SELinux

SELinux (Security Enhanced Linux) é código que roda em user-space, aproveitando o código do kernel (Linux Security Modules) para fornecer o Controle de Acesso Obrigatório (MAC) sobre os recursos do sistema. Os processos estão confinados em domínios, que podem ser pensados como caixas de areia. O acesso a objetos e capacidades do sistema como arquivos, filas de mensagens, semáforos, rede é controlado em uma base por domínio seguindo o princípio de menor privilégio.

Diretórios e arquivos são rotulados com um tipo persistente no SELinux que é separado dos habituais Controlos de Acesso Discricionário UNIX (DAC). Essa camada extra permite um controle mais rigoroso sobre o acesso aos objetos: se um intruso ganhar controle de um processo pertencente a um usuário, o acesso a todos os arquivos pertencentes a esse usuário não é automaticamente concedido. O tipo de acesso (leia, escreva, crie) também pode ser controlado pelo SELinux.

O SELinux pode operar em três modos: desativado, permissivo ou executante. A comutação entre os modos pode exigir um reboot.
  • "Desativado" significa que nenhuma verificação de acesso ou registro de logs é realizada.
  • "Permissivo" significa que violações de acesso são registradas, mas são permitidas de ocorrer.
  • "Enforçar" significa que a política é aplicada, e o acesso será negado se não tiver sido permitido na política.

O SELinux depende de configurações do sistema operacional que existem fora do Db2®. Db2 não é um aplicativo "SELinux-aware" que está ciente do SELinux em operação, e como tal não faz alterações dinâmicas em propriedades SELinux enquanto o servidor de banco de dados estiver em operação. Assim, todas as alterações de configuração devem ser feitas nos arquivos de políticas que rege o comportamento permitido pelo Db2.

Quando o Db2 é instalado, e a política padrão "direcionada" é configurada, os processos Db2 serão executados no domínio "inconfinado". Isso funcionará e o Db2 é capaz de executar como ocorreu antes do SELinux ser introduzido ou ativado.

Para amostras em políticas SELinux, consulte Políticas de amostra SELinux.

Os arquivos de políticas de amostra são fornecidos para permitir que os processos Db2 sejam executados no domínio confinado fornecendo proteção adicional. Essas amostras são fornecidas como um ponto de partida, elas exigirão modificação para o seu ambiente. Db2 O suporte técnico não é capaz de auxiliar com a configuração do SELinux ou o uso das amostras. Quaisquer falhas introduzidas pelas políticas do SELinux são as responsabilidades dos clientes para resolver. No entanto, o uso do Db2 em um ambiente onde o SELinux está em modos permissivos ou de aplicação é suportado, desde que falhas não sejam o resultado da configuração da política SELinux.