Ir vairāki dažādi veidi, kā SELinux var darboties. To nosaka SELinux politika. Šajā ceļvedī jūs uzzināsiet vairāk par SELinux politikām un to, kā iestatīt politiku SELinux.
SELinux politikas pārskats
Ļaujiet mums ātri pārskatīt SELinux un tā politikas. SELinux ir akronīms vārdam “Linux-Enhanced Linux.”Tas ietver virkni drošības ielāpu Linux kodolam. SELinux sākotnēji izstrādāja Nacionālā drošības aģentūra (NSA), un 2000. gadā to ar GPL licenci izlaida atklātā pirmkoda attīstības kopienai. Tas tika apvienots ar galveno Linux kodolu 2003. gadā.
SELinux nodrošina MAC (Obligāta piekļuves kontrole), nevis noklusējuma DAC (Diskrecionārā piekļuves kontrole). Tas ļauj īstenot dažas drošības politikas, kuras citādi nebūtu iespējams īstenot.
SELinux politikas ir noteikumu kopas, kas vada SELinux drošības dzinēju. Politika nosaka failu objektu un procesu domēnu tipus. Lomas tiek izmantotas, lai ierobežotu piekļuvi domēniem. Lietotāju identitātes nosaka, kādas lomas var sasniegt.
Ir pieejamas divas SELinux politikas:
- Mērķtiecīgi: noklusējuma politika. Īsteno piekļuves kontroli mērķtiecīgiem procesiem. Procesi darbojas ierobežotā domēnā, kur procesam ir ierobežota piekļuve failiem. Ja tiek apdraudēts ierobežots process, kaitējums tiek mazināts. Pakalpojumu gadījumā šajos domēnos tiek ievietoti tikai īpaši pakalpojumi.
- MLS: nozīmē daudzlīmeņu drošību. Pārbaudiet Red Hat dokumentāciju par SELinux MLS politiku.
Procesi, kas nav atlasīti, tiks veikti neierobežotā domēnā. Procesiem, kas darbojas neierobežotos domēnos, ir gandrīz pilnīga piekļuve. Ja šāds process tiek apdraudēts, SELinux nepiedāvā seku mazināšanu. Uzbrucējs var piekļūt visai sistēmai un resursiem. Tomēr DAC noteikumi joprojām tiek piemēroti neierobežotajiem domēniem.
Šis ir īss neierobežotu domēnu piemēru saraksts:
- domēns initrc_t: init programmas
- kodola_t domēns: kodola procesi
- domēns unconfined_t: lietotāji pieteicās Linux sistēmā
SELinux politikas maiņa
CentOS 8 tiek veikti šādi piemēri. Visas šī raksta komandas tiek palaistas kā root lietotājs. Attiecībā uz citiem rajoniem, lūdzu, skatiet atbilstošo apmācību par to, kā iespējot SELinux.
Lai mainītu politiku SELinux, vispirms pārbaudiet SELinux statusu. Noklusējuma statusam jābūt iespējotam SELinux režīmā “Izpilde” ar “Mērķtiecīgu” politiku.
Lai mainītu SELinux politiku, savā iecienītajā teksta redaktorā atveriet SELinux konfigurācijas failu.
Šeit mūsu mērķis ir mainīgais “SELINUXTYPE”, kas nosaka SELinux politiku. Kā redzat, noklusējuma vērtība ir “mērķēta.”
Visas šajā piemērā demonstrētās darbības tiek veiktas CentOS 8. CentOS gadījumā MLS politika netiek instalēta pēc noklusējuma. Tas, visticamāk, notiks arī citos distros. Uzziniet, kā konfigurēt SELinux Ubuntu šeit. Vispirms noteikti instalējiet programmu. Ubuntu, CentOS, openSUSE, Fedora, Debian un citu gadījumā pakotnes nosaukums ir “selinux-policy-mls.”
$ dnf instalējiet selinux-policy-mls
Šajā gadījumā mēs mainīsim politiku uz MLS. Attiecīgi mainiet mainīgā vērtību.
Saglabājiet failu un izejiet no redaktora. Lai šīs izmaiņas stātos spēkā, sistēma jāpārstartē.
$ atsāknēšanaPārbaudiet izmaiņas, izsniedzot šo.
$ sestatusSELinux režīmu maiņa
SELinux var darboties trīs dažādos režīmos. Šie režīmi nosaka, kā politika tiek īstenota.
- Izpildīts: jebkura darbība pret politiku tiek bloķēta un ziņota revīzijas žurnālā.
- Atļauts: jebkura darbība pret politiku tiek ziņota tikai revīzijas žurnālā.
- Atspējots: SELinux ir atspējots.
Lai īslaicīgi mainītu režīmu SELinux, izmantojiet komandu setenforce. Ja sistēma tiek restartēta, sistēma atgriezīsies pie noklusējuma iestatījuma.
$ setenforce Izpilde$ setenforc Permissive
Lai neatgriezeniski mainītu režīmu SELinux, jums jāmaina SELinux konfigurācijas fails.
Saglabājiet un aizveriet redaktoru. Pārstartējiet sistēmu, lai izmaiņas stātos spēkā.
Izmaiņas var pārbaudīt, izmantojot komandu sestatus.
Secinājums
SELinux ir spēcīgs drošības ieviešanas mehānisms. Cerams, ka šī rokasgrāmata palīdzēja jums uzzināt, kā konfigurēt un pārvaldīt SELinux darbību.
Laimīgu skaitļošanu!