Come creare un pacchetto di RPM personalizzato SELinux
Articoli tecnici ID:
KB94454
Ultima modifica: 2021-09-23 20:36:29 Etc/GMT
Ambiente
McAfee Agent (MA) 5.7.x
Linux Security-Enhanced (SELinux)
Riepilogo
In questo articolo vengono descritte le procedure per build un pacchetto RPM personalizzato SELinux con McAfee Agent. Il pacchetto contiene un policy SELinux, in modo che il processo di McAfee Agent possa leggere, scrivere ed eseguire in un percorso cartella personalizzato.
IMPORTANTE:
- Questo pacchetto non può essere distribuito tramite ePO. È necessario attenersi alla procedura di installazione manuale riportata di seguito.
- Questo pacchetto non è un agent gestito. È necessario disporre di un agent gestito sulla versione 5.7.x già installato e gestito da ePO.
- Scaricare McAfeeAgent-selinux-5.7.x-ReleasePackages.tar.gz dal Download di prodotti sito.
- Copiare il pacchetto in una posizione nel sistema Linux ed estrarre il pacchetto utilizzando il comando seguente:
[root@root selinux]# tar -xvf McAfeeAgent-selinux-5.7.0-ReleasePackages.tar.gz
Pacchetti estratti:
McAfeeAgent-selinux-5.7.0-ReleasePackages/
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.src.rpm
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.el7.noarch.rpm
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.el8.noarch.rpm
- Individuare la cartella in cui sono stati estratti i file di cui sopra. Utilizzare i comandi seguenti:
[root@root selinux]# cd McAfeeAgent-selinux-5.7.0-ReleasePackages/
[root@root McAfeeAgent-selinux-5.7.0-ReleasePackages]# ls -lsa
Esempio di output dello schermo
total 160
0 drwxrwxr-x. 2 500 500 131 Feb 11 12:51 .
0 drwxr-xr-x. 3 root root 111 May 26 10:39 ..
64 -. 1 500 500 62564 Feb 11 12:51 MFEma-selinux-5.7.0-1.el7.noarch.rpm
56 -. 1 500 500 55692 Feb 11 12:51 MFEma-selinux-5.7.0-1.el8.noarch.rpm
40 -. 1 500 500 40675 Feb 11 12:51 MFEma-selinux-5.7.0-1.src.rpm
- Eseguire il comando riportato di seguito per installare il pacchetto:
rpm -ivh MFEma-selinux-5.7.xx.src.rpm
Esempio
[root@root McAfeeAgent-selinux-5.7.0]# rpm -ivh MFEma-selinux-5.7.0-1.src.rpm
Esempio di output dello schermo:
1:MFEma-selinux-5.7.0-1 ## [100%]
Nota Se si sta dando il percorso di replica SA come /test3/test3/test3, il contesto di questa cartella è con root_t. Pertanto, è necessario consentire al masvc e macmnsvc processi per la gestione di cartelle e file in questo contesto.
Esempio
[root@root SOURCES]# ls -alZ
Esempio di output dello schermo
total 168
drwxr-xr-x. 3 root root unconfined_u:object_r:admin_home_t:s0 240 May 26 11:05 .
drwxr-xr-x. 8 root root unconfined_u:object_r:admin_home_t:s0 89 Jan 20 11:01
-. 1 bserver bserver unconfined_u:object_r:admin_home_t:s0 53454 Feb 11 12:50 license.txt
- Eseguire il comando riportato di seguito per andare alla pagina SOURCES cartella.
pushd ${HOME}/rpmbuild/SOURCES
Nota rpmbuild deve essere installato nel sistema Linux.
- Verificare che i file del comando rpm esistano
[root@root SOURCES]# ls -lsa
Esempio di output dello schermo
total 168
0 drwxr-xr-x. 3 root root 240 May 26 11:05
0 drwxr-xr-x. 8 root root 89 Jan 20 11:01
56 -. 1 bserver bserver 53454 Feb 11 12:50 license.txt
4 -. 1 bserver bserver 1711 Feb 11 12:50 Makefile
8 -. 1 bserver bserver 5890 Feb 11 12:50 mfe_ma.fc
20 -. 1 bserver bserver 19039 Feb 11 12:50 mfe_ma.if
4 -. 1 bserver bserver 935 Feb 11 12:50 mfe_ma_perm.if
4 -. 1 bserver bserver 1041 Feb 11 12:50 mfe_ma_rt.fc
8 -. 1 bserver bserver 4735 Feb 11 12:50 mfe_ma_rt.if
4 -. 1 bserver bserver 2186 Feb 11 12:50 mfe_ma_rt.te
0 drwxr-xr-x. 2 root root 6 May 14 12:17 MFEma-selinux
4 -. 1 bserver bserver 1034 Feb 11 12:50 MFEma-selinux.tar.gz
52 -. 1 bserver bserver 50456 Feb 11 12:50 mfe_ma.te
4 -. 1 bserver bserver 3566 Feb 11 12:50 README.md
- Definire il tipo di contesto nella gen_require sezione funzione del mfe_ma.te file utilizzando un editor di VI.
Nota mfe_ma.te si trova in ${HOME}/rpmbuild/SOURCES.
Esempio
Prima di definire:
1. Obbligatorio
all_passwd_perms passwd di classe;
digitare unconfined_service_t, crond_t, crontab_exec_t, crontab_t, user_cron_spool_t, crond_var_run_t, systemd_unit_file_t, useradd_t, groupadd_t, shell_exec_t, usr_t, var_t, etc_t, ldconfig_cache_t, rhsmcertd_t, system_dbusd_t, system_dbusd_var_run_t, rpm_script_t, net_conf_t, sysfs_t, pstore_t, configfs_t, sysctl_fs_t, binfmt_misc_fs_t, system_map_t;'
)
Dopo aver definito:
gen_require ('
1. Obbligatorio
all_passwd_perms passwd di classe;
tipo root_t, unconfined_service_t, crond_t, crontab_exec_t, crontab_t, user_cron_spool_t, crond_var_run_t, systemd_unit_file_t, useradd_t, groupadd_t, shell_exec_t, usr_to, var_t, etc_t, ldconfig_cache_t, rhsmcertd_t, system_dbusd_t, system_dbusd_var_run_t, rpm_script_t, net_conf_t, sysfs_t, pstore_t, configfs_t, sysctl_fs_t, binfmt_misc_fs_t, system_map_t;
')
- Aggiungere le righe seguenti alla fine del file utilizzando un editor di VI (premere MAIUSC + G):
Consenti mfe_ma_masvc_t root_t: dir {manage_dir_perms};
Consenti mfe_ma_masvc_t root_t: file {manage_file_perms};
Consenti mfe_ma_macmnsvc_t root_t: dir {manage_dir_perms};
Consenti mfe_ma_macmnsvc_t root_t: file {manage_file_perms};
- Uscire dall'editor VI (premere il ESC chiave e la chiave del colon :) e salvare il file.
- Digitare il comando riportato di seguito se non si è in /rpmbuild/SOURCES cartella
cd ${HOME}/rpmbuild/SOURCES
- Eseguire il make comando riportato di seguito. Inserisce i file policy di destinazione nella selinux-* cartella all'interno /rpmbuild/SOURCES.
[root@root SOURCES]# make
Esempio di output dello schermo
SOURCES is mfe_ma.te mfe_ma_rt.te mfe_ma.fc mfe_ma_rt.fc
TARGETS is mfe_ma.pp mfe_ma_rt.pp
- Eseguire i comandi riportati di seguito in sequenza:
mkdir-p $ {HOME}/rpmbuild/SOURCES/MFEma-selinux
CP-f License. txt $ {HOME}/rpmbuild/SOURCES/MFEma-selinux
SELinux pushed-*
CP-f mfe_ma * Targeted $ {HOME}/rpmbuild/SOURCES/MFEma-selinux
pushd $ {HOME}/rpmbuild/SPECS
rpmbuild--define ' pkg_version '--define ' _src 1'-BA MFEma-SELinux. spec
Nota In cui è uguale a un numero superiore alla versione del pacchetto RPM.
Esempio
[root@root SOURCES]#rpmbuild --define 'pkg_version 2' --define '_src 1' -ba MFEma-selinux.spec
Nota Quanto sopra rpmbuild il comando crea un pacchetto RPM personalizzato con la versione MA 5.7.0 all'interno ${HOME}/rpmbuild/RPMS/noarch/.
Esempio:
[fonti root@root] #cd $ {HOME}/rpmbuild/RPMS/noarch/
[root@root noarch] ls
MFEma-SELinux-5.7.0-2. noarch. rpm
La versione #. #. # deve essere superiore alla versione già installata.
- Aggiornare il MA SELinux utilizzando il comando seguente:
rpm -uvh MFEma-selinux-5.7.0-2.noarch.rpm
Per ulteriori informazioni, consultare ${HOME}/rpmbuild/SOURCES/README.md.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|