Como gerenciar políticas de acesso no EPM Linux

Este documento provê um passo para o cadastro de uma política de acesso no EPM Linux.

A criação de políticas garante que as regras sejam aplicadas ao shell, ao software, ao script e aos controles de processos pais e filhos, impedindo que os usuários contornem os privilégios. Os administradores do sistema podem criar políticas, controlar arquivos e pastas, definir permissões, criar aliases, gerenciar variáveis de ambiente, controlar diretórios e arquivos e executar outras ações com base nessas políticas.

As políticas são segregadas em dois níveis:

1. Geral (todos os dispositivos).
2. Dispositivos (dispositivos específicos).

Importante

• As políticas de kernel controlam as Listas de Controle de Acesso (ACLs), restringindo ou permitindo o acesso no nível do kernel do Linux. A ordem das políticas é crucial, pois determina sua prioridade, e políticas proibitivas têm o potencial de causar danos graves ao dispositivo. É fundamental usar caminhos absolutos ao criar regras. Para descobrir caminhos binários e links simbólicos, use os comandos which, readlink ou ls -la.
• As regras são aplicáveis tanto à execução de usuários quanto à de scripts.
• O EPM Linux não concede permissão a um diretório ou arquivo para um usuário se o sistema operacional não permitir o acesso.

Requisitos

Para utilizar as políticas de acesso, você precisa saber o caminho do binário dentro da sua estação Linux. Para isso, siga os passos:

1. Acesse o terminal do Linux.
2. Digite which [comando] para descobrir o caminho do binário.
3. Por exemplo, caso você queira descobrir um link simbólico, utilize um dos dois comandos:
   1. readlink [caminho do comando].
   2. ls -la [caminho do comando]

Criar um política de acesso geral

Ao preencher os campos abaixo, preste atenção nestes pontos:

• Ao preencher o campo Diretriz, preste atenção que, se o comando já estiver incorporado no shell do usuário, o EPM Linux não realizará a pesquisa para executar o comando diretamente pelo sistema. Assim, os comandos incorporados no shell não serão filtrados pela política de acesso. Para verificar quais comandos estão incorporados no shell, use o terminal do Linux e digite help.
• Preste atenção ao alterar ou preencher o Verificador (path ou executor), pois qualquer falha no preenchimento desse campo ou mesmo o preenchimento incorreto pode fazer com que o dispositivo fique completamente inutilizável. Siga as regras de sintaxe do CaitSith.
• A primeira regra adicionada tem prioridade sobre quaisquer regras inseridas posteriormente. Se você criar uma regra que permita a execução do binário e depois adicionar outra regra para bloquear a execução do mesmo binário, a primeira regra será considerada e a segunda não.

1. No Segura, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione EPM.

2. No menu lateral, selecione Políticas > Linux > Políticas.

3. Clique em Adicionar para ser direcionado para a tela de seleção da política.

4. Na tela Segregação selecione o tipo de política, nesse caso, Geral.

5. No formulário Cadastro de política de acesso, preencha:

6. Na aba Geral:

   1. Nome da política: defina um nome fácil de identificar.

   2. Status: se ativa, a política será aplicada nos dispositivos.

   3. Diretriz: selecione um tipo de política.

   4. Verificador (path ou executor): preencha com o caminho do diretório (por exemplo: path="/usr/bin/ls") ou com o executor para links simbólicos (por exemplo: exec="/etc/alternatives/vim"). Para obter o caminho, digite which [comando] e para validar se é um link simbólico, digite ls -la [comando].

   5. Habilitar auditoria?: campo obrigatório e por padrão vem ativo. Permite a auditoria de ações realizadas.

   6. Incluir regra de negação geral?: caso essa opção esteja marcada, nenhum usuário da workstation Linux poderá executar algo que não esteja permitido pela política de acesso. Caso contrário, todos os usuários dessa workstation terão permissão para executar tudo, exceto o que for bloqueado pela regra.

   7. Para adicionar uma nova regra, clique em Adicionar e preencha os campos da tabela.

      1. Permitir ou bloquear: escolha se a política cadastrada permite ou bloqueia o acesso para o usuário ou grupo.
      2. Texto da regra: preencha com uma regra no formato das políticas no CaitSith. Por exemplo, para usuários: task.uid=“user”. Para grupos: task.gid=”group”. É necessário utilizar o grupo primário do usuário.

      3. Para validar que a política foi adicionada ao dispositivo, digite, no terminal, o comando cat /sys/kernel/security/caitsith/policy.

7. Clique em Continuar.

8. Na aba Aplicação:

   1. Ativar auditoria: selecione Sim para ativar a auditoria da sessão.
   2. Ativar gravação de sessão: selecione Sim para ativar a gravação da sessão.
   3. Incluir regra de negação geral?: marque a caixa de seleção caso você deseja incluir uma regra de negação geral à aplicação.
   4. Para incluir uma nova aplicação, clique em Adicionar preencha os campos:
      1. Caminho da aplicação: indique o caminho completo da aplicação na workstation. Por exemplo /etc/vim.
      2. Link simbólico: selecione se o caminho indicado é um link simbólico.
   5. Para incluir uma nova permissão, clique em Adicionar preencha os campos:
      1. Permissão: selecione o tipo de ação da permissão, Bloquear ou Permitir.
      2. Tipo: selecione o tipo de permissão, Grupo ou Usuário.
      3. Nome: indique um nome para a permissão.

9. Clique em Continuar.

10. Na aba Controle de diretórios e arquivos:

    1. Para incluir uma nova permissão, clique em Adicionar preencha os campos:
       1. Permissão: selecione a ação: Execução, Leitura ou Escrita.
       2. Diretório ou arquivo: indique o diretório ou arquivo que receberá essa nova permissão.
       3. Usuário: indique o nome de usuário que será atrelada a essa permissão.
    2. Para incluir uma nova regra de bloqueio, clique em Adicionar preencha os campos:
       1. Permissão: selecione a ação: Execução, Leitura ou Escrita.
       2. Diretório ou arquivo: indique o diretório ou arquivo que receberá essa nova permissão.
       3. Usuário: indique o nome de usuário que será atrelada a essa permissão.

11. Clique em Continuar.

12. Na aba Aliases:

    1. Para cadastrar um novo alias, clique em Adicionar e preencha os campos:
       1. Alias: aliás é um "apelido" para um comando do Linux, assim, você pode indicar um texto mais simples e fácil de lembrar. Indique o texto nesse campo.
       2. Comando: indique o comando que será executado quando o alias for usado.
       3. Para verificar os aliases criados, digite cat /etc/senhasegura/aliases no terminal.

13. Clique em Continuar:

14. Na aba Variáveis de ambiente:

    1. Para cadastrar uma nova variável de ambiente, clique em Adicionar e preencha os campos:
       1. Nome de usuário: indique o nome de usuário que será atrelado a essa variável de ambiente.
       2. Nome da variável: indique o nome da variável de ambiente.
       3. Valor da variável: indique o valor da variável de ambiente.

15. Clique em Continuar.

16. Na aba Revisão, revise o cadastro da regra e clique em Salvar.

Criar um política de acesso para um dispositivo

O processo para criação de uma política de acesso para um dispositivo específico segue o mesmo fluxo da política geral, com o adendo da aba Dispositivos, onde é possível indicar o dispositivo onde a regra deverá ser aplicada.
Assim, no formulário Cadastro de política de acesso, na aba Dispositivos, preencha os campos:

1. Para cadastrar uma nova variável de ambiente, clique em Adicionar para abrir o modal Dispositivos.
2. No modal Dispositivos, selecione aqueles dispositivos que você deseja atrelar à regra.
3. Clique em Adicionar.
4. Clique em Continuar.
5. Na aba Revisão, revise o cadastro da regra e clique em Salvar.