LinuxParty

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

En las versiones CentOS 6.4 y RHEL 6.4 (ambas publicadas en marzo de 2013), se actualizó significativamente selinux-policy, reparando errores y añadiendo mejoras en el confinamiento de procesos clave. A continuación, te explico los cambios más relevantes y cómo gestionarlos.


1. Montajes automáticos bloqueados (glusterd)

Con la actualización a CentOS 6.4, muchos usuarios reportaron que los montajes automáticos con GlusterFS fallaban durante el inicio del sistema cuando SELinux estaba en modo enforcing. Sólo funcionaban manualmente con mount -a, lo que señalaba una política demasiado restrictiva. Este problema se solucionó rápidamente actualizando a selinux-policy-3.7.19-195.el6_4.3 en ambos sistemas (mjanja.ch).


2. Correcciones y extensiones de política en RHEL 6.4

La actualización de SELinux llevó dos grupos de cambios:

2.1 RHBA-2013:0537 — Corrección de error

  • Evita reinicios repetidos de tuned causados por múltiples reglas udev, solucionando una condición de carrera en el kernel (docs.redhat.com).

2.2 RHBA-2013:0314 — Varios ajustes

  • Permite login SSH a usuarios MLS creados en entornos con política MLS habilitada (BZ#837815).

  • Soluciona acceso denegado de trabajos OpenMPI al directorio /var/lib/condor/execute/ (BZ#835923).

  • Corrige la migración de VM en RHEV desde cadenas de políticas (BZ#857352).

  • Reforzada la variable ssh_sysadm_login: ahora evita login root si está desactivada (BZ#865759).

  • Permite a system-config-kdump acceder a /etc/zipl.conf en arquitecturas IBM System z, evitando errores de permisos (BZ#877108).

  • Se corrigieron rechazos en otras herramientas relacionadas con System z (BZ#877932) (docs.redhat.com).


3. ¿Qué es selinux-policy?

El paquete selinux-policy contiene:

  • Reglas de Type Enforcement (TE)

  • Definiciones de RBAC

  • Soporte para MLS/MCS

  • Contextos de seguridad y perfiles para servicios comunes

En CentOS/RHEL, se usa por defecto la política targeted, que aisla procesos como Apache, MySQL o Samba, mientras deja otros sin restricciones (wiki.centos.org).


4. Recomendaciones para administradores

  1. Mantén actualizado selinux-policy, especialmente tras usar servicios como GlusterFS o System z.

  2. Verifica modo actual con:

    getenforce
    sestatus
    
  3. Si un servicio se comporta mal, activa modo permisivo temporal:

    setenforce 0
    

    Reproduces el error, revisa /var/log/audit/audit.log, luego generas política con audit2allow.

  4. Tras crear o actualizar módulos, aplica con:

    semodule -i tu-modulo.pp
    
  5. Para reinstalar políticas estables:

    yum update selinux-policy-targeted
    

5. Resumen comparativo

Aspecto Cambio centOS 6.4 / RHEL 6.4
Montajes GlusterFS Políticas corregidas
Modulo udev → tuned Solución de reinicios
OpenMPI y Condor Acceso habilitado
RHEV migration Fluida tras política
SSH MLS users Ahora permitidos
kdump System z Acceso a zipl.conf

🔚 Conclusión

Las actualizaciones de SELinux en CentOS 6.4 y RHEL 6.4 fortalecen la seguridad del sistema, corrigiendo restricciones excesivas que bloqueaban procesos importantes o montajes automáticos. Asegúrate de mantener el paquete selinux-policy actualizado para evitar problemas. Si algo no funciona, el modo permisivo, audit2allow y semodule son tus aliados.

No estás registrado para postear comentarios



Redes:



   

 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Filtro por Categorías