SELinux

SELinux Ubuntu õpetuses

SELinux Ubuntu õpetuses

Sissejuhatus

SELinux on kohustuslik juurdepääsukontrolli (MAC) moodul, mis asub Linuxi süsteemide tuuma tasemel. See on Redhati ja NSA ühine arendus, mis ilmus umbes 1998. aastal ja mida hoiab endiselt harrastajate kogukond. Vaikimisi kasutab Ubuntu AppArmorit ja mitte SeLinuxi, mis on jõudluse poolest sarnane, kuid lihtsuse mõttes pigem populaarne. SeLinux on aga valitsusasutuse kaasamise tõttu teadaolevalt üsna turvaline. SELinux on avatud lähtekoodiga rakendus, mis kaitseb hosti, eraldades iga rakenduse ja piirates selle tegevust. Vaikimisi on protsessid blokeeritud igasuguste toimingute tegemiseks, kui selleks pole selgesõnalist luba antud. Moodul sisaldab algselt kahte globaalse taseme halduseeskirja: lubav ja jõustamine, mis logib vastavalt iga rikutud reegli ja keelab juurdepääsu protsessile saadetud konkreetsele päringule. See õpetus näitab, kuidas seda hõlpsasti Ubuntu kasutada.

Kuidas installida ja lubada

SeLinux on installimiseks väga keeruline rakendus, sest kui seda pole enne esimest taaskäivitamist õigesti konfigureeritud, muudab see kogu operatsioonisüsteemi taaskäivitamatuks, mis tähendab, et kõik muu kui algsel käivitamiskuval on tavapäraste vahenditega peaaegu kättesaamatu.

Nagu juba varem öeldud, on Ubuntu juba keerukas kõrgetasemeline kohustuslik juurdepääsu kontrollisüsteem, mida nimetatakse AppArmoriks, ja seetõttu tuleb konfliktide vältimiseks see enne SeLinuksi installimist keelata. AppArmori keelamiseks ja SeLinuxi lubamiseks järgige järgmisi juhiseid.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'seadistage SELINUX lubavaks, SELINUXTYPE vaikimisi' taaskäivitamiseks

Selle failikonfiguratsiooni saab muudatuste tegemiseks avada mis tahes tekstiredaktoriga. SETLINUXile lubava reegli määramise põhjuseks on operatsioonisüsteemi ligipääsetavaks muutmine, jättes SeLinux lubatud. On väga soovitatav kasutada lubavat valikut, kuna see pole probleemideta, kuid see logib sisse SeLinuxis seatud rikutud reeglid.

Saadaolevad valikud

SELinux on keeruline ja terviklik moodul; seega sisaldab see palju funktsioone ja võimalusi. Nagu öeldud, ei pruugi enamik neist võimalustest kõigile eksootilise olemuse tõttu kasulikud olla. Järgmised valikud on mõned selle mooduli põhilised ja kasulikud valikud. Neist on SELinuksi käivitamiseks rohkem kui piisavalt.

Kontrollige olekut:  SELinuksi olekut saab kontrollida otse terminaliakna kaudu, mis näitab põhiteavet, näiteks kas SeLinux on lubatud, SELinuksi juurkataloog, laaditud poliitika nimi, praegune režiim jne.  Pärast süsteemi taaskäivitamist pärast SeLinuksi installimist kasutage järgmist käsku sudo käsuga juurkasutajana. Kui see ütleb, et olekusektsioonis on SeLinux lubatud, tähendab see, et see töötab ja töötab taustal.

[meiliga kaitstud]: / home / dondilanga # sestatus

Üldise lubade taseme muutmine: Üldine lubade tase ütleb, kuidas käitub SELinux reegli otsa komistades. Vaikimisi seab SeLinux end täitmisele, mis blokeerib kõik taotlused, kuid seda saab muuta lubavaks, mis on kasutaja suhtes leebe, kuna see võimaldab juurdepääsu, kuid logib kõik rikkutud reeglid oma logifaili.

nano / etc / selinux / config "seab SELINUXi lubavaks või jõustavaks, SELINUXTYPE vaikeväärtuseks"

Kontrollige logifaili: Logifail, mis märgib iga päringuga rikutud reegleid.  See hoiab logisid ainult siis, kui SeLinux on lubatud.

grep selinux / var / log / audit / audit.logi

Reeglite lubamine ja keelamine ning nende pakutavad kaitsed: See on SeLinuxis üks olulisemaid võimalusi, kuna see võimaldab poliitikaid lubada ja keelata. SeLinuxil on palju eelseadistatud reegleid, mis määravad kindlaks, kas määratud taotlus on lubatud või mitte. Mõned näited selle kohta on allow_ftpd_full_access, mis määrab FTP-teenuse võime kohalikele kasutajatele sisse logida ja kõiki süsteemis olevaid faile kirjutada. , httpd_can_sendmail, mis määrab HTTP-teenuse võime meilisõnumeid saata jne ... Järgmises koodinäites installib see policycoreutils-python-utils, mis tegelikult aitab iga poliitika kirjeldaval viisil välja tuua, järgmisena loetleb kõik terminalile saadaolevad reeglid , lõpuks õpetatakse, kuidas reegleid sisse või välja lülitada, allow_ftpd_full_access on poliitika nimi, nagu on näidatud semanage'i tagastatud terminalis,

apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON

Täpsemad valikud

Täpsemad valikud on valikud, mis aitavad laiendada SELInuxi funktsioone. SeLinuksi terviklikkuse tõttu on seal tohutult palju kombinatsioone, nii et see artikkel loetleb mõned silmapaistvad ja kasulikud neist.

Rollipõhine juurdepääsu kontroll (RBAC): RBAC võimaldab administraatoritel minna rollipõhisele viisile rakenduste lubade piiramiseks. See tähendab, et konkreetse kasutajagrupi kasutajal on lubatud teatud etteantud toiminguid teha või teha. Niikaua kui kasutaja on osa rollist, on see okei. See on sama asi, mis üleminek rootile, kui installite rakendusi Linuxi administraatori õigustega.

semanage'i sisselogimine -a -s 'myrole' -r 's0-s0: c0.c1023 '

Kasutajad saavad oma rolli järgmise käsu abil vahetada.

sudo -r uus_roll_r -i

Samuti saavad kasutajad serveriga kaugühenduse luua SSH-i kaudu, käivitamisel lubatud rolliga.

ssh / [meiliga kaitstud]

Luba teenusel mittestandardset porti kuulata: See on teenuse kohandamisel üsna kasulik, näiteks kui FTP-port muudetakse mittestandardseks, et vältida volitamata juurdepääsu, tuleb vastavalt teavitada SELinuxi, et võimaldada sellistel pordidel läbida ja toimida nagu tavaliselt. Järgmine näide võimaldab FTP-porti kuulata 992-porti. Samamoodi tagastab kõik teenused semanage sadam -l saab asendada.  Mõned populaarsed pordid on http_port_t, pop_port_t, ssh_port_t.

semanage sadam -a -t    semanage port -a -t ftp_port_t -p tcp 992

Kuidas keelata

SELinuksi keelamine on lihtsam, kuna see on lubatud ja installitud. Põhimõtteliselt on selle keelamiseks kaks võimalust. Kas ajutiselt või jäädavalt. SeLinuxi ajutise keelamise korral lülitatakse see mõneks ajaks järgmise käivitamiseni välja ja niipea, kui arvuti uuesti sisse lülitatakse, taaskäivitatakse olek. Teisest küljest lülitab SeLinuxi püsiv keelamine selle täielikult välja, ohustades teda seal; seega on tark valik taastada Ubuntu vaikeseade AppArmor vähemalt süsteemi turvalisuse huvides.

Järgmine terminali käsk lülitab selle ajutiselt välja:

setenforce 0

Redigeerimise jäädavaks keelamiseks / etc / selinux / config ja seadistage SELINUX keelatuks.

Mängud Kuidas kasutada AutoKeyt Linuxi mängude automatiseerimiseks
Kuidas kasutada AutoKeyt Linuxi mängude automatiseerimiseks
AutoKey on Linuxi ja X11 töölaua automatiseerimise utiliit, mis on programmeeritud Python 3, GTK ja Qt. Selle skriptimise ja MACRO funktsionaalsuse ab...
Mängud Kuidas näidata FPS-loendurit Linuxi mängudes
Kuidas näidata FPS-loendurit Linuxi mängudes
Linuxi mängimine sai suure tõuke, kui Valve teatas Steam-kliendi ja nende mängude Linuxi toest 2012. aastal. Sellest ajast peale on paljud AAA- ja ind...
Mängud Sid Meieri Civilization VI allalaadimine ja mängimine Linuxis
Sid Meieri Civilization VI allalaadimine ja mängimine Linuxis
Sissejuhatus mängu Civilization 6 on kaasaegne kontseptsioon, mis tutvustati Age of Empires mängude sarjas. Idee oli üsna lihtne; alustaksite kõige põ...