Existuje niekoľko rôznych spôsobov, ako môže SELinux fungovať. Toto je definované politikou SELinux. V tejto príručke sa dozviete viac o politikách SELinux a o tom, ako nastaviť politiku v SELinuxe.
Prehľad zásad SELinux
Poďme si rýchlo osvojiť SELinux a jeho politiky. SELinux je skratka pre „Security-Enhanced Linux.„Zahŕňa sériu bezpečnostných opráv pre jadro Linuxu. SELinux bol pôvodne vyvinutý Národnou bezpečnostnou agentúrou (NSA) a do vývojovej komunity open-source bol uvedený v roku 2000 pod licenciou GPL. V roku 2003 bolo zlúčené s hlavným jadrom systému Linux.
SELinux poskytuje skôr MAC (povinné riadenie prístupu) ako predvolený DAC (voliteľné riadenie prístupu). To umožňuje implementáciu niektorých bezpečnostných politík, ktoré by nebolo možné implementovať inak.
Politiky SELinux sú súbory pravidiel, ktoré sa riadia bezpečnostným mechanizmom SELinux. Politika definuje typy pre súborové objekty a domény pre procesy. Roly sa používajú na obmedzenie prístupu k doménam. Identity používateľov určujú, aké roly je možné dosiahnuť.
K dispozícii sú dve zásady SELinux:
- Zacielené: predvolené pravidlá. Implementuje riadenie prístupu do cielených procesov. Procesy prebiehajú v obmedzenej doméne, kde má obmedzený prístup k súborom. Ak dôjde k narušeniu obmedzeného procesu, poškodenie sa zmierni. V prípade služieb sa do týchto domén umiestňujú iba konkrétne služby.
- MLS: Znamená viacúrovňové zabezpečenie. Prečítajte si dokumentáciu Red Hat o pravidlách SELinux MLS.
Procesy, ktoré nie sú cielené, budú bežať v neobmedzenej doméne. Procesy bežiace v neobmedzených doménach majú takmer úplný prístup. Ak je takýto proces narušený, SELinux neponúka žiadne zmiernenie. Útočník môže získať prístup k celému systému a zdrojom. Pravidlá DAC však stále platia pre neobmedzené domény.
Nasleduje krátky zoznam príkladov neobmedzených domén:
- doména initrc_t: programy init
- doména kernel_t: procesy jadra
- unconfined_t doména: používatelia prihlásení do systému Linux
Zmena politiky SELinux
Nasledujúce príklady sú uvedené v CentOS 8. Všetky príkazy v tomto článku sa spúšťajú ako používateľ typu root. Pokiaľ ide o ďalšie distribúcie, pozrite si príslušný návod, ako povoliť SELinux.
Ak chcete zmeniť politiku v SELinuxe, začnite kontrolou stavu SELinuxu. Predvolený stav by mal byť SELinux povolený v režime „Vynútenie“ pomocou politiky „cielené“.
Ak chcete zmeniť politiku SELinux, otvorte konfiguračný súbor SELinux vo svojom obľúbenom textovom editore.
Našim cieľom je tu premenná “SELINUXTYPE”, ktorá definuje politiku SELinux. Ako vidíte, predvolená hodnota je „cielená.“
Všetky kroky demonštrované v tomto príklade sa vykonávajú v systéme CentOS 8. V prípade CentOS sa politika MLS štandardne nenainštaluje. To je pravdepodobné aj v prípade iných distribúcií. Tu sa dozviete, ako nakonfigurovať SELinux na Ubuntu. Nezabudnite najskôr nainštalovať program. V prípade Ubuntu, CentOS, openSUSE, Fedora, Debian a ďalších je názov balíčka „selinux-policy-mls.“
$ dnf nainštalujte selinux-policy-mls
V takom prípade zmeníme politiku na MLS. Podľa toho zmeňte hodnotu premennej.
Uložte súbor a ukončite editor. Ak chcete tieto zmeny vykonať, musíte reštartovať systém.
$ reštartOverte zmenu vydaním nasledujúceho.
$ sestatusZmena režimov SELinux
SELinux môže pracovať v troch rôznych režimoch. Tieto režimy určujú, ako sa politika presadzuje.
- Vynútené: akákoľvek akcia proti politike je blokovaná a nahlásená v protokole auditu.
- Prípustné: akákoľvek akcia proti tejto politike sa vykazuje iba v protokole auditu.
- Zakázané: SELinux je zakázaný.
Na dočasnú zmenu režimu v SELinuxe použite príkaz setenforce. Ak sa systém reštartuje, obnoví sa predvolené nastavenie.
$ setenforce Presadzovanie$ setenforced Povolené
Ak chcete natrvalo zmeniť režim v SELinuxe, musíte doladiť konfiguračný súbor SELinux.
Uložte a zatvorte editor. Aby sa zmeny prejavili, reštartujte systém.
Zmenu môžete overiť pomocou príkazu sestatus.
Záver
SELinux je výkonný mechanizmus na presadzovanie bezpečnosti. Dúfajme, že vám tento sprievodca pomohol naučiť sa, ako konfigurovať a spravovať správanie SELinuxu.
Šťastné výpočty!