selinux-faq selinux-faq-it.xml,NONE,1.1
Francesco Tombolini (tombo)
fedora-docs-commits at redhat.com
Sat Nov 19 09:42:53 UTC 2005
Author: tombo
Update of /cvs/docs/selinux-faq
In directory cvs-int.fedora.redhat.com:/tmp/cvs-serv25530/selinux-faq
Added Files:
selinux-faq-it.xml
Log Message:
--- NEW FILE selinux-faq-it.xml ---
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE article PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
"http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd" [
<!-- *************** Bring in Fedora entities *************** -->
<!ENTITY % FEDORA-ENTITIES-EN SYSTEM "../docs-common/common/fedora-entities-en.ent">
%FEDORA-ENTITIES-EN;
<!ENTITY BOOKID "selinux-faq-1.3-8 (2005-01-20-T16:20-0800)"> <!-- version of manual and date -->
<!-- ************** local entities *********** -->
<!ENTITY APACHE "Apache HTTP">
<!ENTITY LOCALVER "3"> <!-- Set value to your choice, when guide version is out -->
<!-- of sync with FC release, use instead of FEDVER or FEDTESTVER -->
<!ENTITY BUG-URL
"https://bugzilla.redhat.com/bugzilla/enter_bug.cgi?product=Fedora%20Core&op_sys=Linux&version=fc3&component=fedora-docs&component_text=&rep_platform=All&priority=normal&bug_severity=normal&bug_status=NEW&assigned_to=kwade%40redhat.com&cc=&estimated_time=0.0&bug_file_loc=http%3A%2F%2Ffedora.redhat.com%2Fdocs%2Fselinux-faq-fc3%2F&short_desc=SELinux%20FAQ%20-%20%5Bsummarize%20FAQ%20change%20or%20addition%5D&comment=Description%20of%20change%2FFAQ%20addition.%20%20If%20a%20change%2C%20include%20the%20original%0D%0Atext%20first%2C%20then%20the%20changed%20text%3A%0D%0A%0D%0A%0D%0A%0D%0AVersion-Release&percnt!
;20of%20FAQ%20%28found%20on%0D%0Ahttp%3A%2F%2Ffedora.redhat.com%2Fdocs%2Fselinux-faq-fc3%2Fln-legalnotice.html%29%2C%0D%0Afor%20example%3A%0D%0A%0D%0A%20%20selinux-faq-1.3-8%20%282005-01-20-T16%3A20-0800%29%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A&keywords=&dependson=&blocked=118757%20%20&maketemplate=Remember%20values%20as%20bookmarkable%20template&form_name=enter_bug">
]>
<article id="selinux-faq" lang="it">
<articleinfo>
<title>&FC; &LOCALVER; &SEL; FAQ</title>
<copyright>
<year>2004</year>
<holder>&FORMAL-RHI;</holder>
</copyright>
<authorgroup>
<author>
<surname>Wade</surname>
<firstname>Karsten</firstname>
</author>
<!-- Italian locale by tombo at adamantio.net -->
</authorgroup>
&LEGALNOTICE;
</articleinfo>
<section id="s-selinux-faq">
<title>&SEL; Note e FAQ</title>
<para>
Le informazioni in questa FAQ sono pregevoli per coloro che sono nuovi a &SEL;. Il
loro valore è apprezzabile anche se siete nuovi alle ultime implementazioni di &SEL; in &FC;, poichè
alcuni comportamenti potrebbero essere differenti da come sapete.
</para>
<note>
<title>Questa FAQ è specifica per &FC; &LOCALVER;</title>
<para>
Se state cercando le FAQ per &FC; 2, fate riferimento a <ulink
url="http://fedora.redhat.com/docs/selinux-faq-fc2/" />.
</para>
</note>
<para>
Per maggiori informazioni su come funziona &SEL;, come usare &SEL; su distribuzioni
Linux generiche e specifiche, e come scrivere policy, queste sono risorse utili:
</para>
<itemizedlist id="external-link-list">
<title>Lista Link Esterni</title>
<listitem>
<para>
NSA &SEL; main website — <ulink
url="http://www.nsa.gov/selinux/" />
</para>
</listitem>
<listitem>
<para>
NSA &SEL; FAQ — <ulink
url="http://www.nsa.gov/selinux/info/faq.cfm" />
</para>
</listitem>
<listitem>
<para>
&SEL; community page — <ulink
url="http://selinux.sourceforge.net" />
</para>
</listitem>
<listitem>
<para>
UnOfficial FAQ — <ulink
url="http://www.crypt.gen.nz/selinux/faq.html" />
</para>
</listitem>
<listitem>
<para>
Writing SE Linux policy HOWTO — <ulink
url="https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266"
/>
</para>
</listitem>
<listitem>
<para>
Getting Started with SE Linux HOWTO: the new SE Linux (Debian) —
<ulink
url="https://sourceforge.net/docman/display_doc.php?docid=20372&group_id=21266" />
</para>
</listitem>
<listitem>
<para>
On IRC — irc.freenode.net, #fedora-selinux
</para>
</listitem>
<listitem>
<para>
&FED; mailing list — <ulink
url="mailto:fedora-selinux-list at redhat.com" />;
leggi gli archivi o sottoscriviti su <ulink
url="http://www.redhat.com/mailman/listinfo/fedora-selinux-list" />
</para>
</listitem>
</itemizedlist>
<tip>
<title>Fare cambiamenti/aggiunte alla &FED; &SEL; FAQ</title>
<para>
Questa FAQ è disponibile su <ulink
url="http://fedora.redhat.com/docs/selinux-faq-fc3/">http://fedora.redhat.com/docs/selinux-faq-fc3/</ulink>.
</para>
<para>
Per modifiche o aggiunte alle &FED; &SEL; FAQ, usate questo <ulink
url="&BUG-URL;">bugzilla template</ulink>, che precompila la maggior parte del
rapporto d'errore. Le patches dovranno essere un <command>diff -u</command> rispetto all'XML,
disponibile dal CVS (fate riferimento a <ulink
url="http://fedora.redhat.com/projects/docs/" /> per dettagli su come
ottenere il modulo fedora-docs/selinux-faq via CVS anonimo; puoi avere
solo il modulo <filename>fedors-docs/selinux-faq</filename> se non vuoi
l'intero albero <filename>fedora-dcs</filename>.) Altrimenti,
semplice testo che mostri prima e dopo è sufficiente.
</para>
<para>
Per avere una lista di tutti i rapporti d'errore inerenti questa FAQ, fate riferimento a <ulink
url="https://bugzilla.redhat.com/bugzilla/showdependencytree.cgi?id=118757">https://bugzilla.redhat.com/bugzilla/showdependencytree.cgi?id=118757</ulink>.
</para>
</tip>
<qandaset defaultlabel="qanda" id="selinux-faq-list">
<?dbhtml toc="1"?>
<qandadiv id="faq-div-understanding-selinux">
<title>Comprendere &SEL;</title>
<qandaentry>
<question>
<para>
Cos'è &SEL;?
</para>
</question>
<answer>
<para>
&SEL; (<firstterm>Security-Enhanced Linux</firstterm>) in &FC; è
un implementazione del <firstterm>mandatory access
control</firstterm> nel kernel di Linux che usa il
<firstterm>Linux Security Modules</firstterm>
(<abbrev>LSM</abbrev>) framework. La sicurezza standard di Linux è basata su un modello
definito come <firstterm>discretionary access control</firstterm>.
</para>
<itemizedlist>
<listitem>
<para>
Discretionary access control (<abbrev>DAC</abbrev>) —
questo è il modello base della sicurezza di Linux, e non fornisce protezione
da software corrotto o malevolo eseguito come utente normale o
root. Gli utenti possono assegnare rischiosi livelli di accesso ai files
che possiedono.
</para>
</listitem>
<listitem>
<para>
Mandatory access control (<abbrev>MAC</abbrev>) — pieno
controllo su tutte le iterazioni del software. Policy definite
amministrativamente controllano da vicino le iterazioni fra utenti e processi
con il sistema, e forniscono protezione da software
corrotto o malevolo eseguito sotto qualsiasi utente.
</para>
</listitem>
</itemizedlist>
<para>
In un modello DAC, i file e le risorse decisionali sono basate solamente
sull'identità utente e il proprietario degli oggetti. Ogni utente e programma
eseguito da quell'utente ha completa discrezione sugli oggetti dell'utente.
Software malizioso o difettoso può fare qualsiasi cosa con i files e
le risosrse controllate attraverso l'utente che ha avviato i processi.
Se l'utente è il super-user o l'applicazione è
<command>setuid</command> o <command>setgid</command> root,
il processo può avere un livello di controllo root sull'intero file
system.
</para>
<para>
Un sistema MAC non soffre di questi problemi. Primo, puoi
definire-amministrativamente una policy di sicurezza su tutti i processi ed
oggetti. Secondo, puoi controllare tutti i processi e gli oggetti, nel
caso di &SEL; mediante il kernel. Terzo, le decisioni sono basate su
tutte le informazioni di sicurezza rilevanti disponibili, e non solo sulla
identità utente autenticata.
</para>
<para>
Il MAC sotto &SEL; permette di fornire permessi granulari per tutti i
<firstterm>soggetti</firstterm> (utenti, programmi, processi) ed
<firstterm>oggetti</firstterm> (files, devices). In pratica,
pensa ai soggetti come processi, ed gli oggetti come lo scopo di un
operazione di un processo. Puoi garantire con sicurezza ad un processo solo i
permessi che gli occorrono per eseguire la sua funzione, e niente di più.
</para>
<para>
L'implementazione di &SEL; usa un <firstterm>role-based access
control</firstterm> (<abbrev>RBAC</abbrev>), che fornisce
un astrazione di controllo a livello-utente basata su ruoli, e sui
<firstterm><trademark class="registered">Type
Enforcement</trademark></firstterm> (<abbrev>TE</abbrev>). TE
usa una tabella (matrice) per manipolare i controlli di accesso, applicando le regole
della policy basate sui tipi di processi ed oggetti. I tipi di processo
sono chiamati domini, ed un riferimento incrociato sulla matrice dei
domini dei processi e del tipo degli oggetti definisce la loro interazione.
Questo può fornire un controllo estremamente granulare per gli attori in un sistema
Linux.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Cos'è una policy &SEL;?
</para>
</question>
<answer>
<para>
La policy &SEL; descrive i permessi di accesso per tutti i soggetti
e gli oggetti, esempio, l'intero sistema degli utenti, programmi, e
processi ed i files ed i devices su cui agiscono. La policy di &FC; è
contenuta in un pacchetto, con una pacchetto sorgente associato. Attualmente
i pacchetti che contengono le policy sono:
</para>
<itemizedlist>
<listitem>
<para><filename>selinux-policy-strict-<replaceable><version-arch></replaceable>.rpm</filename>
and
<filename>selinux-policy-strict-sources-<replaceable><version-arch></replaceable>.rpm</filename>
</para>
</listitem>
<listitem>
<para>
<filename>selinux-policy-targeted-<replaceable><version-arch></replaceable>.rpm</filename>
and
<filename>selinux-policy-targeted-sources-<replaceable><version-arch></replaceable>.rpm</filename>
</para>
</listitem>
</itemizedlist>
<para>
I sorgenti delle policy risiedono in
<filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy</filename>,
quando sono installati, ed i files binari delle policy in
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy</filename>.
Il sorgente delle policy non è necessario per le installazioni ultra-minimali. La
policy per i tipi ed i domini è configurata separatamente dal
contesto di sicurezza per i soggetti e gli oggetti.
</para>
</answer>
</qandaentry>
<qandaentry>
<!-- https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=133403 thanks to -->
<!-- dwalsh for supplying the source FAQs -->
<question>
<para>
Cos'è la policy targeted di &SEL;?
</para>
</question>
<answer>
<para>
Inizialmente, quando &SEL; fu incluso in Fedora Core, la policy strict di NSA
fu applicata. A scopo di prova, ciò aiutò a trovare
centinaia di problemi nella strict policy. In seguito, è divenne
ovvio che applicare una singola strict policy ai molti ambienti
degli utenti &FED; non era fattibile. Amministrare una singola
strict policy per qualsiasi cosa diversa dal'installazione standard
avrebbe richiesto un esperienza locale superiore.
</para>
<para>
A questo punto, gli sviluppatori &SEL; rividero le loro scelte, e
decisero di adottare una strategia differente. Fu deciso di creare una
policy che puntasse a bloccare specifici demoni, specialmente
quelli più vulnerabili agli attacchi o più devastanti per il sistema se corrotti o
compromessi. Al resto del sistema è consentita l'esecuzione come fosse sotto
la sicurezza standard di Linux, esempio, funzionare lo stesso se &SEL; è abilitato o meno.
</para>
<para>
Sotto la policy targeted, molti processi sono eseguiti nel
dominio <computeroutput>unconfined_t</computeroutput>. Come implica
il nome, questi processi non sono per lo più confinati dalla
policy &SEL;. Questi sono comunque ancora governati dalla sicurezza
standard di Linux/UNIX.
</para>
<para>
Specifici demoni di rete hanno policy scritte per loro, e la
policy <computeroutput>unconfined_t</computeroutput> transita
su queste policies quando l'applicazione viene avviata. Per esempio, al
boot del sistema, <command>init</command> viene eseguito sotto la
policy <computeroutput>unconfined_t</computeroutput>, ma quando viene
avviato <command>named</command>, è transitato sotto il dominio
<computeroutput>named_t</computeroutput> ed è bloccato dalla policy appropriata.
</para>
<para>
Per maggiori informazioni sull'abilitazione e disabilitazione delle policy targeted
per ogni demone specifico, fate riferimento a <xref
linkend="using-s-c-securitylevel"/>.
</para>
</answer>
</qandaentry>
<qandaentry>
<!-- https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=133403 thanks to -->
<!-- dwalsh for supplying the source FAQs -->
<question>
<para>
Che demoni sono protetti dalla targeted policy?
</para>
</question>
<answer>
<para>
Attualmente, la lista dei demoni è <command>dhcpd</command>,
<command>httpd</command> (<filename>apache.te</filename>),
<command>named</command>, <command>nscd</command>,
<command>ntpd</command>, <command>portmap</command>,
<command>snmpd</command>, <command>squid</command>, and
<command>syslogd</command>. I files di policy per questi demoni si
trovano in
<filename>/etc/selinux/targeted/src/policy/domains/program</filename>.
</para>
<para>
In futuro, molti demoni saranno aggiunti alla policy di protezione
targeted.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Che demoni aggiungerete alla targeted policy? Che ne dite
di Sendmail, Postfix, MySQL, o PostgreSQL?
</para>
</question>
<answer>
<para>
Gli sviluppatori di &SEL; vorrebbero aggiungere eventualmente ftp e gli agenti di
posta elettronica alla targeted policy. Ad esempio, <command>vsftpd</command> potrebbe
funzionare in modo simile a <command>login</command>: dopo il log-in, un nuovo processo è eseguito sotto il contesto dell'utente (contesto utente reale o anonimo).
</para>
<para>
Un problema con gli agenti di posta elettronica è che hanno spesso hanno bisogno di
manipolare files nelle home directory utente. Un obbiettivo della targeted policy
è quello di evitare problemi di etichettatura nelle home directory degli utenti.
Ci si sta ancora lavorando su.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
E la policy strict? Funzionerà comunque?
</para>
</question>
<answer>
<para>
La policy strict su &FC; <emphasis>funziona</emphasis>. La sfida è
con gli ambienti unici di utenti differenti. Per farla funzionare
nel tuo ambiente, avrai bisogno di aggiustare sia la policy
che i tuoi sistemi.
</para>
<para>
Per aiutare a rendere semplice l'uso della strict policy, gli sviluppatori di &SEL;
hanno lavorato sul rendere il cambiamento da un policy all'altra
semplice. Per esempio,
<command>system-config-securitylevel</command> fa una rietichettatura
negli scripts di avvio.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Cosa sono i file contexts?
</para>
</question>
<answer>
<para>
I file contexts sono usati dal comando <command>setfiles</command>
per rendere persistenti le etichette che descrivono il contesto di sicurezza
per un file o una directory.
</para>
<para>
&FC; è rilasciato con lo script <command>fixfiles</command> che
supporta tre opzioni: <option>check</option>,
<option>restore</option>, e <option>relabel</option>. Questo
permette agli utenti di rietichettare il file system senza aver installato il
pacchetto <filename>selinux-policy-targeted-sources</filename>.
L'uso della linea di comando è molto più amichevole rispetto
al comando <command>setfiles</command> standard.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come posso vedere il contesto di sicurezza di un file, un utente, o un processo?
</para>
</question>
<answer>
<para>
La nuova opzione <option>-Z</option> è il metodo piu immediato per
mostrare il contesto di un soggetto o di un oggetto:
</para>
<screen>
<command>ls -alZ <replaceable>file.foo</replaceable>
id -Z
ps -eZ</command>
</screen>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Che differenza c'è fra un <firstterm>dominio</firstterm> ed
un <firstterm>tipo</firstterm>?
</para>
</question>
<answer>
<para>
Non c'è differenza fra un dominio ed un tipo, comunque
il dominio è qualche volta usato per riferisi al tipo di un processo.
L'uso del dominio in questo modo discende dal tradizionale modello TE, dove
i domini ed i tipi sono separati.
</para>
</answer>
</qandaentry>
</qandadiv>
<qandadiv id="faq-div-controlling-selinux">
<title>Controllare &SEL;</title>
<qandaentry>
<question>
<para>
Come installo o non installo &SEL;?
</para>
</question>
<answer>
<para>
Il programma di installazione si comporta basandosi sulle scelte che fai nella
schermata di <guilabel>Configurazione del Firewall</guilabel>. Di base
la policy applicata è la targeted, che per scelta predefinita è attiva.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come cambio la policy che sto usando?
</para>
</question>
<answer>
<caution>
<title>Cambiare policy non è una cosa da prendere alla leggera.</title>
<para>
A meno che tu non stia provando una nuova policy su una macchina test a
scopo di ricerca, dovresti seriamente considerare la situazione
prima di cambiare policy su un sistema in produzione.
</para>
<para>
Il modo di cambiare policy è semplice. Questo è un metodo abbastanza
sicuro, ma deve prima essere provato su un sistema test.
</para>
</caution>
<para>
Un metodo è quello di usare
<command>system-config-securitylevel</command> per cambiare la
policy e impostare il filesystem da rietichettare.
</para>
<para>
La seguente è la procedura manuale:
</para>
<procedure>
<step>
<para>
Edita <filename>/etc/selinux/config</filename> e cambia il
tipp di policy in
<computeroutput>SELINUXTYPE=<replaceable>policyname</replaceable></computeroutput>.
</para>
</step>
<step>
<para>
Per essere sicuri che tu possa avere un sistema funzionante dopo un reboot, setta
il modo a <computeroutput>SELINUX=permissive</computeroutput>. In questo modo
SELinux sarà eseguito sotto la corretta policy, ma ti permetterà di fare
il login se c'è qualche problema, tipo il contesto di un file non correttamente
etichettato.
</para>
</step>
<step>
<para>
Di agli init scripts di rietichettare il sistema al riavvio con il
comando <command>touch /.autorelabel</command>.
</para>
</step>
<step>
<para>
Riavvia il sistema. Un riavvio pulito sotto la nuova policy
permetterà a tutti i processi del sistema di avviarsi nel contesto
appropriato, e rivelare qualsiasi problema nel cambiamento di policy.
</para>
</step>
<step>
<para>
Conferma che i tuoi cambiamenti abbiano effetto con il comando
<command>sestatus -v</command>. Con il nuovo sistema avviato
in modalità <computeroutput>permissive</computeroutput>, controlla
<filename>/var/log/messages</filename> per i messaggi
<computeroutput>avc: denied</computeroutput>. Questi
possono indicare un problema che deve essere risolto affinchè il sistema
possa funzionare senza difficoltà sotto la nuova policy.
</para>
</step>
<step>
<para>
Quando sei soddisfatto che il sistema sia stabile sotto la
nuova policy, abilita l'enforcing cambiando
<computeroutput>SELINUX=enforcing</computeroutput>. Puoi
sia riavviare che eseguire <command>setenforce 1</command> per passare
in enforcing in tempo reale.
</para>
</step>
</procedure>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come eseguo il back up dei files da un file system &SEL;?
</para>
</question>
<answer>
<para>
Puoi usare l'utilità <command>star</command>, che supporta
gli attributi estesi che contengono le etichette dei contesti di sicurezza.
Specifica il formato <option>-xattr</option> e <option>exustar</option>
quando creai gli archivi.
</para>
<screen>
<command>ls -Z /var/log/maillog</command>
-rw------- root root system_u:object_r:var_log_t /var/log/maillog
<command>cd /var/log
star -xattr -H=exustar -c -f maillog.star ./maillog*</command>
</screen>
<caution>
<title>I percorsi assoluti possono sovrascrivere i dati esistenti</title>
<para>
Se usi un percorso assoluto, come
<filename>/var/log/maillog</filename>, quando decompatti l'archivio
con <command>star -c
-f</command>, i files verranno ripristinati nello stesso percorso in
cui erano stati archiviati. Il file <filename>maillog</filename> tenterÃ
di scriverli in <filename>/var/log/maillog</filename>. Potresti
ricevere un avviso da <command>star</command> se i
files che stanno per essere sovrascritti hanno una data più recente, ma non potrai
contare su questo comportamento.
</para>
<para>
Considera attentamente come costruire gli argomenti d'archiviazione.
</para>
</caution>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come posso installare la policy strict per default con il kickstart?
</para>
</question>
<answer>
<procedure>
<step>
<para>
Sotto la sezione <computeroutput>%packages</computeroutput>,
aggiungete <filename>selinux-policy-strict</filename>.
</para>
</step>
<step>
<para>
Sotto la sezione <computeroutput>%post</computeroutput>,
aggiungete quanto segue:
</para>
<screen>
<computeroutput>lokkit -q --selinuxtype=strict
touch /.autorelabel</computeroutput>
</screen>
</step>
</procedure>
</answer>
</qandaentry>
<qandaentry id="using-s-c-securitylevel" xreflabel="How to use system-config-securitylevel">
<question>
<para>
Come abilito/disabilito la protezione &SEL; per uno specifico demone sotto
la policy targeted?
</para>
</question>
<answer>
<para>
Usa <command>system-config-securitylevel</command> per controllare i
valori Booleani di specifici demoni. Per esempio, se ritieni
di aver bisogno di sisabilitare &SEL; per Apache per eseguirlo correttamente nel tuo
ambiente, puoi disabilitare il valore in
<command>system-config-securitylevel</command>. Questo disattiva la
transizione della policy definita in
<filename>apache.te</filename>, lasciando rimanere <command>httpd</command>
sotto la regolare sicurezza Linux.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come faccio funzionare una directory utente <filename>public_html</filename>
sotto &SEL;?
</para>
</question>
<answer>
<para>
Questo processo presume che hai abilitato le directories HTML pubbliche per gli utenti
nella configurazione HTTP di Apache
(<filename>/etc/httpd/conf/httpd.conf</filename>). Questo processo
copre solo il servizio di contenuti Web statici. Per maggiori informazioni
su &APACHE; e &SEL;, riferitevi a <ulink
url="http://fedora.redhat.com/docs/selinux-apache-fc3/" />.
</para>
<procedure>
<step>
<para>
Se non l'hai già , avrai necessità di creare la
directory <filename>public_html</filename> e popolarla con
i files e le cartelle che dovranno essere servite.
</para>
<screen>
<command>cd ~
mkdir public_html
cp /path/to/content ~/public_html</command>
</screen>
</step>
<step>
<para>
A questo punto, <command>httpd</command> è configurato per servire
i contenuti, ma tu continuerai a ricevere un errore <computeroutput>403
forbidden</computeroutput>. Questo poichè ad
<command>httpd</command> non è consentito di leggere i tipi
di sicurezza per le directory ed i files che vengono creati nelle
directory home degli utenti. Per risolvere questo, cambiate i contesti
di sicurezza della cartella e dei suoi contenuti ricursivamente usando
l'opzione <option>-R</option>:
</para>
<screen>
<command>ls -Z -d public_html/</command>
<computeroutput>drwxrwxr-x auser auser user_u:object_r:user_home_t public_html</computeroutput>
<command>chcon -R -t httpd_user_content_t public_html/
ls -Z -d public_html/</command>
<computeroutput>drwxrwxr-x auser auser user_u:object_r:httpd_user_content_t public_html/</computeroutput>
<command>ls -Z public_html/</command>
<computeroutput>-rw-rw-r-- auser auser user_u:object_r:httpd_user_content_t bar.html
-rw-rw-r-- auser auser user_u:object_r:httpd_user_content_t baz.html
-rw-rw-r-- auser auser user_u:object_r:httpd_user_content_t foo.html</computeroutput>
</screen>
<para>
Potrai notare qualche tempo dopo che il campo user, impostato
a <computeroutput>user_u</computeroutput>, è cambiato in
<computeroutput>system_u</computeroutput>. Ciò non
avrà effetto su come funziona la policy targeted; il campo che conta
è il campo tipo.
</para>
</step>
<step>
<para>
Adesso sarai in grado di servire pagine web statiche. Se
continuerai ad avere errori, controlla di vedere che la Booleana che
abilita le home directories utente sia abilitata. Questo può essere impostato
usando <application>system-config-securitylevel</application>,
sotto il tab <guilabel>&SEL;</guilabel> all'interno dell'area <guilabel>Modifica la
Policy &SEL;</guilabel>, abilitando <computeroutput>Permetti
ad HTTPD di leggere le home directories</computeroutput>. I cambiamenti avranno
effetto immediato.
</para>
</step>
</procedure>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come disabilito &SEL; all'avvio?
</para>
</question>
<answer>
<para>
Aggiungi <option>selinux=0</option> alla linea di comando del tuo kernel.
</para>
<caution>
<title>Sta attento quando disabiliti &SEL;</title>
<para>
Sta veramente attento nell'usare questa opzione. Se esegui l'avvio con
<option>selinux=0</option>, ogni file che hai creato mentre &SEL; è
disabilitato non avrà le informazioni di contesto &SEL;. Dovrai come minimo
rietichettare il file system, ed è possibile che
non sarai in grado di avviare il sistema con <option>selinux=1</option>,
necessitando un avvio in modalità single-user per il ripristino.
</para>
<para>
Come alternativa a <option>selinux=0</option>, prova ad usare
<computeroutput>SELINUX=disabled</computeroutput> in
<filename>/etc/selinux/config</filename>.
</para>
</caution>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come pongo l'enforcing on/off all'avvio?
</para>
</question>
<answer>
<para>
Puoi specificare la modalità &SEL; usando il file di configurazione
<filename>/etc/sysconfig/selinux</filename>.
</para>
<screen>
<computeroutput># This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=<replaceable>enforcing</replaceable>
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=<replaceable>targeted</replaceable>
</computeroutput>
</screen>
<para>
Impostando il valore su <computeroutput>enforcing</computeroutput> è
uguale ad aggiungere <option>enforcing=1</option> alla linea di comando
quando avvii il kernel per attivare l'enforcing, mentre impostando
il valore su <computeroutput>permissive</computeroutput> è come
aggiungere <option>enforcing=0</option> per disattivare l'enforcing.
Nota che il <emphasis role="bold">parametro della linea di comando del kernel
prevarica il file di configurazione</emphasis>.
</para>
<para>
Comunque, impostare il valore su
<computeroutput>disabled</computeroutput> non è lo stesso di
<option>selinux=0</option> nel parametro di avvio del kernel. Invece di
disabilitare pienamente &SEL; nel kernel, l'impostazione
<computeroutput>disabled</computeroutput> disabilita l'enforcing
e salta il caricamento della policy.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come disabilito temporaneamente la modalità di enforcing senza dover
riavviare?
</para>
</question>
<answer>
<para>
Questa situazione solitamente insorge quando non puoi eseguire un operazione
che viene prevenuta dalla policy. Esegui il comando
<command>setenforce 0</command> per disabilitare la modalità di enforcing in
tempo reale. Quando hai terminato, esegui <command>setenforce 1</command>
per riattivare l'enforcing.
</para>
<note>
<title>E' richiesto il ruolo <computeroutput>sysadm_r</computeroutput></title>
<para>
Devi lanciare il comando <command>setenforce</command> con
il ruolo <computeroutput>sysadm_r</computeroutput>; per farlo,
usa il comando <command>newrole</command>. Alternativamente, se
cambi su root usando <command>su -</command>, otterrai il ruolo
<computeroutput>sysadm_r</computeroutput> automaticamente.
</para>
</note>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come pongo l'auditing alle system-call on/off all'avvio?
</para>
</question>
<answer>
<para>
Aggiungi <option>audit=1</option> alla linea di comando del kernel per attivare
l'auditing alle system-call. Aggiungi <option>audit=0</option> alla
linea di comando del kernel per disattivare l'auditing alle system-call.
</para>
<para>
L'auditing alle system-call è disattivato per impostazione predefinita. Quando è attivato,
fornisce informazioni sulle system-call che erano in esecuzione quando SELinux
genera un messaggio <computeroutput>denied</computeroutput>. Questo
può essere d'aiuto quando fai il debugging della policy.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come disabilito temporaneamente l'auditing alle system-call senza dover
riavviare?
</para>
</question>
<answer>
<para>
Questa opzione al momento non è supportata. In futuro, verrà fornita un utilitÃ
per amministrare l'auditing.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come ottengo informazioni sullo status della mia installazione &SEL;?
</para>
</question>
<answer>
<para>
Come root, esegui il comando <command>/usr/sbin/sestatus
-v</command>. Per maggiori informazioni, fa riferimento alla
pagina di manuale di
<filename>sestatus(8)</filename>.
</para>
</answer>
</qandaentry>
</qandadiv>
<qandadiv id="faq-div-resolving-problems">
<title>Risoluzione dei problemi</title>
<qandaentry>
<question>
<para>
La mia applicazione non funziona come mi aspettavo e sto vedendo
dei messaggi <computeroutput>avc: denied</computeroutput>, come
risolvo?
</para>
</question>
<answer>
<para>
Questo messaggio vuol dire che l'attuale policy SELinux non permette
all'applicazione di fare qualcosa. C'è un numero di ragioni
per cui ciò può succedere.
</para>
<para>
Primo, uno dei files a cui l'applicazione prova ad accedere potrebbe
essere etichettato male. Se il messaggio AVC si riferisce ad un file specifico,
controlla la sua etichetta corrente con <command>ls -alZ
<replaceable>/path/to/file</replaceable></command>. Se vi sembra
sbagliata, potrete provare ad usare <command>restorecon -v
<replaceable>/path/to/file</replaceable></command>. Se hai
un gran numero di dinieghi relativi a files, potresti voler usare
<command>fixfiles relabel</command>, o eseguire
<command>restorecon</command> con l'opzione <option>-R</option>
per rietichettare recursivamente il percorso di una directory.
</para>
<para>
Altre volte, i dinieghi possono essere dovuti ad un cambiamento nella
configurazione del programma non ammesso dalla policy. Per esempio, se
vuoi far si che Apache ascolti anche sulla port 8800, questo richiederà un
cambiamento nella policy di sicurezza, <filename>apache.te</filename>. Vedi
<xref linkend="external-link-list"/> per maggiori informazioni sulla
scrittura delle policy.
</para>
<para>
Se hai difficoltà nel far funzionare un'applicazione specifica
come Apache, vedi <xref linkend="using-s-c-securitylevel"/>
to work, see <xref linkend="using-s-c-securitylevel"/> per
sapere come disabilitare l'enforcement solo per quell'applicazione.
</para>
</answer>
</qandaentry>
<!-- <qandaentry>
<question>
<para>
I'm trying to upgrade from &FC; &FCVER; to &FC; &LOCALVER;, and
the installer keeps crashing with an &SEL; error.
</para>
</question>
<answer>
<para>
This occurs because Anaconda finds an existing
<filename>/selinux</filename> directory. This problem has been
fixed in the latest version of the installer.
</para>
<para>
To work around this bug, either remove the directory just prior to
upgrading, <command>rm -rf /selinux</command>, or during an
install, switch to tty2 before packages start being upgraded, and
do <command>rm -rf /mnt/sysimage/selinux</command>.
</para>
</answer>
</qandaentry>
-->
<qandaentry>
<question>
<para>
Ho installato &FC; su un sistema con una partizione
<filename>/home</filename> già esistente, ed ora non posso fare il log in.
</para>
</question>
<answer>
<para>
La tua partizione <filename>/home</filename> non è etichettata
correttamente. Puoi facilmente risolvere questo problema in due modi.
</para>
<para>
Se vuoi solamente rietichettare <filename>/home</filename>
ricorsivamente:
</para>
<screen>
<command>/sbin/restorecon -v -R /home</command>
</screen>
<para>
Se vuoi essere sicuro che non ci siano altri files non correttamente
rietichettati, puoi rietichettare l'intero filesystem:
</para>
<screen>
<command>/sbin/fixfiles relabel</command>
</screen>
<para>
Dovrai avere installato il pacchetto <filename>policycoreutils</filename>
per usare <command>fixfiles</command>.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Dopo aver rietichettato la mia <filename>/home</filename> usando
<command>setfiles</command> o <command>fixfiles</command>, sarò
ancora in grado di leggere <filename>/home</filename> con un
sistema con &SEL; non abilitato?
</para>
</question>
<answer>
<para>
Puoi leggere i files da una distribuzione senza &SEL;, o una con
&SEL; disabilitato. Comunque, i files creati dal sistema privo di &SEL;
non avranno un contesto di sicurezza, nemmeno l'avrà qualsiasi files che
rimuoverai e ricreerai. Questo potrebbe essere un problema con files tipo
<filename>~/.bashrc</filename>. Dovrai rietichettare la tua
<filename>/home</filename> quando ritornerai a &FC;.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come posso condividere directories usando NFS tra &FC; e sistemi
non-&SEL;
</para>
</question>
<answer>
<para>
NFS supporta in modo trasparente molti tipi di file system, e può
essere usato per condividere directories tra sistemi &SEL; e non-&SEL;.
</para>
<para>
Quando monti un file system non-&SEL; via NFS, per impostazione predefinita &SEL;
tratterà tutti i files nella condivisione come avessero contesto
<computeroutput>nfs_t</computeroutput>. Potrai prevaricare il contesto predefinito
impostandolo manualmente usando l'opzione
<option>context=</option>. Ad esempio, questo farÃ
apparire i files nella directory NFS montata con un contesto di
<computeroutput>system_u:object_r:tmp_t</computeroutput> in &SEL;:
</para>
<screen>
<command>mount -t nfs -o context=system_u:object_r:tmp_t server:/shared/foo /mnt/foo</command>
</screen>
<para>
Quando &SEL; esporta un file system via NFS, i files creati avranno
il contesto della directory dove sono stati creati. In altre
parole, la presenza di &SEL; sul sistema remoto che ha montato la condivisione non ha
effetto sui contesti di sicurezza locali.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come posso creare un nuovo account utente Linux con la home directory utente
avente il contesto appropriato?
</para>
</question>
<answer>
<!-- wtf was I trying to say here?
<para>
This depends on the policy you are running. A very restrictive
policy requires you to change
</para>
-->
<para>
Puoi creare il nuovo utente con il comando standard
<command>useradd</command>. Prima dovrai diventare root;
sotto la policy strict avrai bisogno di cambiare al ruolo
<computeroutput>sysadm_r</computeroutput>. Questo cambio di contesto
è stato incorporato nel comando <command>su</command> ed
avviene automaticamente. Per la policy targeted, non avrai bisogno
di cambiare ruolo, rimanendo in
<computeroutput>unconfined_t</computeroutput>:
</para>
<screen>
<command>su - root
id -Z
root:system_r:unconfined_t
useradd auser
ls -Z /home
drwx------ auser auser root:object_r:user_home_dir_t /home/auser</command>
</screen>
<para>
Il contesto iniziale per una nuova directory utente ha un identità di
<computeroutput>root</computeroutput>. In seguinto la rietichettatura del
file system cambierà l'identità a
<computeroutput>system_u</computeroutput>. Queste sono funzionalmente
le stesse poichè il ruolo ed il tipo sono identici
(<computeroutput>object_r:user_home_dir_t</computeroutput>.)
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Tutte le altre documentazioni su &SEL; affermano che il
comando <command>su</command> cambierà solamente l'identità Linux
e <emphasis>non</emphasis> il ruolo di sicurezza.
</para>
</question>
<answer>
<para>
Il team di sviluppo di &FC; ha preso una direzione leggermente differente
rispetto alla pratica di &SEL; esistente. Le transizioni del contesto di sicurzza adesso
sono integrate in <command>su</command> via
<computeroutput>pam_selinux</computeroutput>. Questo semplifica
enormemente l'uso del sistema.
</para>
<para>
In pratica, è come combinare il tradizionale
<command>su</command> con il <command>newrole</command> di &SEL;,
in un singolo passo invece di due.
</para>
<para>
Altre forme di cambio d'identità di Linux/<trademark
class="registered">UNIX</trademark>, per esempio
<command>setuid(2)</command>, non causano un cambio d'identitÃ
&SEL;.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Sto avendo alcune difficoltà con errori <command>avc</command> che riempiono
i miei logs per un programma in particolare. Come scelgo escluderne l'audit
d'accesso?
</para>
</question>
<answer>
<para>
Per esempio, se volevi escludere l'audit di <command>dmesg</command>,
potresti inserire questa riga nel tuo file
<filename>/etc/selinux/targeted/src/policy/dmesg.te</filename>
</para>
<screen>
<computeroutput>dontaudit dmesg_t userdomain:fd { use };</computeroutput>
</screen>
<para>
Questo eliminerà l'output d'errore dal terminale per tutti
gli userdomains (<varname>user</varname>, <varname>staff</varname> e
<varname>sysadm</varname>).
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Anche avviando in modalità permissive, ho un gran numero di
messaggi <computeroutput>avc denied</computeroutput>.
</para>
</question>
<answer>
<para>
In modalità non-enforcing, avrai
<emphasis>più</emphasis> messaggi che in modalità enforcing. Ciò
avviene poichè il kernel sta loggando ogni diniego di accesso come fossi
in modalità enforcing. Siccome non hai restrizioni, puoi
fare più cose, che danno come risultato più log di
diniego.
</para>
<para>
Per esempio, se un applicazione eseguita sotto la modalità enforcing ha
il divieto provare a leggere un certo numero di files in una directory, essa
verrà fermata all'inizio dell'azione. In
modalità non-enforcing, l'applicazione non viene fermata dal traversare
l'albero della directory, e riceverà un messaggio di diniego per ogni
file letto nella directory.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Ho un particolare diniego di premesso solo quando &SEL; è in modalitÃ
enforcing, ma non vedo nessun messaggio di audit in
<filename>/var/log/messages</filename>. Come posso identificare la
causa di questi dinieghi silenziosi?
</para>
</question>
<answer>
<para>
La ragione più comune per un diniego silenzioso è quando la policy
contiene un esplicita regola di <computeroutput>dontaudit</computeroutput>
per sopprimere i messaggi di audit. La
regola di <computeroutput>dontaudit</computeroutput> è spesso usata
quando un segnale di diniego benigno riempie gli audit logs.
</para>
<para>
Per vedere il tuo particolare diniego, dovrai abilitare
l'auditing di tutte le regole <computeroutput>dontaudit</computeroutput>:
</para>
<screen>
<command>cd /etc/selinux/targeted/src/policy
make enableaudit
make load</command>
</screen>
<caution>
<title>Abilitare l'output di <computeroutput>dontaudit</computeroutput>
è verboso</title>
<para>
Abilitare l'auditing di tutte
le regole <computeroutput>dontaudit</computeroutput> produrrÃ
un gran numero di informazioni audit, molte delle quali
irrilevanti per il tuo diniego.
</para>
<para>
Usa questa tecnica solo se stai cercando un
messaggio di diniego che sembra avvenire silenziosamente.
Probabilmente desidererai ri-abilitare
le regole <computeroutput>dontaudit</computeroutput> il più presto
possibile.
</para>
</caution>
<para>
Per ri-abilitare le regole <computeroutput>dontaudit</computeroutput>,
fai così:
</para>
<screen>
<command>cd /etc/selinux/targeted/src/policy
make clean
make load</command>
</screen>
<!-- commented out just in case it needs to be rewritten and included:
<para>
Another reason for getting silent denials is on an
<function>exec</function> when a domain transition would
normally occur, but the new domain is not authorized for
the current role.
</para>
<para>
At present, these errors are only logged when &SEL; is
running in permissive mode. This has been fixed in the
upstream Linux kernel so that it will log an audit message.
The current &FC; test kernel does not yet include this
change.
</para>
from ssmalley:
The Fedora kernel now includes the change, so the transition failures
now show up as security_compute_sid messages (also handled via the audit
framework). Example message below for a policy that failed to authorize
sysadm_r for system_chkpwd_t (an error from an earlier policy that has
been fixed):
audit(1083674459.837:0): security_compute_sid: invalid context root:sysadm_r:system_chkpwd_t for scontext=root:sysadm_r:newrole_t tcontext=system_u:object_r:chkpwd_exec_t tclass=process
-->
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Perchè non vedo l'output quando eseguo certi demoni in modalitÃ
debug o interattiva?
</para>
</question>
<answer>
<para>
&SEL; disabilita intenzionalmente l'accesso ai dispositivi tty per impedire
ai demoni la comunicazione verso il terminale di controllo.
Questa comunicazione è un potenziale buco nella sicurezza poichè questi
demoni possono inserire comandi nei terminali di controllo. Un
programma bacato o compromesso potrebbe causare seri problemi con
questo.
</para>
<para>
Ci sono alcuni modi per permetterti di catturare lo STDOUT da questi demoni. Un
metodo è quello di eseguire il pipe dell'output al comando cat.
</para>
<screen>
<command>snmpd -v | cat</command>
</screen>
<para>
Quando fai il debug di un demone, potresti voler disattivare la transizione
del demone al suo dominio specifico. Puoi farlo usando
<application>system-config-securitylevel</application> o
<command>setsebool</command> dalla linea di comando.
</para>
<para>
Un opzione finale è quella di disattivare la modalità di enforcing durante il debug.
Puoi farlo con <command>setenforce 0</command>, usando
<command>setenforce 1</command> per ri-abilitare &SEL; quando hai
terminato il debug.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Quando eseguo un upgrade del pacchetto delle policy (per esempio, usando
<command>yum</command>), cosa succede con la policy; è
automaticamente aggiornata?
</para>
</question>
<answer>
<para>
Le policy si ricaricano da sole quando il pacchetto è aggiornato. Questo sostituisce
il comando manuale <command>make load</command>.
</para>
<para>
In certe situazioni, può essere necessario rietichettare il file
system. Questo potrebbe accadere per fissare gli errori di &SEL; qualora i
contesti dei files divenissero invalidi, o quando l'update della policy
fa dei cambiamenti ai <varname>file_contexts</varname>.
</para>
<para>
Dopo aver rietichettato il filesystem, un <command>reboot</command> non
è necessario, ma è utile per assicurare che ogni processo e programma
sia eseguito nel dominio appropriato. Questo è altamente dipendente dai
cambiamenti nella policy aggiornata.
</para>
<para>
Se hai installato i pacchetti sorgente delle policy, es.
<filename>selinux-policy-strict</filename>, puoi eseguire questi
comandi per rietichettare il file system.
</para>
<screen>
<command>cd /etc/selinux/targeted/src/policy
make
make relabel
reboot</command>
</screen>
<para>
Se non stai usando i sorgenti delle policy, un altro approccio è usare il
comando <command>fixfiles</command> o avvantaggiarsi del
meccanismo <filename>/.autorelabel</filename>:
</para>
<screen>
<command>fixfiles relabel
reboot</command>
</screen>
<screen>
<command>touch /.autorelabel
reboot</command>
</screen>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Se la policy rilasciata con il pacchetto di un applicazione cambia in
modo da richiedere la rietichettatura, potrà RPM gestire la rietichettatura dei files
posseduti dal pacchetto?
</para>
</question>
<answer>
<para>
Si. I contesti di sicurezza per i files posseduti dal pacchetto sono
immagazzinati nei dati dell'header del pacchetto. I contesti dei files
sono impostati direttamente dopo la copia <command>cpio</command>, appena i
files del pacchetto sono poggiati sul disco.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Che relazioni intercorrono fra il pacchetto policy e policy
source?
</para>
</question>
<answer>
<!--
thanks to "Gene C." <czar czarc net> for authoring the
original answer in
http://www.redhat.com/archives/fedora-test-list/2004-April/msg00755.html
-->
<para>
Un pacchetto policy come
<filename>selinux-policy-targeted</filename> è un requisito per
un installazione &SEL; funzionante, mentre un pacchetto sorgente come
<filename>selinux-policy-targeted-sources</filename> è
richiesto se vuoi modificare la policy predefinita.
</para>
<para>
Il pacchetto policy ha i files minimi necessari per definire
la policy di sicurezza di &SEL;. Viene tenuto di ridotte dimensioni
per avere minimi requisiti di installazione.
</para>
<para>
Il pacchetto dei sorgenti della policy contiene le definizioni sorgente in
<filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy</filename>
che sono richiesti per creare i files
<filename>/etc/selinux/<replaceable>policyname</replaceable>/contexts/*</filename>
e
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/policy.<replaceable>version</replaceable></filename>.
<replaceable>version</replaceable> è il numero di versione della
policy.
</para>
<para>
La scelta di quali pacchetti installare è basata sul tipo di
installazione. Se intendi usare solo la configurazione di sicurezza predefinita
dagli sviluppatori &FC;, avrai bisogno solo del pacchetto
policy. Se vorrai adattare la tua policy di sicurezza in qualsiasi
modo, o vorrai eseguire <command>setools</command>, avrai bisogno
di installare il pacchetto di sorgenti della policy.
</para>
<para>
Installando o aggiornando i pacchetti della policy, la nuova policy
verrà caricata non appena intallati i nuovi files. In modo analogo, installando o aggiornando il
pacchetto di sorgenti della policy ricreerà sia il file
<filename>policy.<replaceable>version</replaceable></filename>
che il file <filename>file_contexts</filename>, quindi
verranno ricaricati come policy attuale effettiva.
</para>
<!-- not sure if currently still an issue, or how to rephrase
<caution>
<title>Caution</title>
<para>
If you have locally modified any of the policy sources, you want to be cautious about updating <filename>policy</filename> or <filename>policy-sources</filename>. Make
updating policy and/or policy-sources can have
interesting (but not particularly desirable)
effects. See
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=118604
</para>
</caution>
-->
</answer>
</qandaentry>
<qandaentry>
<!--
http://www.redhat.com/archives/fedora-selinux-list/2004-May/msg00061.html
-->
<question>
<para>
Perchè i files
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/policy.<<replaceable>version</replaceable>></filename>
e
<filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy/policy.<<replaceable>version</replaceable>></filename>
sono differenti (sizes, md5sums, dates)?
</para>
</question>
<answer>
<para>
Quando installi un pacchetto policy, i files binari pre-compilati della policy
sono inseriti direttamente in <filename>/etc/selinux</filename>.
Quando un pacchetto sorgente policy è installato o aggiornato, i files binari
della policy vengono compilati in
<filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy</filename>,
quindi spostati in
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/</filename>.
I differenti ambienti di compilazione creeranno files finali che hanno
differenti dimensioni, md5sums, e date.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
I nuovi pacchetti policy potranno disabilitere il mio sistema?
</para>
</question>
<answer>
<para>
C'è la possibilità che cambiamenti nei pacchetti della policy o nella
policy rilasciata con un pacchetto applicativo possano causare errori,
più dinieghi, o altri comportamenti sconosciuti. Per rimediare, puoi
scoprire quale pacchetto causa il problema ripristinando policy e pacchetti
applicativi uno alla volta. Se non vuoi tornare
ad una pacchetto precedente, i files di configurazione della vecchia
versione sono salvati con l'estensione di <filename>.rpmsave</filename>.
Assicurati di consultare le mailing lists, bugzilla, ed IRC per aiutarti
ad uscire dal problema. Se sei capace, scrivi un fix o una policy
per risolvere il problema.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come posso aiutare a scrivere una policy?
</para>
</question>
<answer>
<para>
Il tuo aiuto è apprezzato infinitamente. Puoi cominciare entrando a far parte della
&SEL; mailing list, <ulink
url="mailto:fedora-selinux-list at redhat.com">fedora-selinux-list at redhat.com</ulink>;
puoi sottoscriverti e leggere gli archivi su <ulink
url="http://www.redhat.com/mailman/listinfo/fedora-selinux-list">http://www.redhat.com/mailman/listinfo/fedora-selinux-list</ulink>.
Le FAQ non ufficiali hanno qualche informazione generica su come scrivere
le policy (<ulink
url="http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1">http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1</ulink>).
Un'altra nuova risorsa è il Writing SE Linux policy HOWTO (<ulink
url="https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266">https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266</ulink>).
</para>
<para>
Il meglio su cui puoi scommettere è dare un occhiata ai files di policy in <filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy/</filename>
e provare a sperimentare. Osserva i messaggi <computeroutput>avc
denied</computeroutput> in <filename>/var/log/messages</filename> per avere degli indizzi.
</para>
<para>
Uno strumento utile per uno scrittore di policy è
<command>/usr/bin/audit2allow</command>, che traduce
i messaggi <computeroutput>avc</computeroutput> provenienti da
<filename>/var/log/messages</filename> in regole che possono essere usate
da &SEL;. Queste regole dovranno ovviamente essere rifinite.
</para>
<para>
Il comando <command>audit2allow</command> può ricevere l'input con
tre metodi. Il metodo predefinito è dallo standard input
(<firstterm>STDIN</firstterm>). Usando l'opzione <option>-i</option>
legge l'input da <filename>/var/log/messages</filename>,
e con l'opzione <option>-d</option> legge l'input dall'output
di <command>dmesg</command>.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
La mia console è inondata da messaggi, come li fermo?
</para>
</question>
<answer>
<para>
Per riottenere il controllo, disattiva i messaggi del kernel nella console
usando <command>dmesg -n 1</command>.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Posso provare la policy predefinita senza installare il pacchetto
di sorgenti della policy?
</para>
</question>
<answer>
<para>
Puoi provare la policy predefinita di &SEL; installando solamente
i pacchetti <filename>selinux-policy-<replaceable>policyname</replaceable></filename>
e <filename>policycoreutils</filename>. Senza il
pacchetto dei sorgenti della policy installato, il comando <command>fixfiles</command>
automatizzerà la rietichettatura del file system.
</para>
<para>
Il comando <command>fixfiles relabel</command> è l'equivalente
di <command>make relabel</command>. Durante la rietichettatura,
cancellerà tutti i files in <filename>/tmp</filename>,
ripulendo i files che potrebbero avere vecchie etichette di contesto.
</para>
<para>
Altri comandi sono <command>fixfiles check</command>, che controlla
i files con etichette errate, e <command>fixfiles restore</command>,
che fissa i files mal etichettati ma non cancella i files in
<filename>/tmp</filename>. <command>fixfiles</command> non
accetta una lista di directories come argomento, il suo scopo è
rietichettare l'intero filesystem. Se hai bisogno di rietichettare
un percorso specifico di directory, usa <command>restorecon</command>.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Sto avendo difficoltà nel far funzionare un applicazione KDE sotto &SEL;.
</para>
</question>
<answer>
<para>
Gli eseguibili KDE appaiono sempre come <command>kdeinit</command>, che
limita ciò che può essere fatto con la policy di &SEL;. Questo perchè ogni
applicazione KDE viene eseguita nel dominio per <command>kdeinit</command>.
</para>
<para>
I problemi spesso vengono fuorui quando si installa &SEL; perchè non è
possibile rietichettare <filename>/tmp</filename> e
<filename>/var/tmp</filename>. Non c'è un buon metodo di
determinare quale file dovrebbe avere quale contesto.
</para>
<para>
La soluzione è quella di eseguire un pieno log out da KDE e rimuovere tutti i files
temporanei di KDE:
</para>
<screen>
<command>rm -rf /var/tmp/kdecache-<replaceable><username></replaceable>
rm -rf /var/tmp/<replaceable><other_kde_files></replaceable></command>
</screen>
<para>
Al prossimo login, il problema dovrebbe essere risolto.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Perchè <computeroutput>SELINUX=disabled</computeroutput> non
funziona per me?
</para>
</question>
<answer>
<para>
Fa attenzione agli spazi vuoti nel file
<filename>/etc/sysconfig/selinux</filename>. Il codice è molto
sensibile agli spazi vuoti, anche ai tabulatori.
</para>
</answer>
</qandaentry>
</qandadiv>
<qandadiv id="faq-div-deploying-selinux">
<title>Implementare &SEL;</title>
<qandaentry>
<question>
<para>
Che file systems posso usare per &SEL;?
</para>
</question>
<answer>
<para>
Il file system deve supportare le estichette
<computeroutput>xattr</computeroutput> nel giusto
namespace <parameter>security.*</parameter>. Oltre a
ext2/ext3, XFS ha recentemente aggiunto il supporto per le necessarie
etichette.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Come incide &SEL; sulle prestazioni del sistema?
</para>
</question>
<answer>
<para>
Questa è una variabile difficile da quantificare, ed è pesantemente
dipendente dalla grandezza del sistema su cui &SEL; sta girando. L'ultima
volta che le prestazioni sono state misurate, l'incidenza era circa del 7% per
codice completamente non raffinato. I cambiamenti da allora sembrerebbero essere
peggiorati in alcuni casi, tipo nel networking. Le performance
e l'affinamento di SELinux sono una priorità del team di sviluppo.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Di che tipo di implementazioni/applicazioni/systemi, etc. dovrò tener conto
per l'uso con &SEL;?
</para>
</question>
<answer>
<para>
Inizialmente, &SEL; servirà ai server affacciati su Internet che eseguono
poche, funzioni specializzate, dove è critico mantenere
una sicurezza estremamente stretta. Una simile macchina è tipicamente
priva di software extra e servizi, ed esegue un servizio
molto mirato od un gruppo di servizi, come un Web server o un mail
server.
</para>
<para>
In questi servers di nicchia, potrai bloccare la policy molto strettamente.
Questo sarà facilitato dal piccolo numero di interazioni con
gli altri componenti. In modo simile, una macchina dedicata che
esegue un applicazione specialistica di terze parti sarà un buon cadidato.
</para>
<para>
In futuro, &SEL; è orientato a tutti gli ambienti. Per questo,
la comunità e gli <abbrev>ISV</abbrev>s
(<firstterm>independent software vendors</firstterm>) dovranno
lavorare con gli sviluppatori &SEL; per produrre le policy necessarie. Finora,
è stata scritta una <firstterm>strict policy</firstterm> molto restrittiva,
analogamente ad una <firstterm>targeted policy</firstterm> che mira
a specifici, demoni vulnerabili.
</para>
</answer>
</qandaentry>
<qandaentry>
<question>
<para>
Che effetto ha &SEL; sulle applicazioni di terze parti?
</para>
</question>
<answer>
<para>
Uno degli scopi nell'implementare la policy targeted di &SEL; in &FC; è
quello di permettere ad applicazioni di terze parti di funzionare senza modifiche. Questo
funziona perchè la targeted policy è trasparente a quelle
applicazioni che non prova a controllare e che ricadono
nella sicurezza di Linux standard. Queste applicazioni non saranno
eseguite in maniera extra sicura. Una policy deve essere scritta per
far si che queste applicazioni siano protette dal MAC.
</para>
<para>
Ci sono talmente tante variazioni nelle applicazioni di terze parti che è
impossibile predire come si comporterebbero con &SEL;, anche
eseguendo la targeted policy. Le problematiche insorgenti possono talvolta essere
fissate nella policy. Puoi capitare che &SEL; ti mostri problemi
di sicurezza con la tua applicazione che non sapevi di avere, richiedendo
una modifica dell'applicazione per poter funzionare sotto &SEL;.
</para>
<para>
Un importante valore che i testers ed utenti di &FC; porteranno alla
comunità è l'estensivo testing di applicazioni di terze parti. Tenendo
questo a mente, sei pregato di riportare le tue esperienze sull'appropriata
mailing list (<ulink
url="mailto:fedora-selinux-list at redhat.com">fedora-selinux-list at redhat.com</ulink>)
per discuterne.
</para>
</answer>
</qandaentry>
</qandadiv>
</qandaset>
</section>
</article>
More information about the Fedora-docs-commits
mailing list