Lorsqu’on utilise les paquets RPM du PGDG, les instances PostgreSQL ne sont pas confinées par SELinux, voici comment configurer son système pour remédier à cela.

L’installation de PostgreSQL fournie par Red Hat dans sa distribution par défaut est confinée par SELinux, par contre, la version majeure de PostgreSQL est la version 8.4 dans RHEL/CentOS 6. Ce qui fait que les paquets RPM fournis par le PGDG sont massivement utilisés : ils permettent de choisir la version majeure de PostgreSQL qu’on installe et plusieurs versions majeures peuvent cohabiter.

Le problème par rapport à SELinux est qu’il manque les file contexts adaptés aux chemins particuliers de ces paquets. Faire cohabiter plusieurs versions majeures n’a pas été prévu par Red Hat pour PostgreSQL. De plus, l’utilisation de pg_ctl directement avec les paquets Red Hat peut déconfiner le service.

Avant de commencer, il faut savoir administrer un minumum SELinux : si vous ne savez pas qu’il existe des options -Z, ce que sont les contexts, les types et les domaines, mieux vaut d’abord se documenter, par exemple chez Red Hat.

Voici donc les file contexts à ajouter dans un fichier module.te pour confiner l’installation PostgreSQL du PGDG :

/etc/rc\.d/init\.d/(se)?postgresql(-.*)?    --  gen_context(system_u:object_r:postgresql_initrc_exec_t,s0)
/usr/pgsql-[0-9]+\.[0-9]+/bin/initdb        --  gen_context(system_u:object_r:postgresql_exec_t,s0)
/usr/pgsql-[0-9]+\.[0-9]+/bin/pg_ctl        --  gen_context(system_u:object_r:postgresql_initrc_exec_t,s0)
/usr/pgsql-[0-9]+\.[0-9]+/bin/postgres      --  gen_context(system_u:object_r:postgresql_exec_t,s0)
/usr/pgsql-[0-9]+.[0-9]+/share/locale(/.*)?	    gen_context(system_u:object_r:locale_t,s0)
/usr/pgsql-[0-9]+.[0-9]+/share/man(/.*)?        gen_context(system_u:object_r:man_t,s0)

Tout d’abord, pour l’init script et pg_ctl, on utilise le type postgresql_initrc_exec_t, c’est ce qui permet de lancer PostgreSQL dans le domaine confiné postgresql_t au boot, via l’init script, et manuellement. La méthode la plus propre est de toujours utiliser l’init script, idéalement par l’intermédiaire de run_init pour démarrer, arrêter ou redémarrer le postmaster. On évite alors de laisser trainer des choses dans /var/{run,lock}.

Les programmes postgres et initdb doivent avoir le type postgresql_exec_t car ils exécutent le serveur PostgreSQL ; cela doit se faire dans le domaine postgresql_t.

Enfin, on a placé les labels corrects sur les fichiers de traduction et les pages de man, pour faire plus propre. Ce code source de module SELinux alors doit être compilé et chargé.

Cette configuration est reprise dans le module SELinux disponible sur github. On peut aussi l’ajouter manuellement avec semanage :

semanage fcontext -a -t postgresql_initrc_exec_t '/etc/rc\.d/init\.d/(se)?postgresql(-.*)?'
semanage fcontext -a -t postgresql_exec_t '/usr/pgsql-[0-9]+\.[0-9]+/bin/initdb'
semanage fcontext -a -t postgresql_initrc_exec_t '/usr/pgsql-[0-9]+\.[0-9]+/bin/pg_ctl'
semanage fcontext -a -t postgresql_exec_t '/usr/pgsql-[0-9]+\.[0-9]+/bin/postgres'
semanage fcontext -a -t locale_t '/usr/pgsql-[0-9]+.[0-9]+/share/locale(/.*)?'
semanage fcontext -a -t man_t '/usr/pgsql-[0-9]+.[0-9]+/share/man(/.*)?'

Il existe un certain nombre de booléens pour la configuration des droits SELinux de PostgreSQL, le plus important concerne rsync, souvent nécessaire pour faire des base backups. Il s’agit de postgresql_can_rsync, pour l’activer :

semanage boolean -m --on postgresql_can_rsync

Si on lance l’instance sur un port TCP différent de 5432, il faut l’autoriser dans la configuration locale de SELinux :

semanage port -a -t postgresql_port_t -p tcp <port>

Enfin, il ne faut pas oublier d’appliquer les contexts aux fichiers soit avec restorecon, un relabel complet au reboot ou chcon.


DALIBO

DALIBO est le spécialiste français de PostgreSQL®. Nous proposons du support, de la formation et du conseil depuis 2005.