Sissejuhatus
SELinux on kohustuslik juurdepääsukontrolli (MAC) moodul, mis asub Linuxi süsteemide tuuma tasemel. See on Redhati ja NSA ühine arendus, mis ilmus umbes 1998. aastal ja mida hoiab endiselt harrastajate kogukond. Vaikimisi kasutab Ubuntu AppArmorit ja mitte SeLinuxi, mis on jõudluse poolest sarnane, kuid lihtsuse mõttes pigem populaarne. SeLinux on aga valitsusasutuse kaasamise tõttu teadaolevalt üsna turvaline. SELinux on avatud lähtekoodiga rakendus, mis kaitseb hosti, eraldades iga rakenduse ja piirates selle tegevust. Vaikimisi on protsessid blokeeritud igasuguste toimingute tegemiseks, kui selleks pole selgesõnalist luba antud. Moodul sisaldab algselt kahte globaalse taseme halduseeskirja: lubav ja jõustamine, mis logib vastavalt iga rikutud reegli ja keelab juurdepääsu protsessile saadetud konkreetsele päringule. See õpetus näitab, kuidas seda hõlpsasti Ubuntu kasutada.
Kuidas installida ja lubada
SeLinux on installimiseks väga keeruline rakendus, sest kui seda pole enne esimest taaskäivitamist õigesti konfigureeritud, muudab see kogu operatsioonisüsteemi taaskäivitamatuks, mis tähendab, et kõik muu kui algsel käivitamiskuval on tavapäraste vahenditega peaaegu kättesaamatu.
Nagu juba varem öeldud, on Ubuntu juba keerukas kõrgetasemeline kohustuslik juurdepääsu kontrollisüsteem, mida nimetatakse AppArmoriks, ja seetõttu tuleb konfliktide vältimiseks see enne SeLinuksi installimist keelata. AppArmori keelamiseks ja SeLinuxi lubamiseks järgige järgmisi juhiseid.
sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'seadistage SELINUX lubavaks, SELINUXTYPE vaikimisi' taaskäivitamiseks
Selle failikonfiguratsiooni saab muudatuste tegemiseks avada mis tahes tekstiredaktoriga. SETLINUXile lubava reegli määramise põhjuseks on operatsioonisüsteemi ligipääsetavaks muutmine, jättes SeLinux lubatud. On väga soovitatav kasutada lubavat valikut, kuna see pole probleemideta, kuid see logib sisse SeLinuxis seatud rikutud reeglid.
Saadaolevad valikud
SELinux on keeruline ja terviklik moodul; seega sisaldab see palju funktsioone ja võimalusi. Nagu öeldud, ei pruugi enamik neist võimalustest kõigile eksootilise olemuse tõttu kasulikud olla. Järgmised valikud on mõned selle mooduli põhilised ja kasulikud valikud. Neist on SELinuksi käivitamiseks rohkem kui piisavalt.
Kontrollige olekut: SELinuksi olekut saab kontrollida otse terminaliakna kaudu, mis näitab põhiteavet, näiteks kas SeLinux on lubatud, SELinuksi juurkataloog, laaditud poliitika nimi, praegune režiim jne. Pärast süsteemi taaskäivitamist pärast SeLinuksi installimist kasutage järgmist käsku sudo käsuga juurkasutajana. Kui see ütleb, et olekusektsioonis on SeLinux lubatud, tähendab see, et see töötab ja töötab taustal.
[meiliga kaitstud]: / home / dondilanga # sestatus
Üldise lubade taseme muutmine: Üldine lubade tase ütleb, kuidas käitub SELinux reegli otsa komistades. Vaikimisi seab SeLinux end täitmisele, mis blokeerib kõik taotlused, kuid seda saab muuta lubavaks, mis on kasutaja suhtes leebe, kuna see võimaldab juurdepääsu, kuid logib kõik rikkutud reeglid oma logifaili.
nano / etc / selinux / config "seab SELINUXi lubavaks või jõustavaks, SELINUXTYPE vaikeväärtuseks"
Kontrollige logifaili: Logifail, mis märgib iga päringuga rikutud reegleid. See hoiab logisid ainult siis, kui SeLinux on lubatud.
grep selinux / var / log / audit / audit.logi
Reeglite lubamine ja keelamine ning nende pakutavad kaitsed: See on SeLinuxis üks olulisemaid võimalusi, kuna see võimaldab poliitikaid lubada ja keelata. SeLinuxil on palju eelseadistatud reegleid, mis määravad kindlaks, kas määratud taotlus on lubatud või mitte. Mõned näited selle kohta on allow_ftpd_full_access, mis määrab FTP-teenuse võime kohalikele kasutajatele sisse logida ja kõiki süsteemis olevaid faile kirjutada. , httpd_can_sendmail, mis määrab HTTP-teenuse võime meilisõnumeid saata jne ... Järgmises koodinäites installib see policycoreutils-python-utils, mis tegelikult aitab iga poliitika kirjeldaval viisil välja tuua, järgmisena loetleb kõik terminalile saadaolevad reeglid , lõpuks õpetatakse, kuidas reegleid sisse või välja lülitada, allow_ftpd_full_access on poliitika nimi, nagu on näidatud semanage'i tagastatud terminalis,
apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON
Täpsemad valikud
Täpsemad valikud on valikud, mis aitavad laiendada SELInuxi funktsioone. SeLinuksi terviklikkuse tõttu on seal tohutult palju kombinatsioone, nii et see artikkel loetleb mõned silmapaistvad ja kasulikud neist.
Rollipõhine juurdepääsu kontroll (RBAC): RBAC võimaldab administraatoritel minna rollipõhisele viisile rakenduste lubade piiramiseks. See tähendab, et konkreetse kasutajagrupi kasutajal on lubatud teatud etteantud toiminguid teha või teha. Niikaua kui kasutaja on osa rollist, on see okei. See on sama asi, mis üleminek rootile, kui installite rakendusi Linuxi administraatori õigustega.
semanage'i sisselogimine -a -s 'myrole' -r 's0-s0: c0.c1023 '
Kasutajad saavad oma rolli järgmise käsu abil vahetada.
sudo -r uus_roll_r -i
Samuti saavad kasutajad serveriga kaugühenduse luua SSH-i kaudu, käivitamisel lubatud rolliga.
ssh/ [meiliga kaitstud]
Luba teenusel mittestandardset porti kuulata: See on teenuse kohandamisel üsna kasulik, näiteks kui FTP-port muudetakse mittestandardseks, et vältida volitamata juurdepääsu, tuleb vastavalt teavitada SELinuxi, et võimaldada sellistel pordidel läbida ja toimida nagu tavaliselt. Järgmine näide võimaldab FTP-porti kuulata 992-porti. Samamoodi tagastab kõik teenused semanage sadam -l saab asendada. Mõned populaarsed pordid on http_port_t, pop_port_t, ssh_port_t.
semanage sadam -a -tsemanage port -a -t ftp_port_t -p tcp 992
Kuidas keelata
SELinuksi keelamine on lihtsam, kuna see on lubatud ja installitud. Põhimõtteliselt on selle keelamiseks kaks võimalust. Kas ajutiselt või jäädavalt. SeLinuxi ajutise keelamise korral lülitatakse see mõneks ajaks järgmise käivitamiseni välja ja niipea, kui arvuti uuesti sisse lülitatakse, taaskäivitatakse olek. Teisest küljest lülitab SeLinuxi püsiv keelamine selle täielikult välja, ohustades teda seal; seega on tark valik taastada Ubuntu vaikeseade AppArmor vähemalt süsteemi turvalisuse huvides.
Järgmine terminali käsk lülitab selle ajutiselt välja:
setenforce 0
Redigeerimise jäädavaks keelamiseks / etc / selinux / config ja seadistage SELINUX keelatuks.