DRACOON Cloud-Status:

Jetzt teilnehmen:Online-Umfrage zur Verbesserung von DRACOONMehr Infos

Beiträge in diesem Abschnitt

Hinweise für DRACOON Update-Installationen auf CentOS 7.4 (oder höher)

  • Aktualisiert
Folgen

RHEL / CentOS 7.4

 

Mit dem Update auf CentOS 7.4 gibt es einige Veränderungen des Verhaltens von SELinux gegenüber Tomcat:

  1. Der File-Context von WAR-Files wird beachtet
  2. Datenbankverbindungen werden untersagt
  3. Verbindungen zu SMTP-Servern werden untersagt
  4. NFS-Zugriffe werden untersagt
  5. Zugriffe auf das Dateisystem werden untersagt

 

Zu 1.)

Damit alle Applikationen auch nach dem Update funktionieren, muss zukünftig darauf geachtet werden, dass WAR-Files nicht in das webapps-Verzeichnis verschoben werden. Diese sollten also in das Verzeichnis kopiert werden.
Das Problem beim Verschieben ist, dass der möglicherweise falsche SELinux File-Context des Quellverzeichnisses erhalten bleibt. Beim Kopieren ist das nicht der Fall.

Alternativ kann der Filecontext auch mittels dem Befehl

[root@sds ~]# restorecon -rv /usr/share/tomcat/webapps

auf den Standard des Verzeichnisses korrigiert werden.

In den Tomcat-Logs äußert sich ein falscher File-Context folgendermaßen:

java.io.FileNotFoundException: /var/lib/tomcat/webapps/oauth.war
...
java.lang.IllegalArgumentException: Invalid or unreadable WAR file : /usr/share/tomcat/webapps/oauth.war
...

 

Zu 2. & 3.)

Möglichkeit 1 - Regeln selbst erstellen:

Die API des DRACOONs bildet nochmals einen Sonderfall, da diese eine Datenbankverbindung aufbauen muss. Ebenso müssen E-Mails versendet werden können.
Damit diese nicht durch SELinux geblockt wird, setzen wir dieses nach dem Update auf CentOS 7.4 und dem anschließenden Neustart auf permissive und starten den Tomcat neu:

[root@sds ~]# setenforce 0
[root@sds ~]# systemctl restart tomcat

Wenn die Applikation vollständig gestartet wurde, muss eine entsprechende Policy für SELinux erstellt werden (hierzu muss das Paket "policycoreutils-python" installiert sein):

[root@sds ~]# grep tomcat /var/log/audit/audit.log | audit2allow -m tomcat_mysql

module tomcat_mysql 1.0;

require {
type mysqld_port_t;
type tomcat_t;
class tcp_socket name_connect;
}

#============= tomcat_t ==============
allow tomcat_t mysqld_port_t:tcp_socket name_connect;
[root@sds ~]# grep tomcat /var/log/audit/audit.log | audit2allow -M tomcat_mysql
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i tomcat_mysql.pp

[root@sds ~]# semodule -i tomcat_mysql.pp

ACHTUNG: Mit ausschließlich dieser Regel ist der DRACOON noch nicht voll funktionsfähig. Um eine vollständige Regel selbst zu generieren, muss jede Funktion des DRACOONs (hochladen, herunterladen, löschen, Mail versenden,...) einmal ausgeführt werden.

Anschließend kann SELinux wieder in den Enforcing-Mode versetzt werden und der Start des Tomcat nochmals getestet werden:

[root@sds ~]# setenforce 1
[root@sds ~]# systemctl restart tomcat

Für alles Weitere (STMP, NFS, ...) ist das Vorgehen identisch und kann auch in einer Regel kombiniert werden.

Bei der Nutzung eines NFS-Shares sähe eine Regel wie folgt aus:

[root@sds ~]# grep tomcat /var/log/audit/audit.log | audit2allow -m tomcat_nfs

module tomcat_nfs 1.0;

require {
type tomcat_t;
type nfs_t;
class dir { add_name getattr open read remove_name search write };
class file { create getattr open read unlink write };
}

#============= tomcat_t ==============
allow tomcat_t nfs_t:dir { add_name getattr open read remove_name search write };
allow tomcat_t nfs_t:file { create getattr open read unlink write };

 Möglichkeit 2 - Regeln übernehmen:

Die untenstehenden Regeln können auch übernommen und auf dem System aktiviert werden.

Die untenstehende Policy wird in ein entsprechendes Textfile auf dem System kopiert.
Anschließend erstellen und aktivieren wir die Policy (hierzu muss das Paket "policycoreutils-python" installiert sein):

[root@sds ~]# checkmodule -M -m -o policy.mod policy.te
[root@sds ~]# semodule_package -o policyl.pp -m policy.mod
[root@sds ~]# semodule -i policy.pp

tomcat_mysql.te:


module tomcat_mysql 1.0;

require {
type mysqld_port_t;
type tomcat_t;
class tcp_socket name_connect;
}

#============= tomcat_t ==============
allow tomcat_t mysqld_port_t:tcp_socket name_connect;

tomcat_nfs.te:


module tomcat_nfs 1.0;

require {
type tomcat_t;
type nfs_t;
class dir { add_name getattr open read remove_name search write create };
class file { create getattr open read unlink write rename setattr };
}

#============= tomcat_t ==============
allow tomcat_t nfs_t:dir { add_name getattr open read remove_name search write create };
allow tomcat_t nfs_t:file { create getattr open read unlink write rename setattr };

tomcat_mnt.te (wenn die Daten nicht auf einem NFS Share sondern unter /mnt/ liegen - hier muss auf den richtigen Filecontext geachtet werden, z.B. 'chcon -R -u system_u -r object_r -t mnt_t /mnt/data'):


module tomcat_mnt 1.0;

require {
type tomcat_t;
type mnt_t;
class dir { add_name getattr open read remove_name search write create };
class file { create getattr open read unlink write rename setattr };
}

#============= tomcat_t ==============
allow tomcat_t mnt_t:dir { add_name getattr open read remove_name search write create };
allow tomcat_t mnt_t:file { create getattr open read unlink write rename setattr };

tomcat_smtp.te:


module tomcat_smtp 1.0;

require {
type tomcat_t;
type smtp_port_t;
class tcp_socket name_connect;
}

#============= tomcat_t ==============
allow tomcat_t smtp_port_t:tcp_socket name_connect;

 

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.