Cómo crear un paquete RPM personalizado de SELinux
Artículos técnicos ID:
KB94454
Última modificación: 27/09/2021
Entorno
McAfee Agent (MA) 5.7.x
Linux de seguridad mejorada (SELinux)
Resumen
En este artículo se describen los pasos necesarios para crear un paquete RPM personalizado de SELinux con McAfee Agent. El paquete contiene una directiva de SELinux, de modo que el proceso de McAfee Agent puede leer, escribir y ejecutarse en una ruta de carpeta personalizada.
IMPORTANTE:
- Este paquete no se puede desplegar a través de ePO. Debe seguir los pasos de instalación manual que se indican a continuación.
- Este paquete no es un agente gestionado. Debe tener un agente gestionado en la versión 5.7.x ya instalado y gestionado por ePO.
- Cárguela McAfeeAgent-selinux-5.7.x-ReleasePackages.tar.gz de la Descargas de productos sito.
- Copie el paquete en una ubicación del sistema Linux y extraiga el paquete mediante el siguiente comando:
[root@root selinux]# tar -xvf McAfeeAgent-selinux-5.7.0-ReleasePackages.tar.gz
Paquetes extraídos:
McAfeeAgent-selinux-5.7.0-ReleasePackages/
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.src.rpm
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.el7.noarch.rpm
McAfeeAgent-selinux-5.7.0-ReleasePackages/MFEma-selinux-5.7.0-1.el8.noarch.rpm
- Localice la carpeta en la que se han extraído los archivos anteriores. Utilice los siguientes comandos:
[root@root selinux]# cd McAfeeAgent-selinux-5.7.0-ReleasePackages/
[root@root McAfeeAgent-selinux-5.7.0-ReleasePackages]# ls -lsa
Ejemplo de salida de pantalla
total 160
0 drwxrwxr-x. 2 500 500 131 Feb 11 12:51 .
0 drwxr-xr-x. 3 root root 111 May 26 10:39 ..
64 -. 1 500 500 62564 Feb 11 12:51 MFEma-selinux-5.7.0-1.el7.noarch.rpm
56 -. 1 500 500 55692 Feb 11 12:51 MFEma-selinux-5.7.0-1.el8.noarch.rpm
40 -. 1 500 500 40675 Feb 11 12:51 MFEma-selinux-5.7.0-1.src.rpm
- Ejecute el siguiente comando para instalar el paquete:
rpm -ivh MFEma-selinux-5.7.xx.src.rpm
Como
[root@root McAfeeAgent-selinux-5.7.0]# rpm -ivh MFEma-selinux-5.7.0-1.src.rpm
Ejemplo de salida de pantalla:
1:MFEma-selinux-5.7.0-1 ## [100%]
SEÑALAR Si va a proporcionar la ruta de replicación de SA como /test3/test3/test3, el contexto de esta carpeta se encuentra en root_t. Por tanto, debemos permitir que el masvc así macmnsvc procesos para administrar carpetas y archivos en este contexto.
Como
[root@root SOURCES]# ls -alZ
Ejemplo de salida de pantalla
total 168
drwxr-xr-x. 3 root root unconfined_u:object_r:admin_home_t:s0 240 May 26 11:05 .
drwxr-xr-x. 8 root root unconfined_u:object_r:admin_home_t:s0 89 Jan 20 11:01
-. 1 bserver bserver unconfined_u:object_r:admin_home_t:s0 53454 Feb 11 12:50 license.txt
- Ejecute el siguiente comando para desplazarse a la SOURCES directorio.
pushd ${HOME}/rpmbuild/SOURCES
SEÑALAR rpmbuild debe estar instalado en el sistema Linux.
- Confirme que los archivos del comando rpm existen
[root@root SOURCES]# ls -lsa
Ejemplo de salida de pantalla
total 168
0 drwxr-xr-x. 3 root root 240 May 26 11:05
0 drwxr-xr-x. 8 root root 89 Jan 20 11:01
56 -. 1 bserver bserver 53454 Feb 11 12:50 license.txt
4 -. 1 bserver bserver 1711 Feb 11 12:50 Makefile
8 -. 1 bserver bserver 5890 Feb 11 12:50 mfe_ma.fc
20 -. 1 bserver bserver 19039 Feb 11 12:50 mfe_ma.if
4 -. 1 bserver bserver 935 Feb 11 12:50 mfe_ma_perm.if
4 -. 1 bserver bserver 1041 Feb 11 12:50 mfe_ma_rt.fc
8 -. 1 bserver bserver 4735 Feb 11 12:50 mfe_ma_rt.if
4 -. 1 bserver bserver 2186 Feb 11 12:50 mfe_ma_rt.te
0 drwxr-xr-x. 2 root root 6 May 14 12:17 MFEma-selinux
4 -. 1 bserver bserver 1034 Feb 11 12:50 MFEma-selinux.tar.gz
52 -. 1 bserver bserver 50456 Feb 11 12:50 mfe_ma.te
4 -. 1 bserver bserver 3566 Feb 11 12:50 README.md
- Defina el tipo de contexto en la gen_require sección función de la mfe_ma.te archivo mediante un editor VI.
SEÑALAR mfe_ma.te se encuentra en ${HOME}/rpmbuild/SOURCES.
Como
Antes de definir:
1. Obligatorio
all_passwd_perms de clase passwd;
Escriba unconfined_service_t, crond_t, crontab_exec_t, crontab_t, user_cron_spool_t, crond_var_run_t, systemd_unit_file_t, useradd_t, groupadd_t, shell_exec_t, usr_t, var_t, etc_t, ldconfig_cache_t, rhsmcertd_t, system_dbusd_t, system_dbusd_var_run_t, rpm_script_t, net_conf_t pstore_t, configfs_t, sysctl_fs_t, binfmt_misc_fs_t, system_map_t; '
)
Tras definir:
gen_require ('
1. Obligatorio
all_passwd_perms de clase passwd;
Escriba root_t, unconfined_service_t, crond_ts, crontab_exec_t, crontab_t, user_cron_spool_t, crond_var_run_t, systemd_unit_file_t, useradd_t, groupadd_t, shell_exec_t, usr_t, var_t, etc_t, ldconfig_cache_t, rhsmcertd_t, system_dbusd_t, pstore_t, configfs_t, sysctl_fs_t, binfmt_misc_fs_t, system_map_t;
')
- Agregue las siguientes líneas al final del archivo mediante un editor VI (pulse Mayús + G):
permitir mfe_ma_masvc_t root_t: dir {manage_dir_perms};
permitir mfe_ma_masvc_t root_t: archivo {manage_file_perms};
permitir mfe_ma_macmnsvc_t root_t: dir {manage_dir_perms};
permitir mfe_ma_macmnsvc_t root_t: archivo {manage_file_perms};
- Salga del editor VI (pulse el Presiona clave y la clave de dos puntos :) y guarde el archivo.
- Escriba el siguiente comando si no está en el /rpmbuild/SOURCES directorio
cd ${HOME}/rpmbuild/SOURCES
- Ejecute la make siguiente comando. Coloca los archivos de directiva de destino en la selinux-* carpeta en /rpmbuild/SOURCES.
[root@root SOURCES]# make
Ejemplo de salida de pantalla
SOURCES is mfe_ma.te mfe_ma_rt.te mfe_ma.fc mfe_ma_rt.fc
TARGETS is mfe_ma.pp mfe_ma_rt.pp
- Ejecute los siguientes comandos secuencialmente:
mkdir-p $ {ALOJADO}/rpmbuild/SOURCES/MFEma-selinux
CP-f License. txt $ {ALOJADO}/rpmbuild/SOURCES/MFEma-selinux
SELinux pushd: *
CP-f mfe_ma * objetivo: $ {ALOJADO}/rpmbuild/SOURCES/MFEma-selinux
se ha insertado $ {ALOJADO}/rpmbuild/SPECS
rpmbuild--definir ' pkg_version '--definir ' _src 1 '-ba MFEma-SELinux. spec
SEÑALAR Lugar es igual a un número mayor que la versión del paquete RPM.
Como
[root@root SOURCES]#rpmbuild --define 'pkg_version 2' --define '_src 1' -ba MFEma-selinux.spec
SEÑALAR Lo anterior rpmbuild el comando crea un paquete RPM personalizado con la versión MA 5.7.0 situado ${HOME}/rpmbuild/RPMS/noarch/.
Ejemplo:
[root@root orígenes] #cd $ {ALOJADO}/rpmbuild/RPMS/noarch/
[root@root noarch] ls
MFEma-SELinux-5.7.0-2. noarch. rpm
La versión #. #. # debe ser posterior a la versión ya instalada.
- Actualice el SELinux de MA mediante el siguiente comando:
rpm -uvh MFEma-selinux-5.7.0-2.noarch.rpm
Para obtener más información, consulte ${HOME}/rpmbuild/SOURCES/README.md.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
