Desactivar SELinux para determinados servicios (permissive mode)

En esta entrada vamos a ver la forma de configurar SELinux para trabajar en modo permisivo de forma selectiva, concretamente indicando qué procesos queremos que trabajen en modo permisivo cuando a nivel global la configuración es enforcing. Si usamos la terminología correcta, debemos hablar de configurar determinados dominios de SELinux en modo permisivo, ya que Seguir leyendo


proxy: AJP: attempt to connect to … failed

Cuando configuramos un servidor web Apache como Proxy para servir contenido de un servidor de aplicaciones (Tomcat en este caso), Apache necesita realizar conexiones de red (a puertos TCP en localhost por ejemplo). Con SELinux en modo enforcing, recibiremos el siguiente error: proxy: AJP: attempt to connect to 127.0.0.1:8989 (localhost) failed Este error significa que Seguir leyendo


Importar / exportar contextos y booleanos personalizados de SELinux

El comando semanage es una herramienta que nos permite configurar las políticas de SELinux (Security-Enhanced Linux), está disponible dentro del paquete policycoreutils-python: # yum info policycoreutils-python Installed Packages Name : policycoreutils-python Arch : i686 Version : 2.0.83 Release : 19.24.el6 Size : 910 k Repo : installed From repo : base Summary : SELinux policy Seguir leyendo


Cómo enviar alertas AVC de SELinux por email (setroubleshoot-server)

Nadie nos impide hacer troubleshooting/debug de SELinux a través del log de audit (/var/log/audit/audit.log), el problema es que en dicho log la información se vuelca en bruto y puede ser complejo analizarla si nuestros conocimientos de SELinux no son avanzados o si no tenemos buena vista. Para evitar esto existe un paquete que nos solucionará Seguir leyendo


AIDE (Advanced Intrusion Detection Environment)

AIDE (Advanced Intrusion Detection Environment) es, como su nombre indica un sistema avanzado de detección de intrusiones a nivel de sistema operativo. Es muy sencillo de instalar y con una configuración estándar puede funcionar realmente bien. El funcionamiento consiste en que se crea una base de datos basada en la configuración especificada en el fichero Seguir leyendo


SSLCertificateFile: file certificado.crt does not exist or empty

En caso de recibir este error tras realizar una instalación de un certificado SSL en un servidor web Apache debemos revisar (en RHEL, CentOS, Scientific Linux, Fedora…) el estado de SElinux. Si está activado, probablemente sea el origen del problema: # sestatus SELinux status:                 enabled SELinuxfs mount:                /selinux Current mode:                   enforcing Mode from config file:          Seguir leyendo


star: empaquetar preservando ACL y atributos extendidos (SElinux)

El comando star permite comprimir y descomprimir y/o empaquetar múltiples ficheros con la posibilidad de mantener tanto los atributos extendidos de SElinux como las ACL que puedan tener configurados los ficheros/directorios. # yum info star.i686 … Name : star Arch : i686 Summary : An archiving tool with ACL support URL : http://cdrecord.berlios.de/old/private/star.html Description : Seguir leyendo