SELinux

SELinux Ubuntu apmācībā

SELinux Ubuntu apmācībā

Ievads

SELinux ir obligāts piekļuves kontroles (MAC) modulis, kas atrodas Linux sistēmu kodola līmenī. Tas ir Redhat un NSA kopīgs izstrādājums, kas izlaists ap 1998. gadu un kuru joprojām uztur entuziastu kopiena. Pēc noklusējuma Ubuntu izmanto AppArmor, nevis SeLinux, kas ir līdzīgs veiktspējas ziņā, bet drīzāk populārs vienkāršības ziņā. Tomēr ir zināms, ka SeLinux ir diezgan drošs, pateicoties valdības aģentūras iesaistei. SELinux ir atvērtā koda lietojumprogramma, kas aizsargā resursdatoru, izolējot katru lietojumprogrammu un ierobežojot tās darbības. Pēc noklusējuma procesiem nav atļauts veikt nekādas darbības, ja vien nav piešķirta skaidra atļauja. Modulis nodrošina divus globālā līmeņa pārvaldības noteikumus: atļaujošs un izpildošs, kas attiecīgi reģistrē katru pārkāpto kārtulu un liedz piekļuvi konkrētam pieprasījumam, kas nosūtīts no procesa. Šī apmācība parāda, kā to viegli izmantot Ubuntu.

Kā instalēt un iespējot

SeLinux ir ļoti sarežģīta instalējama lietojumprogramma, jo, ja tā nav pareizi konfigurēta pirms pirmās pārstartēšanas, tā padarīs visu operētājsistēmu nedarbināmu.

Kā jau minēts iepriekš, Ubuntu jau ir sarežģīta augsta līmeņa obligāta piekļuves kontroles sistēma, kas pazīstama kā AppArmor, un tāpēc tā ir jāatspējo pirms SeLinux instalēšanas, lai izvairītos no jebkādiem konfliktiem. Izmantojiet šīs instrukcijas, lai atspējotu AppArmor un iespējotu SeLinux.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'iestatiet SELINUX uz visatļautību, SELINUXTYPE pēc noklusējuma' reboot

Lai veiktu izmaiņas, šo faila konfigurāciju var atvērt ar jebkuru teksta redaktoru. Iemesls atļautas kārtulas piešķiršanai SETLINUX padara operētājsistēmas pieejamību, vienlaikus atstājot iespējotu SeLinux. Ir ļoti ieteicams izmantot visatļautības iespēju, jo tā nav apgrūtināta, taču reģistrē pārkāptos noteikumus, kas noteikti SeLinux.

Pieejamās opcijas

SELinux ir sarežģīts un visaptverošs modulis; tāpēc tajā ir daudz funkciju un iespēju. Tas nozīmē, ka lielākā daļa no šīm iespējām var nebūt noderīgas visiem to eksotiskā rakstura dēļ. Šīs moduļa galvenās un noderīgās iespējas ir šādas. Tie ir vairāk nekā pietiekami, lai SELinux palaistu un darbotos.

Pārbaudiet statusu:  SELinux statusu var pārbaudīt tieši caur termināla logu, kurā parādīta pamatinformācija, piemēram, vai SeLinux ir iespējots, SELinux saknes direktorijs, ielādētās politikas nosaukums, pašreizējais režīms utt.  Pēc sistēmas pārstartēšanas pēc SeLinux instalēšanas izmantojiet šo komandu kā root lietotāju ar sudo komandu. Ja statusa sadaļā ir norādīts, ka SeLinux ir iespējots, tas nozīmē, ka tas darbojas un darbojas fonā.

[aizsargāts pa e-pastu]: / home / dondilanga # sestatus

Mainīt globālo atļauju līmeni: Vispārējā atļauju līmenī ir norādīts, kā SELinux izturas, paklūpot uz kārtulas. Pēc noklusējuma SeLinux izvēlas izpildi, kas faktiski bloķē visus pieprasījumus, bet to var mainīt uz visatļautību, kas ir mazliet saudzīgs pret lietotāju, jo tas ļauj piekļūt, bet reģistrē visus pārkāptos noteikumus savā žurnāla failā.

nano / etc / selinux / config 'iestatiet SELINUX uz visatļautību vai izpildi, SELINUXTYPE uz noklusējumu'

Pārbaudiet žurnāla failu: Žurnāla fails, kurā katrā pieprasījumā ir norādīti pārkāptie noteikumi.  Tas saglabā žurnālus tikai tad, ja ir iespējota SeLinux.

grep selinux / var / log / audit / audit.žurnāls

Iespējojiet un atspējojiet politikas un to piedāvātos aizsardzības veidus: Šī ir viena no vissvarīgākajām SeLinux iespējām, jo ​​tā ļauj iespējot un atspējot politikas. SeLinux ir daudz iepriekš izveidotu politiku, kas nosaka, vai norādītais pieprasījums ir atļauts. Daži no piemēriem ir allow_ftpd_full_access, kas nosaka FTP pakalpojuma spēju pieteikties vietējiem lietotājiem un lasīt visu sistēmas failu ierakstīšanu, allow_ssh_keysign, kas ļauj atslēgas izmantot, piesakoties SSH, allow_user_mysql_connect, kas ļauj lietotājiem izveidot savienojumu ar mysql , httpd_can_sendmail, kas nosaka HTTP pakalpojuma spēju nosūtīt e-pastu utt. Šajā koda piemērā tā instalē policycoreutils-python-utils, kas faktiski palīdz aprakstīt katru politiku aprakstošā veidā, pēc tam tiek uzskaitītas visas pieejamās politikas terminālim , visbeidzot, tajā ir mācīts, kā iestatīt vai izslēgt politiku. allow_ftpd_full_access ir politikas nosaukums, kā parādīts terminālā, ko atdod semanage,

apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON

Pielāgota opcija

Papildu opcijas ir opcijas, kas palīdz paplašināt SELInux funkcionalitāti. SeLinux visaptverošā rakstura dēļ pastāv ārkārtīgi daudz kombināciju, tāpēc šajā rakstā ir uzskaitīti daži no ievērojamākajiem un noderīgākajiem.

Uz lomu balstīta piekļuves kontrole (RBAC): RBAC ļauj administratoriem pāriet uz lomu balstītu veidu, lai ierobežotu lietojumprogrammu atļaujas. Tas nozīmē, ka konkrētas lietotāju grupas lietotājam ir atļauts veikt vai veikt noteiktas iepriekš definētas darbības. Kamēr lietotājs ir daļa no lomas, tas ir labi. Tas ir tas pats, kas pārslēgties uz root, instalējot lietojumprogrammas Linux ar administratīvām tiesībām.

semanage login - -s 'myrole' -r 's0-s0: c0.c1023 '

Lietotāji var mainīt savu lomu ar šādu komandu.

sudo -r new_role_r -i

Lietotāji var arī attālināti izveidot savienojumu ar serveri, izmantojot SSH, startēšanas laikā iespējojot lomu.

ssh / [e-pasts aizsargāts]

Atļaut dienestam klausīties nestandarta portu: Tas ir diezgan noderīgi pakalpojuma pielāgošanā, piemēram, ja FTP ports tiek mainīts uz nestandarta portālu, lai izvairītos no nesankcionētas piekļuves, ir attiecīgi jāinformē SELinux, lai ļautu šādām portiem iziet cauri un darboties kā parasti. Šis piemērs ļauj FTP portam klausīties 992 portu. Tāpat arī jebkurš pakalpojums, ko atgriezis semanage osta -l var aizstāt.  Dažas no populārajām ostām ir http_port_t, pop_port_t, ssh_port_t.

semanage osta -a -t    semanage ports -a -t ftp_port_t -p tcp 992

Kā atspējot

SELinux atspējošana ir vienkāršāka, jo tā ir iespējota un instalēta. Būtībā ir divi veidi, kā to atspējot. Vai nu uz laiku, vai uz visiem laikiem. Atspējojot pagaidu SeLinux, tas uz laiku tiek atspējots līdz nākamajai sāknēšanai, un tiklīdz dators atkal tiek ieslēgts, stāvoklis tiek restartēts. No otras puses, SeLinux pastāvīgā atspējošana to pilnībā izslēdz, pakļaujot to draudiem; tāpēc ir gudra izvēle atjaunot Ubuntu noklusējuma AppArmor vismaz sistēmas drošības labad.

Šī komanda terminālā to īslaicīgi izslēdz:

setenforce 0

Lai neatgriezeniski atspējotu rediģēšanu / etc / selinux / config un iestatiet SELINUX uz atspējotu.

Spēles 10 labākās spēles, kuras spēlēt Ubuntu
10 labākās spēles, kuras spēlēt Ubuntu
Windows platforma ir bijusi viena no dominējošajām spēļu platformām, jo ​​mūsdienās tiek attīstīts milzīgs spēļu skaits, lai atbalstītu Windows. Vai k...
Spēles 5 labākās arkādes spēles Linux
5 labākās arkādes spēles Linux
Mūsdienās datori ir nopietnas mašīnas, kuras izmanto spēlēšanai. Ja jūs nevarat iegūt jauno augsto rezultātu, jūs zināt, ko es domāju. Šajā ierakstā j...
Spēles Cīņa par Vesnotu 1.13.6 Izlaista attīstība
Cīņa par Vesnotu 1.13.6 Izlaista attīstība
Cīņa par Vesnotu 1.13.6 izlaists pagājušajā mēnesī, ir sestais izstrādes izlaidums 1.13.x sērija un tā nodrošina vairākus uzlabojumus, īpaši lietotāja...