SELinux

SELinux v vadnici Ubuntu

SELinux v vadnici Ubuntu

Uvod

SELinux je obvezni modul za nadzor dostopa (MAC), ki se nahaja na ravni jedra sistemov Linux. Gre za skupni razvoj Redhata in NSA, izdan okoli leta 1998, ki ga še vedno vzdržuje skupnost navdušencev. Privzeto Ubuntu uporablja AppArmor in ne SeLinux, ki je po zmogljivosti podoben, a po enostavnosti precej priljubljen. Znano pa je, da je SeLinux zaradi sodelovanja vladne agencije precej varen. SELinux je odprtokodna aplikacija, ki gostitelja ščiti z izolacijo vsake aplikacije in omejevanjem njenih dejavnosti. Procesom je privzeto onemogočeno izvajanje kakršnih koli dejavnosti, razen če je izrecno dovoljeno. Modul izvorno ponuja dve pravili upravljanja na globalni ravni: Permissive in Enforcing, ki zabeleži vsako kršeno pravilo in zavrne dostop do določene zahteve, poslane iz procesa. Ta vadnica prikazuje, kako jo lahko enostavno uporabljate v Ubuntuju.

Kako namestiti in omogočiti

SeLinux je zelo zapletena aplikacija za namestitev, ker če pred prvim ponovnim zagonom ni pravilno konfigurirana, bo celoten operacijski sistem neobnovljiv, kar pomeni, da vse, kar je zunaj začetnega zagonskega zaslona, ​​z običajnimi sredstvi praktično ni dosegljivo.

Kot smo že omenili, ima Ubuntu že izpopolnjen sistem obveznega nadzora dostopa na visoki ravni, znan kot AppArmor, zato ga je treba pred namestitvijo SeLinuxa onemogočiti, da ne pride do konfliktov. Uporabite naslednja navodila, da onemogočite AppArmor in omogočite SeLinux.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'nastavite SELINUX na permisive, SELINUXTYPE na privzeti' reboot

To datotečno konfiguracijo lahko odprete s katerim koli urejevalnikom besedila za spremembe. Razlog za dodelitev dovoljenega pravila za SETLINUX je omogočanje dostopnosti operacijskega sistema in omogočanje SeLinuxa. Zelo priporočljivo je, da uporabite permisivno možnost, saj je brez težav, vendar beleži kršena pravila, določena v SeLinux.

Razpoložljive možnosti

SELinux je kompleksen in celovit modul; zato vsebuje veliko funkcij in možnosti. Kot rečeno, večina teh možnosti zaradi svoje eksotične narave morda ni koristna za vse. Naslednje možnosti so nekatere osnovne in uporabne možnosti v tem modulu. So več kot dovolj, da SELinux začne delovati.

Preverite stanje:  Stanje SELinuxa lahko preverite neposredno v terminalskem oknu, ki prikazuje osnovne informacije, na primer, ali je SeLinux omogočen, korenski imenik SELinux, naloženo ime pravilnika, trenutni način itd.  Po ponovnem zagonu sistema po namestitvi SeLinuxa uporabite naslednji ukaz kot korenski uporabnik z ukazom sudo. Če v odseku stanja piše, da je SeLinux omogočen, to pomeni, da deluje v ozadju.

[e-pošta zaščitena]: / home / dondilanga # sestatus

Spremenite globalno raven dovoljenj: Globalna raven dovoljenj navaja, kako se obnaša SELinux, ko naleti na pravilo. SeLinux se privzeto nastavi na uveljavljanje, ki učinkovito blokira vse zahteve, vendar ga je mogoče spremeniti v permisivno, kar je do uporabnika prizanesljivo, saj omogoča dostop, vendar kršena pravila zabeleži v svojo dnevniško datoteko.

nano / etc / selinux / config 'nastavite SELINUX na permisivno ali uveljavljanje, SELINUXTYPE na privzeto'

Preverite dnevniško datoteko: Datoteka dnevnika, v kateri so navedena kršena pravila z vsako zahtevo.  To vodi dnevnike le, če je omogočen SeLinux.

grep selinux / var / log / audit / audit.log

Omogočanje in onemogočanje pravilnikov in zaščit, ki jih ponujajo: To je ena najpomembnejših možnosti v programu SeLinux, saj omogoča omogočanje in onemogočanje pravilnikov. SeLinux ima veliko vnaprej izdelanih pravilnikov, ki določajo, ali je navedena zahteva dovoljena ali ne. Nekateri primeri tega so allow_ftpd_full_access, ki določa zmožnost storitve FTP, da se prijavi lokalnim uporabnikom in prebere zapisovanje vseh datotek v sistemu, allow_ssh_keysign, ki omogoča uporabo ključev pri prijavi v SSH, allow_user_mysql_connect, ki uporabnikom omogoča povezavo z mysql , httpd_can_sendmail, ki določa zmožnost storitve HTTP za pošiljanje e-pošte itd ... V naslednjem primeru kode namesti policycoreutils-python-utils, ki dejansko pomaga pri opisnem določanju vsake politike, nato pa našteje vse razpoložljive politike za terminal , končno uči, kako vklopiti ali izklopiti pravilnik, allow_ftpd_full_access je ime pravilnika, kot je prikazano v terminalu, ki ga vrne semanage,

apt-get namestitev policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON

Napredne možnosti

Napredne možnosti so možnosti, ki pomagajo razširiti funkcionalnosti SELInuxa. Zaradi celovite narave SeLinuxa obstaja ogromno kombinacij, zato ta članek našteva nekatere vidne in koristne med njimi.

Nadzor dostopa na podlagi vlog (RBAC): RBAC omogoča skrbnikom, da preklopijo na način, ki temelji na vlogi, da omeji dovoljenje aplikacij. Kaj pomeni, da lahko uporabnik določene uporabniške skupine izvaja ali izvaja določena vnaprej določena dejanja. Dokler je uporabnik del vloge, je v redu. To je enako kot preklop na root pri nameščanju aplikacij v Linux z skrbniškimi pravicami.

semanage prijava -a -s 'myrole' -r 's0-s0: c0.c1023 '

Uporabniki lahko svojo vlogo preklopijo z naslednjim ukazom.

sudo -r new_role_r -i

Uporabniki se lahko tudi strežnik na daljavo povežejo prek SSH z vlogo, omogočeno ob zagonu.

ssh / [e-pošta zaščitena]

Dovoli storitvi, da posluša nestandardna vrata: To je zelo koristno pri prilagajanju storitve, na primer, ko se vrata FTP spremenijo v nestandardna, da bi se izognili nepooblaščenim dostopom, je treba o tem obvestiti SELinux, da omogoči, da ta vrata prehajajo in delujejo kot običajno. Naslednji primer omogoča, da vrata FTP poslušajo vrata 992. Prav tako vsaka storitev, ki jo je vrnil semanage port -l je mogoče zamenjati.  Nekatera priljubljena vrata so http_port_t, pop_port_t, ssh_port_t.

semanage port -a -t    semanage port -a -t ftp_port_t -p tcp 992

Kako onemogočiti

Onemogočiti SELinux je lažje, saj je omogočen in nameščen. V bistvu ga lahko onemogočimo na dva načina. Bodisi začasno bodisi trajno. Če začasno onemogočite SeLinux, ga onemogočite za nekaj časa do naslednjega zagona in takoj, ko se računalnik ponovno vklopi, se stanje znova zažene. Po drugi strani pa trajna onemogočenost SeLinuxa popolnoma izklopi grožnje; zato je pametna izbira obnoviti privzeti AppArmor Ubuntuja vsaj zaradi varnosti sistema.

Naslednji ukaz na terminalu ga začasno izklopi:

setenforce 0

Za trajno onemogočeno urejanje / etc / selinux / config in nastavite SELINUX na onemogočen.

Miška Kazalec skoči ali se naključno premika med tipkanjem v sistemu Windows 10
Kazalec skoči ali se naključno premika med tipkanjem v sistemu Windows 10
Če ugotovite, da kazalec miške med tipkanjem v prenosnem računalniku ali računalniku Windows samodejno, naključno preskakuje ali se premika sam, vam l...
Miška Kako obrniti smer drsenja miške in sledilne ploščice v sistemu Windows 10
Kako obrniti smer drsenja miške in sledilne ploščice v sistemu Windows 10
Miška in Sledilna ploščicaRačunalništvo ni samo enostavno, ampak bolj učinkovito in manj zamudno. Življenja brez teh naprav si ne moremo predstavljati...
Miška Kako spremeniti miškin kazalec in velikost, barvo in shemo kazalca v sistemu Windows 10
Kako spremeniti miškin kazalec in velikost, barvo in shemo kazalca v sistemu Windows 10
Kazalec miške in kazalec v operacijskem sistemu Windows 10 sta zelo pomembna vidika operacijskega sistema. To lahko rečemo tudi za druge operacijske s...