SELinux

SELinux (Security Enhanced Linux) es un código que se ejecuta en el espacio de usuario, aprovechando el código de kernel (Linux Security Modules) para proporcionar Control de acceso obligatorio (MAC) sobre los recursos del sistema. Los procesos se limitan a dominios, que se pueden considerar como recintos de pruebas. El acceso a objetos del sistema y prestaciones como archivos, colas de mensajes, semáforos, redes se controla por dominio siguiendo el principio de menor privilegio.

Los directorios y archivos se etiquetan con un tipo persistente en SELinux que es independiente de los UNIX Discretionary Access Controls (DAC) habituales. Esta capa adicional permite un control más estricto sobre el acceso a los objetos: si un intruso obtiene el control de un proceso propiedad de un usuario, el acceso a todos los archivos propiedad de ese usuario no se otorga automáticamente. El tipo de acceso (lectura, escritura, creación) también puede ser controlado por SELinux.

SELinux puede operar en tres modalidades: inhabilitado, permisivo o obligatorio. La conmutación entre modalidades puede requerir un rearranque.
  • "Inhabilitado" significa que no se realiza ninguna comprobación de acceso o registro.
  • "Permiso" significa que se registran las infracciones de acceso, pero se permite que se produzcan.
  • "Aplicar" significa que la política se aplica, y se denegará el acceso si no se ha permitido en la política.

SELinux depende de las configuraciones del sistema operativo que existen fuera de Db2®. Db2 no es una aplicación " que tenga en cuenta SELinux" que tenga en cuenta SELinux en funcionamiento, y como tal no realiza cambios dinámicos en las propiedades de SELinux mientras el servidor de bases de datos está en funcionamiento. Por lo tanto, todos los cambios de configuración deben realizarse en los archivos de políticas que rigen el comportamiento permitido por Db2.

Cuando Db2 está instalado y la política "de destino" predeterminada está configurada, los procesos de Db2 se ejecutarán en el dominio "no confinado". Esto funcionará y Db2 podrá ejecutarse como lo hacía antes de que se introdujera o habilitara SELinux.

Para ver ejemplos sobre políticas de SELinux, consulte Políticas de ejemplo de SELinux.

Se proporcionan archivos de políticas de ejemplo para permitir que los procesos de Db2 se ejecuten en el dominio confinado proporcionando protección adicional. Estos ejemplos se proporcionan como punto de partida, necesitarán modificación para el entorno. El soporte técnico de Db2 no puede ayudar con la configuración de SELinux ni con el uso de los ejemplos. Cualquier fallo introducido por las políticas de SELinux son las responsabilidades de los clientes a resolver. Sin embargo, se da soporte al uso de Db2 en un entorno en el que SELinux está en modalidad permisiva o de imposición, siempre que las anomalías no sean el resultado de la configuración de políticas de SELinux.