Phenquestions
Pred začetkom se morate naučiti naslednjih konceptov:
Predmeti: procesi ali uporabniki.
Predmeti: datotek ali datotečnih sistemov.
Izvršitev tipa: na SELinuxu imajo vsi predmeti in predmeti identifikator tipa, ki se konča z _t. “Izvršitev tipa je misel, da se v obveznem sistemu nadzora dostopa dostop ureja z dovoljenjem na podlagi pravil pravil subjekt-dostop-objekt.
V SELinuxu je izvajanje tipa izvedeno na podlagi oznak predmetov in predmetov. SELinux sam po sebi nima pravil, ki pravijo / bin / bash lahko izvrši / bin / ls. Namesto tega ima pravila, podobna »Procesi z oznako user_t lahko izvajajo običajne datoteke z oznako bin_t.”(Vir https: // wiki.gentoo.org / wiki / SELinux / Type_enforcement)
Diskrecijski nadzor dostopa (DAC): DAC je sistem lastništva in dovoljenj, ki ga v Linuxu uporabljamo za upravljanje dostopa do predmetov, kot so datoteke ali imeniki. Diskrecijski nadzor dostopa nima nič skupnega s SELinuxom in je drugačna zaščitna plast. Za dodatne informacije o DAC obiščite Pojasnjena dovoljenja za Linux.
Obvezna kontrola dostopa (MAC): je vrsta nadzora dostopa, ki subjektom omejuje dostop do interakcije s predmeti. V nasprotju z DAC pri MAC uporabniki ne morejo spreminjati pravilnikov.
Predmeti in predmeti imajo varnostni kontekst (varnostni atributi), ki ga nadzira SELinux in upravlja v skladu z varnostnimi politikami, določenimi s pravili, ki jih je treba uveljaviti.
Nadzor dostopa na podlagi vlog (RBAC): je vrsta nadzora dostopa, ki temelji na vlogah, in se lahko kombinira z MAC in DAC. Politike RBAC olajšajo upravljanje številnih uporabnikov znotraj organizacije v nasprotju z DAC, ki ga lahko izpeljejo v posameznih dodelitvah dovoljenj, olajšajo revizijo, konfiguracijo in posodobitve pravilnikov.
Izvršilni način: SELinux omejuje dostop subjektov do predmetov na podlagi pravilnikov.
Dovoljen način: SELinux beleži samo nezakonite dejavnosti.
Funkcije SELinux vključujejo (seznam Wikipedije):
- Čista ločitev politike od izvrševanja
- Dobro definirani vmesniki politike
- Podpora za aplikacije, ki poizvedujejo po pravilniku in uveljavljajo nadzor dostopa (na primer, crond tekoča opravila v pravilnem kontekstu)
- Neodvisnost posebnih politik in jezikov
- Neodvisnost določenih formatov in vsebin varnostnih nalepk
- Posamezne oznake in kontrolniki za predmete in storitve jedra
- Podpora spremembam politike
- Ločeni ukrepi za zaščito celovitosti sistema (vrsta domene) in zaupnosti podatkov (večstopenjska varnost)
- Prilagodljiva politika
- Nadzor nad inicializacijo in dedovanjem procesov ter izvajanjem programa
- Nadzor nad datotečnimi sistemi, imeniki, datotekami in odprtimi deskriptorji datotek
- Nadzira vtičnice, sporočila in omrežne vmesnike
- Nadzor nad uporabo "zmogljivosti"
- Predpomnjene informacije o odločitvah o dostopu prek Access Vector Cache (AVC)
- Privzeto-zavrni pravilnik (vse, kar v pravilniku ni izrecno določeno, ni dovoljeno).
Vir: https: // en.wikipedia.org / wiki / Security-Enhanced_Linux # Features
Opomba: uporabniki so različni v SELinuxu in passwd.
Nastavitev SELinux na Debian 10 Buster
V mojem primeru je bil SELinux onemogočen v Debian 10 Busterju. Vzdrževanje SELinux-a je eden osnovnih korakov za zaščito naprave Linux. Če želite vedeti stanje SELinux v vaši napravi, zaženite ukaz:
/ # sestatus
Ugotovil sem, da je SELinux onemogočen, da ga omogočite, morate namestiti nekaj paketov pred, po primerna posodobitev, zaženite ukaz:
/ # apt namestite selinux-basics selinux-policy-default
Na zahtevo pritisnite Y za nadaljevanje namestitvenega postopka. Teči primerna posodobitev po končani namestitvi.
Če želite omogočiti SELinux, zaženite naslednji ukaz:
/ # selinux-activate
Kot lahko vidite, je bil SELinux pravilno aktiviran. Če želite uporabiti vse spremembe, morate znova zagnati sistem po navodilih.
Ukaz getenforce se lahko uporablja za učenje stanja SELinux, če je v dovoljenem ali prisilnem načinu:
/ # getenforce
Dovoljen način lahko nadomestimo z nastavitvijo parametra 1 (dovoljeno je 0). Način v konfiguracijski datoteki lahko preverite tudi z ukazom manj:
/ # manj / etc / selinux / config
Izhod:
Kot lahko vidite, konfiguracijske datoteke prikazujejo dovoljen način. Pritisnite V prenehati.
Če si želite ogledati varnostni kontekst datoteke ali procesa, lahko uporabite zastavico -Z:
/ # ls -Z
Oblika nalepke je uporabnik: vloga: vrsta: nivo.
semanage - Orodje za upravljanje politik SELinux
semanage je orodje za upravljanje politik SELinux. Omogoča upravljanje logičnih vrednosti (ki omogočajo spreminjanje procesa v teku), uporabniških vlog in ravni, omrežnih vmesnikov, modulov pravilnikov in še več. Semanage omogoča konfiguriranje pravilnikov SELinux brez potrebe po prevajanju virov. Semanage omogoča povezavo med uporabniki OS in SELinux ter nekaterimi varnostnimi konteksti objektov.
Za dodatne informacije o semanage obiščite man stran na: https: // linux.umreti.net / man / 8 / semanage
Zaključek in opombe
SELinux je dodaten način za upravljanje dostopa od procesov do sistemskih virov, kot so datoteke, particije, imeniki itd. Omogoča upravljanje velikih privilegijev glede na vlogo, raven ali vrsto. Če jo omogočite, je to obvezen varnostni ukrep, pri uporabi pa je pomembno, da si zapomnite njegovo varnostno plast in po ponovnem zagonu sistema omogočite ali onemogočite (onemogočanje sploh ni priporočljivo, razen za posebne teste). Včasih je dostop do datotek blokiran kljub dodelitvi dovoljenj za sistem ali OS, ker ga SELinux prepoveduje.
Upam, da vam je bil ta članek o SELinuxu koristen kot uvod te varnostne rešitve, še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu in omrežjih.
Povezani članki:
- SELinux v vadnici Ubuntu
- Kako onemogočiti SELinux na CentOS 7
- Kontrolni seznam za utrjevanje varnosti Linux
- Profili AppArmor v Ubuntuju
