リカバリ中またはchrootで正しいセキュリティラベルを適用する方法

リカバリ中またはchrootで正しいセキュリティラベルを適用する方法

別のシステム(つまり、ファイルシステムが元々インストールされ、使用されていたシステムとは異なる可能性があるシステム)からファイルシステムを復元するときに、復元されるファイルに正しいセキュリティラベルを適用したいと思います。

このクエリにはいくつかの側面があります。

  1. 可能であれば、各ファイルに正しいタグを適用したいと思います。〜のように復元を実行します(最初に復元してからSELinuxツールを使用して個別にタグを適用する代わりに)。

  2. 復元中のオペレーティングシステムは、復元中のファイルシステムを元々ホストしていたオペレーティングシステムとは異なる場合があります。

  3. (1)可能であれば、回復ツールを回復OSのデフォルト以外のファイルコンテキストセット(例:/etc/selinux/targeted/contexts/files/file_contexts)として指定したり、セキュリティコンテキストを無視したりできます。アーカイブ関連情報に関連付けられています。 (5)も参照してください。

  4. (2)と同様に、リカバリOSは対象OSとどのくらい違うのでしょうか?つまり、異なるカーネルバージョン(リカバリOSの場合はLinux 2.6、ターゲットOSの場合は4.4)、他のファイルシステム、または他のユーザースペース(libcやselinuxツールなど)はどの時点で何をしますか?違い? 「クロスバージョン」リカバリに適用される経験的なルールはありますか(たとえば、API / ABIは、オペレーティングシステムの1つのメジャーバージョンから別のメジャーバージョンへの保証と知る必要がある前方/下位互換性の問題)。

  5. 既存のUNIX権限、ファイル所有権、および拡張ファイル属性を保存したい場合など、復元されたファイルの元のセキュリティコンテキストを保存したい場合があります。多くのバックアップツール[1]にはファイルの所有権を含めることができますが、ほとんどはセキュリティコンテキストを保存するための拡張機能を持っていません(したがって、回復中にコンテキストをより簡単に復元できます)。たぶんいくつかあるかもしれません。セキュリティコンテキストはアーカイブに含める必要はありません。アーカイブ自体と一緒に保存できる1つ以上のファイルに「帯域外」として保存できます。

この質問は主にSELinuxの実装に焦点を当てていますが、通常は他のセキュリティフレームワーク(MACやCapsicumなど)にも当てはまります。他のセキュリティフレームワークに適用される関連情報も役立ちます。

この質問は、ファイルシステムの復元にも関連していますが、通常はファイルシステムである必要はないバックアップイメージからの復元に適用されます。ファイルシステムの一部であるファイル階層でもあります。バックアップツールごとに、アーカイブコンテンツの一部の拡張情報を保存(および抽出)する機能が異なるため、これらの区別が重要な場合もあります。

[1] この問題は dump(8)/restore(8) ツールにも適用されますが、tar(1) や libarchive(3) ベースのオプションなどの他のツールにも適用されます。

最新のRPM形式は、セキュリティポリシー情報の組み込みを一部サポートしています。実際には一般的なバックアップツールではないので、詳しくは見ていません。バックアップにRPMを使用する必要がありますか? </ジョーク>

修正する: selinux コンテキストが正しく定義されていますが、ホストの selinux コンテキスト (chroot 外) が別の chroot から復元しようとすると、<chroot_dir>/etc/selinux問題は解決されません。たとえば、ホスト環境がCentOS 6の場合、CentOS 7 chroot(/ mnt)でCentOS 7ファイルのコンテキストを設定しようとすると失敗します。

sudo chroot /mnt chcon -v -v system_u:object_r:vmtools_unconfined_exec_t /etc/vmware-tools changing security context of '/etc/vmware-tools'
chcon: failed to change context of '/etc/vmware-tools' to 'system_u:object_r:vmtools_unconfined_exec_t': Invalid argument

関連情報