Phenquestions
Enne alustamist peate õppima järgmisi mõisteid:
Teemad: protsesside või kasutajatega.
Objektid: failid või failisüsteemid.
Tüübi jõustamine: SELinuxis on kõigil subjektidel ja objektidel tüübi identifikaator, mis lõpeb tähega _t. "Tüübikinnitus on mõte, et kohustuslikus juurdepääsukontrollisüsteemis reguleeritakse juurdepääsu kliirensiga, mis põhineb subjekti-juurdepääsu-objekti reeglistikul.
SELinuxis rakendatakse tüübi jõustamine subjektide ja objektide siltide põhjal. SELinuxil pole iseenesest reegleid, mis seda ütleksid / bin / bash saab täita / bin / ls. Selle asemel on sellel reeglid, mis sarnanevad järgmisega: „Protsessid sildiga user_t saavad käivitada tavalisi faile sildiga bin_t.”(Allikas https: // wiki.gentoo.org / wiki / SELinux / Type_enforcement)
Diskreetsed juurdepääsu kontrollid (DAC): DAC on omandiõiguste ja lubade süsteem, mida kasutame Linuxis objektidele, näiteks failidele või kataloogidele, juurdepääsu haldamiseks. Diskreetsel juurdepääsukontrollil pole midagi pistmist SELinuxiga ja see on erinev turvakiht. DAC-i kohta lisateabe saamiseks külastage Linuxi õiguste selgitust.
Kohustuslik juurdepääsu kontroll (MAC): on juurdepääsukontrolli tüüp, mis piirab subjektide juurdepääsu objektidega suhtlemisele. Vastupidiselt DAC-ile ei saa MAC-i kasutajad reegleid muuta.
Subjektidel ja objektidel on turvakontekst (turbeatribuudid), mida jälgib SELinux ja mida hallatakse vastavalt rakendatavate reeglitega loodud turvapoliitikat.
Rollipõhine juurdepääsu kontroll (RBAC): on rollidel põhinev juurdepääsukontrolli tüüp, seda saab kombineerida nii MAC-i kui ka DAC-iga. RBAC-reeglid muudavad paljude kasutajate haldamise organisatsioonis lihtsaks, erinevalt DAC-ist, mis võib tuleneda üksikute lubade määramistest, see muudab auditeerimise, seadistamise ja poliitika värskendamise lihtsamaks.
Täitmisrežiim: SELinux piirab subjektide juurdepääsu objektidele poliitikate põhjal.
Lubav režiim: SELinux logib ainult ebaseadusliku tegevuse.
SELinuksi funktsioonide hulka kuuluvad (Vikipeedia loend):
- Poliitika puhas eraldamine jõustamisest
- Hästi määratletud poliitika liidesed
- Toetus rakendustele, mis pärivad poliitikat ja rakendavad juurdepääsu kontrolli (näiteks, võru töötab õiges kontekstis)
- Konkreetsete poliitikate ja poliitikakeelte sõltumatus
- Konkreetsete turvasiltide vormingute ja sisu sõltumatus
- Kerneli objektide ja teenuste individuaalsed sildid ja juhtelemendid
- Toetus poliitikamuudatustele
- Eraldi meetmed süsteemi terviklikkuse (domeenitüüp) ja andmete konfidentsiaalsuse (mitmetasandiline turvalisus)
- Paindlik poliitika
- Kontrollib protsessi initsialiseerimist ja pärimist ning programmi täitmist
- Juhib failisüsteeme, katalooge, faile ja avamist failide kirjeldajad
- Juhtib pistikupesade, sõnumite ja võrguliideste üle
- Võimaluste kasutamise kontroll
- Vahemällu salvestatud teave juurdepääsuotsuste kohta juurdepääsuvektori vahemälu (AVC) kaudu
- Vaikimisi-eita poliitika (kõik eeskirjades selgesõnaliselt määratlemata on keelatud).
Allikas: https: // et.vikipeedia.org / wiki / Security-Enhanced_Linux # Funktsioonid
Märge: SELinuksi ja passwdi kasutajad on erinevad.
SELinuksi seadistamine Debian 10 Busteris
Minu puhul keelati SELinux Debian 10 Busteris. SELinuksi lubamine on üks põhilisi samme Linuxi seadme turvalisuse tagamiseks. Seadmes oleva SELinuksi oleku teadmiseks käivitage käsk:
/ # sestatus
Leidsin, et SELinux on keelatud, selle lubamiseks peate installima mõned paketid enne, pärast apt värskendus, käivitage käsk:
/ # apt install selinux-basics selinux-policy-default
Soovi korral vajutage Y installiprotsessi jätkamiseks. Jookse apt värskendus pärast installi lõpetamist.
SELinuksi lubamiseks käivitage järgmine käsk:
/ # selinux-activate
Nagu näete, oli SELinux õigesti aktiveeritud. Kõigi muudatuste rakendamiseks peate oma süsteemi taaskäivitama vastavalt juhistele.
Käsku getenforce saab kasutada SELinuksi oleku õppimiseks, kui see on lubavas või jõustamisrežiimis:
/ # getenforce
Lubava režiimi võiks asendada parameetri seadistamisega 1 (lubav on 0). Konfiguratsioonifaili režiimi saate kontrollida ka käsu abil vähem:
/ # vähem / etc / selinux / config
Väljund:
Nagu näete, näitavad konfiguratsioonifailid lubavat režiimi. Vajutage Q loobuda.
Faili või protsessi turvakonteksti nägemiseks võite kasutada lippu -Z:
/ # ls -Z
Sildi formaat on kasutaja: roll: tüüp: tase.
semanage - SELinuksi poliitika haldamise tööriist
semanage on SELinuksi poliitika haldamise tööriist. See võimaldab hallata tõevarusid (mis võimaldavad protsessi käigus muuta), kasutajarolle ja tasemeid, võrguliideseid, poliitikamooduleid ja muud. Haldus võimaldab konfigureerida SELinuksi poliitikaid ilma allikaid koostamata. Semanage võimaldab OS-i ja SELinuksi kasutajate ning teatud objektide turvakontekstide vahelist seost.
Semanage'i kohta lisateabe saamiseks külastage man lehte aadressil: https: // linux.surema.võrk / inimene / 8 / semanage
Järeldus ja märkused
SELinux on täiendav viis juurdepääsu haldamiseks protsessidest süsteemiressurssidele nagu failid, partitsioonid, kataloogid jne. See võimaldab hallata suuri privileege vastavalt rollile, tasemele või tüübile. Selle lubamine on turvameetmena kohustuslik ja selle kasutamisel on oluline meeles pidada selle turbekihti ja pärast selle lubamist või keelamist süsteemi taaskäivitada (keelamine pole soovitatav, välja arvatud konkreetsete testide puhul). Mõnikord blokeeritakse failile juurdepääs hoolimata süsteemist või antakse OS-i õigused, kuna SELinux keelab selle.
Loodetavasti leidsite selle artikli SELinuxis selle turvalahenduse sissejuhatusena kasulikuks. Järgige LinuxHinti, et saada rohkem näpunäiteid ja värskendusi Linuxi ja võrgu loomiseks.
Seotud artiklid:
- SELinux Ubuntu õpetuses
- Kuidas keelata SELinux Linux CentOS 7-s
- Linuxi turvalisuse karastamise kontroll-loend
- AppArmori profiilid Ubuntu
