SELinuxi toimimiseks on mitu erinevat viisi. Selle määratleb SELinuksi poliitika. Selles juhendis leiate lisateavet SELinuksi poliitikate ja selle kohta, kuidas SELinuxis poliitikat seada.
SELinuksi poliitika ülevaade
Tehkem SELinuxi ja selle poliitikate kiire ülevaade. SELinux on akronüüm sõnast “Security-Enhanced Linux."See sisaldab mitmeid Linuxi kerneli turvapaike. SELinuxi arendas algselt Riiklik Julgeolekuagentuur (NSA) ja see avaldati 2000. aastal avatud lähtekoodiga arendusringkondadele GPL-litsentsi alusel. See liideti Linuxi pealiini kerneliga 2003. aastal.
SELinux pakub MAC-i (kohustuslik juurdepääsukontroll), mitte vaikimisi kasutatavat DAC-i (diskretsiooniline juurdepääsu kontroll). See võimaldab rakendada mõnda turvapoliitikat, mida muidu poleks võimalik rakendada.
SELinuxi reeglid on reeglikomplektid, mis juhivad SELinuksi turbemootorit. Reegel määrab failiobjektide tüübid ja protsesside domeenid. Rolle kasutatakse domeenidele juurdepääsu piiramiseks. Kasutajatunnused määravad, milliseid rolle saab saavutada.
Saadaval on kaks SELinuksi poliitikat:
- Sihitud: vaikepoliitika. Rakendab suunatud protsessidele juurdepääsu kontrolli. Protsessid töötavad piiratud domeenis, kus protsessil on piiratud juurdepääs failidele. Kui piiratud protsess on ohus, leevendatakse kahju. Teenuste puhul paigutatakse nendesse domeenidesse ainult konkreetsed teenused.
- MLS: tähistab mitmetasandilist turvalisust. Vaadake Red Hati dokumentatsiooni SELinux MLS-i poliitika kohta.
Sihtimata protsessid töötavad piiramata domeenis. Piiramata domeenides töötavatel protsessidel on peaaegu täielik juurdepääs. Kui selline protsess on rikutud, ei paku SELinux leevendust. Ründajal võib olla juurdepääs kogu süsteemile ja ressurssidele. DAC-i reeglid kehtivad siiski piiramata domeenide puhul.
Järgmine on lühike loetelu piiramata domeenide näidetest:
- domeen initrc_t: init programmid
- kernel_t domeen: kerneli protsessid
- domeen unconfined_t: kasutajad logisid sisse Linuxi süsteemi
SELinuksi poliitika muutmine
Järgmised näited on tehtud CentOS 8-s. Kõiki selle artikli käske käivitatakse juurkasutajana. Muude distrode jaoks vaadake palun asjakohast õpetust SELinuksi lubamise kohta.
SELinuksi poliitika muutmiseks alustage SELinuksi oleku kontrollimist. Vaikeseisund peaks olema SELinux lubatud režiimis „jõustamine” ja „sihitud” poliitikaga.
SELinuksi poliitika muutmiseks avage oma lemmiktekstiredaktoris SELinuksi konfiguratsioonifail.
Siin on meie sihtmärgiks muutuja „SELINUXTYPE”, mis määratleb SELinuksi poliitika. Nagu näete, on vaikeväärtus „sihitud.”
Kõik selles näites demonstreeritud etapid viiakse läbi CentOS 8-s. CentOS-i puhul ei ole MLS-i poliitika vaikimisi installitud. Tõenäoliselt on see nii ka teistes distros. Siit saate teada, kuidas konfigureerida Ubuntu SELinuksi. Enne installige kindlasti programm. Ubuntu, CentOS, openSUSE, Fedora, Debian jt puhul on paketi nimi “selinux-policy-mls.”
$ dnf installige selinux-policy-mls
Sel juhul lülitame poliitika MLS-ile. Muutke vastavalt muutuja väärtust.
Salvestage fail ja väljuge redaktorist. Nende muudatuste jõustamiseks peate süsteemi taaskäivitama.
$ taaskäivitageKontrollige muudatust, väljastades järgmise.
$ sestatusSELinuksi režiimide muutmine
SELinux saab töötada kolmes erinevas režiimis. Need režiimid määravad, kuidas poliitikat rakendatakse.
- Jõustatud: mis tahes poliitika vastu suunatud tegevus on blokeeritud ja teatatud auditilogis.
- Lubav: mis tahes tegevusest poliitika vastu teatatakse ainult auditipäevikus.
- Keelatud: SELinux on keelatud.
SELinuxis režiimi ajutiseks muutmiseks kasutage käsku setenforce. Kui süsteem taaskäivitatakse, naaseb süsteem vaikeseadele.
$ setenforce jõustamine$ setenforce Permissive
SELinuxi režiimi jäädavaks muutmiseks peate kohandama SELinuksi konfiguratsioonifaili.
Redaktori salvestamine ja sulgemine. Muudatuste jõustamiseks taaskäivitage süsteem.
Muudatust saate kontrollida käsuga sestatus.
Järeldus
SELinux on võimas mehhanism turvalisuse tagamiseks. Loodetavasti aitas see juhend teil õppida, kuidas konfigureerida ja hallata SELinuksi käitumist.
Head arvutamist!