Возможно ли включить полностью рабочую политику SELinux в B2B программное обеспечение?

Содержание

Вопрос или проблема
Предисловие
Вопросы
Ответ или решение
Ответы на вопросы
1. Более эффективный способ генерации политики
2. Антиципация нарушений в среде клиента
3. Обеспечение "работающей" политики
Заключение

Вопрос или проблема

Предисловие

Я инженер в небольшой компании, которая продает B2B программное обеспечение для различных операционных систем, включая RHEL. Программное обеспечение обычно работает нативно (в виде статически скомпилированного бинарного файла) и использует/доступает к системным ресурсам, таким как необработанные сокеты, файловая система /proc, iptables и т. д. Конкретные ресурсы зависят от того, как программное обеспечение настроено во время установки, а также от динамических событий, встречающихся во время выполнения.

Клиент попросил нас “обеспечить поддержку SELinux” для программного обеспечения. Используя документацию от Red Hat и SELinux Notebook, нам удалось создать настраиваемую политику для приложения. Мы сгенерировали политику в локальной среде разработки следующим образом:

Переключив SELinux в режим “permissive”,
Запустив наше программное обеспечение в течение продолжительного времени, испытывая как можно больше кодовых путей,
Создав модуль политики из зарегистрированных нарушений с помощью ausearch и audit2allow
Проверив, что приложение работало как ожидалось в режиме “enforcing”.

Однако когда клиент попытался установить политику в своей среде, приложение все равно вызвало ряд нарушений, которые не возникали в нашей среде, даже несмотря на то, что использовались те же ресурсы, которые мы тестировали.

Вопросы

Существует ли лучший способ генерировать политику, чем просто запускать программное обеспечение в течение недели и вручную фиксировать нарушения?
Существует ли способ предугадать нарушения в среде клиента, не имея доступа к данной среде?
Существует ли способ предоставить политику, которая “просто работает” в их среде, без того чтобы они работали как “unconfined” и без необходимости проходить тот же цикл “запустить в течение нескольких дней в режиме permissive и использовать ausearch/audit2allow“?

После некоторых исследований мы пришли к общему выводу, что указанная выше проблема, с которой мы столкнулись, на самом деле является нормальной работой SELinux, но инструменты в экосистеме довольно сложны, и я с нетерпением жду ваших отзывов или ответов на вышеуказанные вопросы. Спасибо!

Ответ или решение

Введение

Ваша ситуация с созданием и внедрением политики SELinux для программного обеспечения B2B действительно является сложной задачей. Этот процесс требует тщательного понимания как специфики работы вашего приложения, так и особенностей SELinux.

Ответы на вопросы

1. Более эффективный способ генерации политики

Использование только тестирования приложения в режиме "permissive" – это лишь один из множества подходов. Хотя этот метод может выявить многие частые нарушения, его эффективность ограничена. Более продвинутый подход включает:

Использование инструментов для динамического анализа: Помимо ausearch и audit2allow, можно использовать sepolicy или sesearch. Эти утилиты помогут более глубоко проанализировать доступ и права, особенно если у вас есть доступ к журналам с других систем.
Создание тестовых сред, близких к клиентским: Постарайтесь создать тестовую среду, имитирующую вашу клиентскую среду. Использование виртуальных машин или контейнеров может помочь в этом. Тестируя приложение в условиях, максимально близких к реальным, вы сможете лучше прогнозировать возможные нарушения.
Использование методов статического анализа кода: Анализ кода вашего приложения может также помочь выявить потенциальные проблемы с доступом к ресурсам. Это может быть особенно полезно в случае динамически формируемых путей или ресурсов.

2. Антиципация нарушений в среде клиента

Без доступа к клиентской среде бывает трудно предполагать специфику нарушений. Но есть несколько методов, которые могут помочь:

Документация и консультации с клиентом: Постарайтесь получить как можно больше информации о том, как клиент конфигурирует и использует ваше ПО. Узнайте, какие ресурсы используются на стороне клиента (например, какие порты открыты, какие сетевые правила настроены).
Отлаженные файлы журналов: Советуйте клиентам включить SELinux в "permissive" режим для краткого тестирования и предоставления информации о нарушениях. Это может позволить избежать значительного времени на совместные испытания.

3. Обеспечение "работающей" политики

Создание универсальной политики, которая будет "работать" на всех клиентах, практически невозможно из-за вариативности их систем и конфигураций. Однако вы можете предпринять следующие шаги:

Поставить шаблон политики: Создайте базовую политику, которая будет включать основные разрешения для работы вашего приложения. Позвольте клиенту адаптировать ее к своим требованиям.
Предоставить подробные инструкции: Включите в пакет установки готовый скрипт для настройки политики в клиентской среде. Убедитесь, что клиент понимает, как функционирует SELinux и как легко модифицировать политику до нужного уровня.
Создание сообщества разработчиков: Если это возможно, стимулируйте клиентов делиться опытом и решениями по настройке в рамках сообщества пользователей вашего ПО. Это позволит вам получать обратную связь и в дальнейшем улучшать политику.

Заключение

Несмотря на сложности, связанные с настройкой SELinux для B2B программного обеспечения, применение вышеописанных методов может значительно улучшить процесс создания и внедрения политики безопасности. Успех зависит от понимания как внутренней архитектуры вашего приложения, так и особенностей клиентских сред. Важно находить баланс между безопасностью и работоспособностью, что является ключевым аспектом при работе с SELinux.