Pular para o conteúdo principal

Ajuste de Políticas de Segurança com SELinux

O SELinux (Security-Enhanced Linux) é um módulo de segurança do kernel Linux que implementa políticas de controle de acesso obrigatório, reforçando a segurança ao restringir ações de usuários e processos com base em regras predefinidas. Ele adiciona uma camada de proteção, limitando o impacto de vulnerabilidades e ataques.

É importante configurar SELinux corretamente para garantir que os serviços da Plataforma PostgreSYS funcionem corretamente.

A seguir, apresentamos algumas etapas para ajuste de políticas de segurança do SELinux para o PostgreSQL:

  1. Verifique a situação do SELinux

    Terminal input
        sestatus

  2. Ajuste as políticas de SELinux para permitir conexões de rede para o PostgreSQL

    Terminal input
        sudo setsebool -P <BOOLEAN> <VALOR>
    nota

    Substitua <BOOLEAN> pelo nome do booleano de política SELinux que deseja configurar (como postgresql_can_network_connect) e <VALOR> por 1 (ativar) ou 0 (desativar)

  3. Adicione contextos de segurança para os diretórios do PostgreSQL

    • Comando genérico para adicionar contexto de segurança (Substitua <DIRETORIO> pelo caminho do diretório e <CONTEXTO> pelo contexto desejado)

      Terminal input
          sudo semanage fcontext -a -t <CONTEXTO> "<DIRETORIO>"

    • Aplique contexto de segurança

      Terminal input
          sudo restorecon -Rv <DIRETORIO>

  4. Configure o SELinux para permitir conexões de rede e adicionar contextos de segurança para os diretórios do PostgreSQL

    • Permita conexões de rede para PostgreSQL

      Terminal input
          sudo setsebool -P postgresql_can_network_connect 1

    • Adicione contexto de segurança para diretórios PostgreSQL

      Terminal input
          DIRETORIOS=("/var/lib/pgsql" "/var/lib/pgsql/data")
          for DIR in "${DIRETORIOS[@]}"; do
              sudo semanage fcontext -a -t postgresql_db_t "${DIR}(/.*)?"
              sudo restorecon -Rv ${DIR}
          done