os autores, bem como o ITI e seus parceiros, no se responsabilizam
direta ou indiretamente por qualquer prejuzo oriundo da utilizao do material aqui contido.

Licena
Copyright 2006, Instituto Nacional de Tecnologia da Informao (cdtc@iti.gov.br) .
Permission is granted to copy, distribute and/or modify this document under the terms
of the GNU Free Documentation License, Version 1.1 or any later version published by
the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOSTILA. A copy of the license is included in the section entitled GNU Free Documentation
License.

Parte II

Informaes Bsicas

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

Sobre o CDTC
Objetivo Geral
O Projeto CDTC visa a promoo e o desenvolvimento de aes que incentivem a disseminao de solues que utilizem padres abertos e no proprietrios de tecnologia, em proveito do
desenvolvimento social, cultural, poltico, tecnolgico e econmico da sociedade brasileira.
Objetivo Especfico
Auxiliar o Governo Federal na implantao do plano nacional de software no-proprietrio e
de cdigo fonte aberto, identificando e mobilizando grupos de formadores de opinio dentre os
servidores pblicos e agentes polticos da Unio Federal, estimulando e incentivando o mercado
nacional a adotar novos modelos de negcio da tecnologia da informao e de novos negcios
de comunicao com base em software no-proprietrio e de cdigo fonte aberto, oferecendo
treinamento especfico para tcnicos, profissionais de suporte e funcionrios pblicos usurios,
criando grupos de funcionrios pblicos que iro treinar outros funcionrios pblicos e atuar como
incentivadores e defensores dos produtos de software no proprietrios e cdigo fonte aberto, oferecendo contedo tcnico on-line para servios de suporte, ferramentas para desenvolvimento de
produtos de software no proprietrios e do seu cdigo fonte livre, articulando redes de terceiros
(dentro e fora do governo) fornecedoras de educao, pesquisa, desenvolvimento e teste de produtos de software livre.

Guia do aluno
Neste guia, voc ter reunidas uma srie de informaes importantes para que voc comece
seu curso. So elas:
Licenas para cpia de material disponvel;
Os 10 mandamentos do aluno de Educao a Distncia;
Como participar dos foruns e da wikipdia;
Primeiros passos.
muito importante que voc entre em contato com TODAS estas informaes, seguindo o
roteiro acima.

Licena
Copyright 2006, Instituto Nacional de Tecnologia da Informao (cdtc@iti.gov.br).
6

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

dada permisso para copiar, distribuir e/ou modificar este documento sob os termos
da Licena de Documentao Livre GNU, Verso 1.1 ou qualquer verso posterior
pblicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSA
APOSTILA. Uma cpia da licena est inclusa na seo entitulada "Licena de Documentao Livre GNU".

Os 10 mandamentos do aluno de educao online

1. Acesso Internet: ter endereo eletrnico, um provedor e um equipamento adequado

pr-requisito para a participao nos cursos a distncia;
2. Habilidade e disposio para operar programas: ter conhecimentos bsicos de Informtica necessrio para poder executar as tarefas;
3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distncia conta muitos pontos, pois ir colaborar para o processo ensino-aprendizagem pessoal,
dos colegas e dos professores;
4. Comportamentos compatveis com a etiqueta: mostrar-se interessado em conhecer seus
colegas de turma respeitando-os e se fazendo ser respeitado pelos mesmos;
5. Organizao pessoal: planejar e organizar tudo fundamental para facilitar a sua reviso
e a sua recuperao de materiais;
6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigaes e
realiz-las em tempo real;
7. Curiosidade e abertura para inovaes: aceitar novas idias e inovar sempre;
8. Flexibilidade e adaptao: requisitos necessrio mudana tecnolgica, aprendizagens
e descobertas;
9. Objetividade em sua comunicao: comunicar-se de forma clara, breve e transparente
ponto - chave na comunicao pela Internet;
10. Responsabilidade: ser responsvel por seu prprio aprendizado. O ambiente virtual no
controla a sua dedicao, mas reflete os resultados do seu esforo e da sua colaborao.

Como participar dos fruns e Wikipdia

Voc tem um problema e precisa de ajuda?
Podemos te ajudar de 2 formas:
A primeira o uso dos fruns de notcias e de dvidas gerais que se distinguem pelo uso:
. O frum de notcias tem por objetivo disponibilizar um meio de acesso rpido a informaes
que sejam pertinentes ao curso (avisos, notcias). As mensagens postadas nele so enviadas a
7

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

todos participantes. Assim, se o monitor ou algum outro participante tiver uma informao que
interesse ao grupo, favor post-la aqui.
Porm, se o que voc deseja resolver alguma dvida ou discutir algum tpico especfico do
curso. recomendado que voc faa uso do Frum de dvidas gerais que lhe d recursos mais
efetivos para esta prtica.
. O frum de dvidas gerais tem por objetivo disponibilizar um meio fcil, rpido e interativo
para solucionar suas dvidas e trocar experincias. As mensagens postadas nele so enviadas
a todos participantes do curso. Assim, fica muito mais fcil obter respostas, j que todos podem
ajudar.
Se voc receber uma mensagem com algum tpico que saiba responder, no se preocupe com a
formalizao ou a gramtica. Responda! E no se esquea de que antes de abrir um novo tpico
recomendvel ver se a sua pergunta j foi feita por outro participante.
A segunda forma se d pelas Wikis:
. Uma wiki uma pgina web que pode ser editada colaborativamente, ou seja, qualquer participante pode inserir, editar, apagar textos. As verses antigas vo sendo arquivadas e podem
ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um
timo suporte a processos de aprendizagem colaborativa. A maior wiki na web o site "Wikipdia", uma experincia grandiosa de construo de uma enciclopdia de forma colaborativa, por
pessoas de todas as partes do mundo. Acesse-a em portugus pelos links:
Pgina principal da Wiki - http://pt.wikipedia.org/wiki/
Agradecemos antecipadamente a sua colaborao com a aprendizagem do grupo!

Primeiros Passos
Para uma melhor aprendizagem recomendvel que voc siga os seguintes passos:
Ler o Plano de Ensino e entender a que seu curso se dispe a ensinar;
Ler a Ambientao do Moodle para aprender a navegar neste ambiente e se utilizar das
ferramentas bsicas do mesmo;
Entrar nas lies seguindo a seqncia descrita no Plano de Ensino;
Qualquer dvida, reporte ao Frum de Dvidas Gerais.

Perfil do Tutor
Segue-se uma descrio do tutor ideal, baseada no feedback de alunos e de tutores.
O tutor ideal um modelo de excelncia: consistente, justo e profissional nos respectivos
valores e atitudes, incentiva mas honesto, imparcial, amvel, positivo, respeitador, aceita as
idias dos estudantes, paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar.
8

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

A classificao por um tutor desta natureza proporciona o melhor feedback possvel, crucial, e,
para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem. Este tutor
ou instrutor:
fornece explicaes claras acerca do que ele espera e do estilo de classificao que ir
utilizar;
gosta que lhe faam perguntas adicionais;
identifica as nossas falhas, mas corrige-as amavelmente, diz um estudante, e explica porque motivo a classificao foi ou no foi atribuda;
tece comentrios completos e construtivos, mas de forma agradvel (em contraste com um
reparo de um estudante: os comentrios deixam-nos com uma sensao de crtica, de
ameaa e de nervossismo)
d uma ajuda complementar para encorajar um estudante em dificuldade;
esclarece pontos que no foram entendidos, ou corretamente aprendidos anteriormente;
ajuda o estudante a alcanar os seus objetivos;
flexvel quando necessrio;
mostra um interesse genuno em motivar os alunos (mesmo os principiantes e, por isso,
talvez numa fase menos interessante para o tutor);
escreve todas as correes de forma legvel e com um nvel de pormenorizao adequado;
acima de tudo, devolve os trabalhos rapidamente;

Parte III

GNU Free Documentation License

10

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

(Traduzido pelo Joo S. O. Bueno atravs do CIPSGA em 2001)

Esta uma traduo no oficial da Licena de Documentao Livre GNU em Portugus Brasileiro. Ela no publicada pela Free Software Foundation, e no se aplica legalmente a distribuio
de textos que usem a GFDL - apenas o texto original em Ingls da GNU FDL faz isso. Entretanto,
ns esperamos que esta traduo ajude falantes de portugus a entenderem melhor a GFDL.
This is an unofficial translation of the GNU General Documentation License into Brazilian Portuguese. It was not published by the Free Software Foundation, and does not legally state the
distribution terms for software that uses the GFDLonly the original English text of the GFDL does
that. However, we hope that this translation will help Portuguese speakers understand the GFDL
better.
Licena de Documentao Livre GNU Verso 1.1, Maro de 2000
Copyright (C) 2000 Free Software Foundation, Inc.
59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
permitido a qualquer um copiar e distribuir cpias exatas deste documento de licena, mas
no permitido alter-lo.

INTRODUO
O propsito desta Licena deixar um manual, livro-texto ou outro documento escrito "livre"no
sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copi-lo ou redistribui-lo,
com ou sem modificaes, comercialmente ou no. Secundariamente, esta Licena mantm
para o autor e editor uma forma de ter crdito por seu trabalho, sem ser considerado responsvel
pelas modificaes feitas por terceiros.
Esta Licena um tipo de "copyleft"("direitos revertidos"), o que significa que derivaes do
documento precisam ser livres no mesmo sentido. Ela complementa a GNU Licena Pblica Geral (GNU GPL), que um copyleft para software livre.
Ns fizemos esta Licena para que seja usada em manuais de software livre, por que software
livre precisa de documentao livre: um programa livre deve ser acompanhado de manuais que
provenham as mesmas liberdades que o software possui. Mas esta Licena no est restrita a
manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente
do assunto ou se ele publicado como um livro impresso. Ns recomendamos esta Licena principalmente para trabalhos cujo propsito seja de introduo ou referncia.

APLICABILIDADE E DEFINIES
Esta Licena se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo
detentor dos direitos autorais dizendo que ele pode ser distribudo sob os termos desta Licena.
O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do pblico um

11

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

licenciado e referida como "voc".

Uma "Verso Modificada"do Documento se refere a qualquer trabalho contendo o documento
ou uma parte dele, quer copiada exatamente, quer com modificaes e/ou traduzida em outra
lngua.
Uma "Seo Secundria" um apndice ou uma seo inicial do Documento que trata exclusivamente da relao dos editores ou dos autores do Documento com o assunto geral do
Documento (ou assuntos relacionados) e no contm nada que poderia ser includo diretamente
nesse assunto geral (Por exemplo, se o Documento em parte um livro texto de matemtica, a
Seo Secundria pode no explicar nada de matemtica).
Essa relao poderia ser uma questo de ligao histrica com o assunto, ou matrias relacionadas, ou de posies legais, comerciais, filosficas, ticas ou polticas relacionadas ao mesmo.
As "Sees Invariantes"so certas Sees Secundrias cujos ttulos so designados, como
sendo de Sees Invariantes, na nota que diz que o Documento publicado sob esta Licena.
Os "Textos de Capa"so certos trechos curtos de texto que so listados, como Textos de Capa
Frontal ou Textos da Quarta Capa, na nota que diz que o texto publicado sob esta Licena.
Uma cpia "Transparente"do Documento significa uma cpia que pode ser lida automaticamente, representada num formato cuja especificao esteja disponvel ao pblico geral, cujos
contedos possam ser vistos e editados diretamente e sem mecanismos especiais com editores
de texto genricos ou (para imagens compostas de pixels) programas de pintura genricos ou
(para desenhos) por algum editor de desenhos grandemente difundido, e que seja passvel de
servir como entrada a formatadores de texto ou para traduo automtica para uma variedade
de formatos que sirvam de entrada para formatadores de texto. Uma cpia feita em um formato
de arquivo outrossim Transparente cuja constituio tenha sido projetada para atrapalhar ou desencorajar modificaes subsequentes pelos leitores no Transparente. Uma cpia que no
"Transparente" chamada de "Opaca".
Exemplos de formatos que podem ser usados para cpias Transparentes incluem ASCII simples sem marcaes, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML
usando uma DTD disponibilizada publicamente, e HTML simples, compatvel com os padres, e
projetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatos
proprietrios que podem ser lidos e editados apenas com processadores de texto proprietrios,
SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edio no estejam
disponveis para o pblico, e HTML gerado automaticamente por alguns editores de texto com
finalidade apenas de sada.
A "Pgina do Ttulo"significa, para um livro impresso, a pgina do ttulo propriamente dita,
mais quaisquer pginas subsequentes quantas forem necessrias para conter, de forma legvel,
o material que esta Licena requer que aparea na pgina do ttulo. Para trabalhos que no
tenham uma pgina do ttulo, "Pgina do Ttulo"significa o texto prximo da apario mais proeminente do ttulo do trabalho, precedendo o incio do corpo do texto.

12

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

FAZENDO CPIAS EXATAS

Voc pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou no
comercial, desde que esta Licena, as notas de copyright, e a nota de licena dizendo que esta
Licena se aplica ao documento estejam reproduzidas em todas as cpias, e que voc no acrescente nenhuma outra condio, quaisquer que sejam, s desta Licena.
Voc no pode usar medidas tcnicas para obstruir ou controlar a leitura ou confeco de
cpias subsequentes das cpias que voc fizer ou distribuir. Entretanto, voc pode aceitar compensao em troca de cpias. Se voc distribuir uma quantidade grande o suficiente de cpias,
voc tambm precisa respeitar as condies da seo 3.
Voc tambm pode emprestar cpias, sob as mesmas condies colocadas acima, e tambm
pode exibir cpias publicamente.

FAZENDO CPIAS EM QUANTIDADE

Se voc publicar cpias do Documento em nmero maior que 100, e a nota de licena do
Documento obrigar Textos de Capa, voc precisar incluir as cpias em capas que tragam, clara
e legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, e
Textos da Quarta Capa na capa de trs. Ambas as capas tambm precisam identificar clara e
legivelmente voc como o editor dessas cpias. A capa da frente precisa apresentar o ttulo completo com todas as palavras do ttulo igualmente proeminentes e visveis. Voc pode adicionar
outros materiais s capas. Fazer cpias com modificaes limitadas s capas, tanto quanto estas
preservem o ttulo do documento e satisfaam a essas condies, pode ser tratado como cpia
exata em outros aspectos.
Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma
legvel, voc deve colocar os primeiros (tantos quantos couberem de forma razovel) na capa
verdadeira, e continuar os outros nas pginas adjacentes.
Se voc publicar ou distribuir cpias Opacas do Documento em nmero maior que 100, voc
precisa ou incluir uma cpia Transparente que possa ser lida automaticamente com cada cpia
Opaca, ou informar, em ou com, cada cpia Opaca a localizao de uma cpia Transparente
completa do Documento acessvel publicamente em uma rede de computadores, qual o pblico
usurio de redes tenha acesso a download gratuito e annimo utilizando padres pblicos de
protocolos de rede. Se voc utilizar o segundo mtodo, voc precisar tomar cuidados razoavelmente prudentes, quando iniciar a distribuio de cpias Opacas em quantidade, para assegurar
que esta cpia Transparente vai permanecer acessvel desta forma na localizao especificada
por pelo menos um ano depois da ltima vez em que voc distribuir uma cpia Opaca (diretamente ou atravs de seus agentes ou distribuidores) daquela edio para o pblico.
pedido, mas no obrigatrio, que voc contate os autores do Documento bem antes de
redistribuir qualquer grande nmero de cpias, para lhes dar uma oportunidade de prover voc
com uma verso atualizada do Documento.

13

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

MODIFICAES
Voc pode copiar e distribuir uma Verso Modificada do Documento sob as condies das sees 2 e 3 acima, desde que voc publique a Verso Modificada estritamente sob esta Licena,
com a Verso Modificada tomando o papel do Documento, de forma a licenciar a distribuio
e modificao da Verso Modificada para quem quer que possua uma cpia da mesma. Alm
disso, voc precisa fazer o seguinte na verso modificada:
A. Usar na Pgina de Ttulo (e nas capas, se houver alguma) um ttulo distinto daquele do Documento, e daqueles de verses anteriores (que deveriam, se houvesse algum, estarem listados
na seo "Histrico do Documento"). Voc pode usar o mesmo ttulo de uma verso anterior se
o editor original daquela verso lhe der permisso;
B. Listar na Pgina de Ttulo, como autores, uma ou mais das pessoas ou entidades responsveis pela autoria das modificaes na Verso Modificada, conjuntamente com pelo menos cinco
dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que
cinco);
C. Colocar na Pgina de Ttulo o nome do editor da Verso Modificada, como o editor;
D. Preservar todas as notas de copyright do Documento;
E. Adicionar uma nota de copyright apropriada para suas prprias modificaes adjacente s
outras notas de copyright;
F. Incluir, imediatamente depois das notas de copyright, uma nota de licena dando ao pblico
o direito de usar a Verso Modificada sob os termos desta Licena, na forma mostrada no tpico
abaixo;
G. Preservar nessa nota de licena as listas completas das Sees Invariantes e os Textos de
Capa requeridos dados na nota de licena do Documento;
H. Incluir uma cpia inalterada desta Licena;
I. Preservar a seo entitulada "Histrico", e seu ttulo, e adicionar mesma um item dizendo
pelo menos o ttulo, ano, novos autores e editor da Verso Modificada como dados na Pgina de
Ttulo. Se no houver uma sesso denominada "Histrico"no Documento, criar uma dizendo o
ttulo, ano, autores, e editor do Documento como dados em sua Pgina de Ttulo, ento adicionar
um item descrevendo a Verso Modificada, tal como descrito na sentena anterior;
J. Preservar o endereo de rede, se algum, dado no Documento para acesso pblico a uma
cpia Transparente do Documento, e da mesma forma, as localizaes de rede dadas no Documento para as verses anteriores em que ele foi baseado. Elas podem ser colocadas na seo
"Histrico". Voc pode omitir uma localizao na rede para um trabalho que tenha sido publicado
pelo menos quatro anos antes do Documento, ou se o editor original da verso a que ela se refira
der sua permisso;
K. Em qualquer seo entitulada "Agradecimentos"ou "Dedicatrias", preservar o ttulo da
14

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

seo e preservar a seo em toda substncia e fim de cada um dos agradecimentos de contribuidores e/ou dedicatrias dados;
L. Preservar todas as Sees Invariantes do Documento, inalteradas em seus textos ou em
seus ttulos. Nmeros de seo ou equivalentes no so considerados parte dos ttulos da seo;
M. Apagar qualquer seo entitulada "Endossos". Tal sesso no pode ser includa na Verso
Modificada;
N. No reentitular qualquer seo existente com o ttulo "Endossos"ou com qualquer outro
ttulo dado a uma Seo Invariante.
Se a Verso Modificada incluir novas sees iniciais ou apndices que se qualifiquem como
Sees Secundrias e no contenham nenhum material copiado do Documento, voc pode optar
por designar alguma ou todas aquelas sees como invariantes. Para fazer isso, adicione seus
ttulos lista de Sees Invariantes na nota de licena da Verso Modificada. Esses ttulos precisam ser diferentes de qualquer outro ttulo de seo.
Voc pode adicionar uma seo entitulada "Endossos", desde que ela no contenha qualquer coisa alm de endossos da sua Verso Modificada por vrias pessoas ou entidades - por
exemplo, declaraes de revisores ou de que o texto foi aprovado por uma organizao como a
definio oficial de um padro.
Voc pode adicionar uma passagem de at cinco palavras como um Texto de Capa da Frente
, e uma passagem de at 25 palavras como um Texto de Quarta Capa, ao final da lista de Textos
de Capa na Verso Modificada. Somente uma passagem de Texto da Capa da Frente e uma de
Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade.
Se o Documento j incluir um texto de capa para a mesma capa, adicionado previamente por
voc ou por acordo feito com alguma entidade para a qual voc esteja agindo, voc no pode
adicionar um outro; mas voc pode trocar o antigo, com permisso explcita do editor anterior que
adicionou a passagem antiga.
O(s) autor(es) e editor(es) do Documento no do permisso por esta Licena para que seus
nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer
Verso Modificada.

COMBINANDO DOCUMENTOS
Voc pode combinar o Documento com outros documentos publicados sob esta Licena, sob
os termos definidos na seo 4 acima para verses modificadas, desde que voc inclua na combinao todas as Sees Invariantes de todos os documentos originais, sem modificaes, e liste
todas elas como Sees Invariantes de seu trabalho combinado em sua nota de licena.
O trabalho combinado precisa conter apenas uma cpia desta Licena, e Sees Invariantes
Idnticas com multiplas ocorrncias podem ser substitudas por apenas uma cpia. Se houver
mltiplas Sees Invariantes com o mesmo nome mas com contedos distintos, faa o ttulo de
15

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

cada seo nico adicionando ao final do mesmo, em parnteses, o nome do autor ou editor
origianl daquela seo, se for conhecido, ou um nmero que seja nico. Faa o mesmo ajuste
nos ttulos de seo na lista de Sees Invariantes nota de licena do trabalho combinado.
Na combinao, voc precisa combinar quaisquer sees entituladas "Histrico"dos diversos documentos originais, formando uma seo entitulada "Histrico"; da mesma forma combine
quaisquer sees entituladas "Agradecimentos", ou "Dedicatrias". Voc precisa apagar todas as
sees entituladas como "Endosso".

COLETNEAS DE DOCUMENTOS
Voc pode fazer uma coletnea consitindo do Documento e outros documentos publicados
sob esta Licena, e substituir as cpias individuais desta Licena nos vrios documentos com
uma nica cpia incluida na coletnea, desde que voc siga as regras desta Licena para cpia
exata de cada um dos Documentos em todos os outros aspectos.
Voc pode extrair um nico documento de tal coletnea, e distribu-lo individualmente sob
esta Licena, desde que voc insira uma cpia desta Licena no documento extrado, e siga esta
Licena em todos os outros aspectos relacionados cpia exata daquele documento.

AGREGAO COM TRABALHOS INDEPENDENTES

Uma compilao do Documento ou derivados dele com outros trabalhos ou documentos separados e independentes, em um volume ou mdia de distribuio, no conta como uma Verso Modificada do Documento, desde que nenhum copyright de compilao seja reclamado pela
compilao. Tal compilao chamada um "agregado", e esta Licena no se aplica aos outros
trabalhos auto-contidos compilados junto com o Documento, s por conta de terem sido assim
compilados, e eles no so trabalhos derivados do Documento.
Se o requerido para o Texto de Capa na seo 3 for aplicvel a essas cpias do Documento,
ento, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa
do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado.
Seno eles precisaro aparecer nas capas de todo o agregado.

TRADUO
Traduo considerada como um tipo de modificao, ento voc pode distribuir tradues
do Documento sob os termos da seo 4. A substituio de Sees Invariantes por tradues
requer uma permisso especial dos detentores do copyright das mesmas, mas voc pode incluir
tradues de algumas ou de todas as Sees Invariantes em adio s verses orignais dessas
Sees Invariantes. Voc pode incluir uma traduo desta Licena desde que voc tambm inclua a verso original em Ingls desta Licena. No caso de discordncia entre a traduo e a

16

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

verso original em Ingls desta Licena, a verso original em Ingls prevalecer.

TRMINO
Voc no pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expressamente especificado sob esta Licena. Qualquer outra tentativa de copiar, modificar, sublicenciar, ou distribuir o Documento nula, e resultar automaticamente no trmino de seus direitos
sob esta Licena. Entretanto, terceiros que tenham recebido cpias, ou direitos de voc sob esta
Licena no tero suas licenas terminadas, tanto quanto esses terceiros permaneam em total
acordo com esta Licena.

REVISES FUTURAS DESTA LICENA

A Free Software Foundation pode publicar novas verses revisadas da Licena de Documentao Livre GNU de tempos em tempos. Tais novas verses sero similares em espirito verso
presente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupaes. Veja
http://www.gnu.org/copyleft/.
A cada verso da Licena dado um nmero de verso distinto. Se o Documento especificar
que uma verso particular desta Licena "ou qualquer verso posterior"se aplica ao mesmo, voc
tem a opo de seguir os termos e condies daquela verso especfica, ou de qualquer verso
posterior que tenha sido publicada (no como rascunho) pela Free Software Foundation. Se o
Documento no especificar um nmero de Verso desta Licena, voc pode escolher qualquer
verso j publicada (no como rascunho) pela Free Software Foundation.
ADENDO: Como usar esta Licena para seus documentos
Para usar esta Licena num documento que voc escreveu, inclua uma cpia desta Licena
no documento e ponha as seguintes notas de copyright e licenas logo aps a pgina de ttulo:
Copyright (c) ANO SEU NOME.
dada permisso para copiar, distribuir e/ou modificar este documento sob os termos da Licena
de Documentao Livre GNU, Verso 1.1 ou qualquer verso posterior publicada pela Free Software Foundation; com as Sees Invariantes sendo LISTE SEUS TTULOS, com os Textos da
Capa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cpia da licena est inclusa na seo entitulada "Licena de Documentao Livre GNU".
Se voc no tiver nenhuma Seo Invariante, escreva "sem Sees Invariantes"ao invs de
dizer quais so invariantes. Se voc no tiver Textos de Capa da Frente, escreva "sem Textos de
Capa da Frente"ao invs de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os
Textos da Quarta Capa.
Se o seu documento contiver exemplos no triviais de cdigo de programas, ns recomendamos a publicao desses exemplos em paralelo sob a sua escolha de licena de software livre,

17

CDTC

Centro de Difuso de Tecnologia e Conhecimento

tal como a GNU General Public License, para permitir o seu uso em software livre.

18

Brasil/DF

Parte IV

SELinux

19

Captulo 1

Viso Geral
A estrutura SELinux (Security Enhanced Linux) uma camada de segurana extra para servidores, e limita as aes dos usurios e programas pela imposio de polticas de segurana por
todo o sistema operacional. As restries impostas por suas polticas fornecem segurana extra
contra acesso no autorizado. O SELinux, que toma como base o princpio do mnimo privilgio
ao extremo e restringe at o usurio root, foi uma criao da NSA (Agncia de Segurana Nacional norte-americana).
O curso, com base na distribuio Debian possui uma semana, comeando na Segunda-Feira
e terminando no Domingo. Todo o contedo do curso estar visvel somente a partir da data de
incio. Para comear o curso voc deve ler o Guia do aluno a seguir.

20

Captulo 2

Plano de ensino
2.1 Objetivo
Capacitar o usurio para o uso autnomo do SELinux e suas ferramentas mais utilizadas.

2.2 Pblico Alvo

Usurios finais ou novatos que desejam migrar os seus sistemas proprietrios para software
livre, em especial, o SELinux.

2.3 Pr-requisitos
Os usurios devero ser, necessariamente, funcionrios pblicos e ter conhecimentos bsicos
para operar um computador.

2.4 Descrio
O curso ser realizado na modalidade Educao a Distncia e utilizar a Plataforma Moodle
como ferramenta de aprendizagem. O curso tem durao de uma semana e possui um conjunto
de atividades (lies, fruns, glossrios, questionrios e outros) que devero ser executadas de
acordo com as instrues fornecidas. O material didtico estar disponvel on-line de acordo com
as datas pr-estabelecidas em cada tpico.

2.5 Metodologia
O curso est dividido da seguinte maneira:

2.6 Cronograma
Descrio das atividades
Semana 1
21

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

Lio 1 - Conceitos Iniciais;

Lio 2 - Pr-requisitos e novas ferramentas;
Lio 3 - Instalando o SELinux;
Lio 4 - Contas de usurios;
Lio 5 - Regras;
Avaliao de aprendizagem;
Avaliao do curso.
Como mostrado na tabela acima, a cada semana ser disponibilizado um conjunto de mdulos.
recomendvel que o participante siga as datas estabelecidas. // As lies, disponveis em cada
mdulo, contm o contedo principal. Elas podero ser acessadas quantas vezes forem necessrias, desde que esteja dentro da semana programada. Ao final de uma lio, voc receber
uma nota de acordo com o seu desempenho. Caso sua nota numa determinada lio seja menor
do que 6.0, sugerimos que voc faa novamente esta lio. // Ao final do curso sero disponibilizadas as avaliaes referentes aos mdulos estudados anteriormente. Somente a nota da
avaliao ser considerada para a nota final. Todos os mdulos ficaro visveis para que possam
ser consultados durante a avaliao final. // Para conhecer as demais atividades de cada mdulo
leia o tpico seguinte: "Ambientao do Moodle". // Os instrutores estaro a sua disposio ao
longo de todo curso. Qualquer dvida deve ser enviada ao frum correspondente. Diariamente
os monitores daro respostas e esclarecimentos.

2.7 Programa
O curso oferecer o seguinte contedo:
Instalao e configurao do SELinux.

2.8 Avaliao
Toda a avaliao ser feita on-line.
Aspectos a serem considerados na avaliao:
iniciativa e autonomia no processo de aprendizagem e de produo de conhecimento;
capacidade de pesquisa e abordagem criativa na soluo dos problemas apresentados.
Instrumentos de avaliao:
participao ativa nas atividades programadas;
avaliao ao final do curso;
o participante far vrias avaliaes referentes ao contedo do curso. Para a aprovao e
obteno do certificado o participante dever obter nota final maior ou igual a 6.0 de acordo
com a frmula abaixo:
Nota Final = ((ML x 7) + (AF x 3)) / 10 = Mdia aritmtica das lies.
AF = Avaliaes.
22

CDTC

Centro de Difuso de Tecnologia e Conhecimento

2.9 Bibliografia
Pgina oficial do SELinux http://www.nsa.gov/selinux/

23

Brasil/DF

Captulo 3

Modulo I - Introduo
Programas que provem acessibilidade em informtica so um conjunto de ferramentas que
permitem que portadores das mais diversas necessidades especiais possam utilizar todos os
recursos que o computador oferece. Este mdulo abordar uma breve introduo aos conceitos
envolvidos no SELinux.

3.1 Lio 1 - Conceitos Inciais

O SELinux ("Security-Enhanced Linux") foi desenvolvido pela Agncia Nacional de Segurana
dos EUA, a NSA (National Security Agency), e toma como base o princpio do mnimo privilgio
ao extremo, restringindo at o usurio root.
SELinux foi implementado usando uma flexvel e refinada arquitetura MAC ("Mandatory Access
Control"). Desta forma, ele prov uma poltica de segurana sobre todos os processos e objetos
do sistema. Suas decises so baseadas em labels, e contm uma variedade de informaes
relevantes segurana. A lgica da poltica de tomada de decises encapsulada dentro de um
simples componente conhecido como servidor de segurana ("security server") com uma interface geral de segurana.
Ele foi integrado ao Kernel do Linux usando o "framework"LSM ("Linux Security Modules").
Inicialmente sua implementao utilizou os identificadores (IDs ou PSIDs) armazenados nos inodes livres do sistema de arquivos ext2. Tal representao numrica era mapeada pelo SELinux
como um label do contexto de segurana. Porm, isso necessitaria de uma modificao em cada
sistema de arquivo para suportar os PSIDs, o que no uma soluo escalvel.
Assim, a prxima etapa da evoluo do SELinux foi um mdulo carregvel no Kernel 2.4 que
armazenava os PSIDs num arquivo normal fazendo com que suportasse mais sistemas de arquivos.
Entretanto, essa soluo no possibilitava a ideal perfomance do sistema.
Ento o cdigo do SELinux finalmente foi integrado ao kernel 2.6.x com total suporte por LSM e
contendo atributos (xattrs) no sistema de arquivos ext3. E o SELinux foi alterado para usar xattrs como forma de armazenamento da informao do contexto de segurana. Atualmente, vem
sendo realizado um extenso trabalho com o objetivo de deixar o kernel pronto para o SELinux
bem como seu subseqente desenvolvimento em esforos conjuntos da NSA, Red Hat, IBM e a
comunidade de desenvolvedores do SELinux.

24

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

3.1.1 Vantagens na utilizao

O MAC mostra-se bem superior ao tradicional DAC ("Discretionary Access Control"), pois este
possui diversas limitaes.
Caso utilize somente o DAC, o dono de um arquivo/objeto prov um potencial risco de corromplo. Um usurio pode expor arquivos ou diretrios brechas de segurana utilizando incorretamente o comando chmod e uma no esperada propagao dos direitos de acesso. Um processo
inicializado pelo usurio como um script CGI pode fazer tudo que quiser com quaisquer arquivos
possudos por este usurio. Por exemplo um Servidor HTTP pode realizar qualquer operao
sobre arquivos que esto no grupo web ou softwares maliciosos podem conquistar nvel root de
acesso rodando como processo de root ou utilizando setuid ou setgid.
O DAC prev apenas duas grandes categorias de usurios:
Administradores e No-administradores.
Para alguns servios e programas rodarem com nvel elevado de privilgio as escolhas so
poucas e tipicamente resolvidas dando completo acesso de administrador.
O MAC permite que sejam definidas permisses de como os processos iro interagir com outras
partes do sistema como arquivos, devices, sockets, portas e outros processos (todos chamados
de objetos para o SELinux).
Isso feito atravs de uma poltica de segurana definida administrativamente sobre todos os
processos e objetos. Estes processos e objetos so controlados pelo Kernel e a deciso de segurana tomada com todas as informaes disponveis ao invs de utilizar somente a identidade
do usurio. Com este modelo os processos podem garantir apenas permisses necessrias pela
funcionalidade seguindo um princpio de poucos privilgios.
Sobre MAC, por exemplo, usurios que expem seus dados utilizando chmod esto protegidos
pelo fato de seus dados terem um tipo nico associado com seu diretrio "home"e outros processos no podem tocar nestes dados sem devida permisso dentro da poltica.

25

Captulo 4

Modulo 2 - Instalao
Esta seo abordar como instalar o SELinux de forma simples e eficiente, bem como alguns
pr-requisitos e conhecimentos necessrios sua instalao.

4.1 Lio 2 - Pr-Requisitos e novas ferramentas

4.1.1 Pr-Requisitos
muito importante ter habilidade de aprender termos tcnicos e coloc-los em prtica. Tambm importante que j tenha uma idia do que pretende fazer, como administrar configuraes
de servios bsicos, satisfazer o usurio /home/servidor via Apache HTTP, manipular o policiamento da aplicao web PHP, ou realizar um policiamento que permita que certa aplicao seja
protegida pelo SELinux.
Para isso, necessrio ter:
elevado conhecimento em Linux;
se pretender administrar servios, manipular ou analisar policiamento, conhecimento em
nvel de administrador e a experincia necessria;
conhecimento em segurana no sistema Linux/UNIX;
conhecimento sobre como o sistema Linux/UNIX opera em baixo-nvel, tal como so realizadas as chamadas ao Kernel para operaes (entrada, sada, ler, escrever, etc.);
conhecimento de programao e da teoria do sistema que usado no policiamento;
familiaridade com a linguagem M4, o que ajudaria a entender algumas partes do policiamento SELinux;
privilgios de administrador no sistema;
algum local para examinar e testar o policiamento.Pode ser uma mquina de teste ou desenvolvimento, ou uma estao de trabalho.

26

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

4.1.2 Novas Ferramentas

A verso nova do SELinux possui vrias ferramentas novas, dentre elas, citaremos as mais
importantes:
Sistema de arquivos /selinux
O sistema de arquivos /selinux foi includo. Assim, uma parte do processo de instalao requer a
edio de /etc/fstab. Este sistema de arquivos similar ao /proc, que por sua vez, tambm um
pseudo sistema de arquivos.
O comando ls -l /selinux mostra:
total 0 -rw-rw-rw- 1 root root 0 Sep 11 9:16 access -rw-rw-rw- 1 root root 0 Sep 11 9:16 context
-rw-rw-rw- 1 root root 0 Sep 11 9:16 create -rw- 1 root root 0 Sep 11 10:34 enforce -rw1 root root 0 Sep 11 10:34 load -rrr 1 root root 0 Sep 11 10:34 policyvers
Executando o comando cat no arquivo enforce, ser mostrada 1 para o modo enforcing, ou 0 para
o modo permitido.
Carregando o policiamento SELinux por meio de init. O responsvel por montar o arquivo de
sistemas /selinux o init, depois disso deve ser carregado o policiamento.
No usa-se SIDs e PSIDs
Os SIDs (Security Identifiers) eram usados no antigo SELinux na interface com o kernel . E os
PSIDs (Persistent SIDs) eram usados no cdigo do kernel para mapear arquivos de contexto para
diretrios no disco rgido. No novo SELinux, os atributos extendidos contm o contexto, assim
SIDs e PSIDs no so mais necessrias.
Opo -Z
Esta opo pode ser usada no lugar de context, depois de um comando como ls ou ps.
Comando chcon ao invs de chsid
O comando chsid era usado no antigo SELinux para alterar o contexto de um arquivo. O novo
SELinux usa o comando chcon para mudar contextos de arquivo.

4.2 Lio 3 - Instalando o SELinux

4.2.1 Instalao
Caso utilize uma distribuio que no possua suporte a SELinux, necessrio instalar os seguintes pacotes:
libselinux1: contm as bibliotecas necessrias para o novo SELinux;
selinux-policy-default: contm arquivos de policiamento para a maioria dos programas usados, como postfix, sendmail, etc;
checkpolicy: contm o compilador do policiamento de segurana;
policycoreutils: contm utilidades, como setfiles, load_policy, newrole etc;
selinux-utils: contm utilitrios para algumas aplicaes, como para pesquisar o policiamento;
selinux-doc: contm documentaes;
27

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

libsemanage: contm algumas bibliotecas;

libsepol: contm algumas bibliotecas.
Pacotes adicionais a serem instalados no debian
coreutils: contm verses modificadas de comandos, como cp, mv e ls;
procps: contm verses modificadas de comandos, como ps e top;
sysvinit: contm um "pach"para carregar o policiamento;
dpkg: necessrio para rotular os arquivos corretamente, aps o pacote ser instalado;
logrotate:contm uma verso modificada do pacote logrotate, o qual preserva a segurana
dos contextos dos novos arquivos no SELinux;
cron: necessrio para rodar scripts nos domnios corretos.
Para isso, basta usar o comando apt-get install em seu terminal de comandos. E no
necessrio realizar o boot na mquina antes de intal-los, ento eles podem ser instalados a
qualquer momento.

4.3 Configuraes Bsicas

Editando seu arquivo /etc/fstab e criando o /etc/selinux:
Antes de fazer o "reboot"do sistema, primeiramente necessrio editar o arquivo /etc/fstab e criar
o diretrio /etc/selinux, e configurar as permisses para o modo 500. Ento edite seu /etc/fstab,
incluindo o seguinte:
none /selinux selinuxfs noauto 0 0
Executando o comando make relabel.
Se seu Kernel 2.6.x, com suporte a XATTR, depois de criar o diretrio etc/selinux e editar o
arquivo /etc/fstab, necessrio executar o comando:
make -C /etc/selinux relabel.
Este comando d um novo rtulo para o arquivo de sistemas, com o correto contexto de segurana. Porm, se seu Kernel 2.4.x, este comando no pode ser dado agora.
Editando /etc/pam.d/login e etc/pam.d/ssh
Antes de fazer o "reboot"do sistema, necessrio editar os arquivos /etc/pam.d/login e /etc/pam.d/
ssh, para que o shell seja iniciado no contexto correto, ento adicione "session required pam_selinux.
so"em ambos estes arquivos.

28

Captulo 5

Modulo 3 - Configurao e uso

Nesta seo ser visto como realizar algumas configuraes no SELinux.

5.1 Lio 4 - Contas de usurios

5.1.1 Configurando contas de usurios
Criando novas contas de usurios:
Verifique se seu domnio de contexto sysadm_r:sysadm_t role, depois basta usar o comando
useradd para adicionar um novo usurio. Para verificar se seu uid 0, e se est em
sysadm_r:sysadm_t role, digite o seguinte comando:
id
uid=0(root) gid=0(root) groups=0(root) context=faye:sysadm_r:sysadm_t
Caso seu uid seja o da sua conta regular, ento faa o login como su primeiramente. E siga os
comandos abaixo:
useradd -c "SE Linux test user-m -d /home/setest -g users -s /bin/bash -u 1005 nome_de_usurio
finger nome_de_usurio
Login: nome_de_usurio Name: SE Linux test user
Directory: /home/nome_de_usurio Shell: /bin/bash
Never logged in.
No mail.
No Plan.
passwd nome_de_usuario
Enter new UNIX password: senha
Retype new UNIX password: senha
passwd: password updated successfully
Assim o novo usurio "nome_de_usurio"foi criado.
Configurando regras para usurios:
Como exemplo, para que o usurio tenha acesso a user_r , necessrio configurar o arquivo
/etc/selinux/users.
Para isso, insira no final de seu arquivo:
user usuario roles user_r ;

29

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

Assim, o usurio "usurio" autorizado a ter acesso user_r role.

Ento, necessrio atualizar o arquivo /etc/selinux/users, executando o seguinte comando:
make -C /etc/selinux load.
Ao terminar, aparecer algo como:
Success
touch tmp/load
make: Leaving directory `/usr/share/selinux/policy/current
Agora, deve-se configurar um contexto de segurana default, o que ser visto na seo seguinte.

5.1.2 Editando domnios de usurios

O arquivo de configurao que contm os domnios dos usurios /etc/selinux/domains/user.te,
altere-o, adicionando as seguintes linhas:
full_user_role(second)
allow system_r second_r
allow sysadm_r second_r
Tambm adicione o seguinte comentrio:
#Ao adicionar novas regras, edite o macro in_user_role em macros/user_macros.te.
Para editar o arquivo /etc/selinux/macros/user_macros.te, entre num editor de texto e procure (no
final do arquivo) a string in_user_role e adicione: "role second_r types"
A linha full_user_role(second) cria o domnio second_t e os diretrios second_home_dir_t e second_home_t
O diretrio second_tmp_t criado para arquivos que esto em nveis inferiores a /tmp. O diretrio
second_tmpfs_t criado para dividir o espao de memria criado no contexto tmpfs
Os diretrios second_tty_device_t e second_devpts_t so criados para rotular os "tty devices"e
os "pseudo tty devices"
Agora que j criamos um novo domnio de usurio (second_t), criaremos um novo usurio para
us-lo.
Criando um novo usurio (newuser) para o novo domnio criado:
Com o prprio comando useradd, crie um novo usurio e o adicione a /etc/selinux/users, que s
tenha acesso a regra second_r
Execute o comando:
make -C /etc/selinux load
Para aplicar o policiamento:
Deve-se configurar o domnio default para a nova regra, editando o arquivo /etc/security/default_type
e adicionando a linha:
second_r:second_t
Agora necessrio rotular manualmente o arquivo /home/newuser, executando o seguinte comando:
find /home/newuser | xargs chcon -h system_u:object_r:
second_home_t ; chcon -h system_u:object_r:second_
home_dir_t /home/spike
Agora que o novo usurio foi criado, tente fazer o login como sendo ele.

30

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Brasil/DF

5.1.3 Configurando contextos de segurana

Configurando um contexto de segurana default
Um contexto de segurana default deve ser associado s sesses de login. Para isso, acesse o
arquivo /etc/security/default_context.
A linha "system_r:local_login_t user_r:user_t"significa que quando um usurio faz o login localmente, o programa /bin/login ser executado no domnio local_login_t e ser associada uma regra
de usurio e um domnio de user_r e user_t respectivamente.
A linha "system_r:sshd_t user_r:user_t"significa que todos que logarem via ssh sero associados
ao usurio user_r:user_t role:domain.

5.2 Lio 5 - Regras

5.3 Alterando regras no SELinux
Fornecendo um contexto de usurio no login:
Bem, aqui supe-se que o "reboot"na mquina j tenha sido feito. Ao instalar o pacote selinuxpolicy-default, os arquivos de policiamento foram instalados de modo a permitir que se realize o
login no sistema como usurio default (caso no tenha adicionado novos usurios).
Ento, fazendo o login como root, o contexto de segurana ser:
root:user_r:user_t
Assim, o id e seu contexto de segurana devem ser similares a:
uid=0(root) gid=0(root) groups=0(root) context=root:user_r:user_t
Existem duas maneiras para mudar para uma nova regra:
1) Ao fazer o login:
Se um usurio est autorizado a entrar no domnio sysadm_t. Ento basta que essa pessoa faa
o login no terminal. Em "Your default context is faye:user_r:user_t. Do you want to choose a different one? "selecione a opo desejada, e clique em enter
[1]user:user_r:user_t [2]user:sysadm_r:sysadm_t Enter number of choice:
Neste exemplo, o usurio user j tinha acesso a sysadm_r role e a sysadm_t domain. Assim, as
opes que sero mostradas so somente aquelas que o usurio tem o acesso permitido.
Assim, se o usurio user selecionar a opo 2, ter o contexto de segurana:
context=faye:sysadm_r:sysadm_t, que significa que est na regra sysadm_r.
2) Com o comando newrole -r
A sintaxe deste comando :
newrole -r regra
Substitui-se "regra"pela nova regra desejada.
Ento ser preciso entrar com a senha do usurio, que poder ser verificada com o comando id.
Porm, caso no seja possvel que voc altere a regra, ser retornado algo como:
user:sysadm_r:sysadm_t is not a valid context
Esta mensagem significa que o usurio "user"no pode ter este contexto, porque no est autorizado.
Aps mudar regras, execute o comando id para verificar seu contexto de segurana.

31