SELinux

Výukový program pre SELinux na Ubuntu

Výukový program pre SELinux na Ubuntu

Úvod

SELinux je modul povinného riadenia prístupu (MAC), ktorý sa nachádza na úrovni jadra systémov linux. Je to spoločný vývoj Redhat a NSA, ktorý bol uvedený na trh okolo roku 1998 a stále ho udržiava komunita nadšencov. V predvolenom nastavení používa Ubuntu AppArmor a nie SeLinux, ktorý je podobný z hľadiska výkonu, ale skôr populárny z hľadiska jednoduchosti. Je však známe, že SeLinux je vďaka zapojeniu vládnej agentúry celkom bezpečný. SELinux je aplikácia s otvoreným zdrojovým kódom, ktorá chráni hostiteľa izolovaním každej aplikácie a obmedzením jej činnosti. V predvolenom nastavení sú procesy blokované v uskutočňovaní akýchkoľvek aktivít, pokiaľ nie je udelené výslovné povolenie. Modul natívne poskytuje dve pravidlá správy na globálnej úrovni: Permissive a Enforcing, ktoré protokolovajú každé porušené pravidlo a zakazujú prístup k konkrétnej požiadavke odoslanej z procesu. Tento tutoriál ukazuje, ako ho ľahko používať v Ubuntu.

Ako nainštalovať a povoliť

Inštalácia SeLinuxu je veľmi zložitá aplikácia, pretože ak nie je správne nakonfigurovaná pred prvým reštartom, spôsobí, že sa celý operačný systém nebude dať spustiť, čo znamená, že čokoľvek nad rámec úvodnej obrazovky zavádzania bude bežnými prostriedkami prakticky nedosiahnuteľné.

Ako už bolo uvedené skôr, Ubuntu už má prepracovaný systém povinného riadenia prístupu na vysokej úrovni známy ako AppArmor, a preto musí byť pred inštaláciou SeLinuxu deaktivovaný, aby nedochádzalo ku konfliktom. Podľa nasledujúcich pokynov zakážte AppArmor a Enable SeLinux.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'nastaviť SELINUX na tolerantný, SELINUXTYPE na predvolený' reštartovať

Túto konfiguráciu súborov je možné otvoriť pomocou ľubovoľného textového editora a vykonať zmeny. Dôvodom priradenia permisívneho pravidla k SETLINUXU je sprístupnenie operačného systému pri ponechaní SeLinuxu povoleného. Dôrazne sa odporúča použiť tolerantnú možnosť, pretože je bezproblémová, ale zaznamenáva porušené pravidlá stanovené v SeLinuxe.

Dostupné možnosti

SELinux je komplexný a komplexný modul; preto obsahuje veľa funkcií a možností. To znamená, že väčšina z týchto možností nemusí byť pre svoju exotickú povahu užitočná pre všetkých. Nasledujúce možnosti sú niektoré zo základných a užitočných možností v tomto module. Sú viac než dosť na to, aby SELinux fungoval.

Skontrolujte stav:  Stav SELinuxu je možné skontrolovať priamo cez okno terminálu, ktoré zobrazuje základné informácie, ako napríklad to, či je povolený SeLinux, koreňový adresár SELinux, načítaný názov politiky, aktuálny režim atď.  Po reštartovaní systému po inštalácii SeLinuxu použite nasledujúci príkaz ako užívateľ root s príkazom sudo. Ak sa v stavovej časti uvádza, že je SeLinux povolený, znamená to, že je spustený na pozadí.

[chránené e-mailom]: / home / dondilanga # sestatus

Zmeňte globálnu úroveň povolení: Úroveň globálneho povolenia uvádza, ako sa chová SELinux, keď narazí na pravidlo. V predvolenom nastavení sa SeLinux nastavuje na vynucovanie, ktoré efektívne blokuje všetky požiadavky, ale je možné ho zmeniť na tolerantné, čo je voči používateľovi trochu zhovievavé, pretože umožňuje prístup, ale zaznamená všetky porušené pravidlá do svojho denníka.

nano / etc / selinux / config 'nastaviť SELINUX na tolerantný alebo vynútiteľný, SELINUXTYPE na predvolený'

Skontrolujte súbor protokolu: Protokol, v ktorom sú uvedené porušené pravidlá pri každej žiadosti.  Toto uchová protokoly iba v prípade, že je povolený SeLinux.

grep selinux / var / log / audit / audit.log

Povoliť a zakázať pravidlá a aké ochrany ponúkajú: Toto je jedna z najdôležitejších možností v SeLinuxe, pretože umožňuje zapnúť alebo vypnúť politiky. SeLinux má veľké množstvo vopred pripravených politík, ktoré určujú, či je zadaná požiadavka povolená alebo nie. Príkladom toho je allow_ftpd_full_access, ktorý určuje schopnosť služby FTP prihlásiť sa k miestnym používateľom a čítať a zapisovať všetky súbory v systéme, allow_ssh_keysign, ktorá umožňuje použitie klávesov pri prihlásení do SSH, allow_user_mysql_connect, ktorá umožňuje používateľom pripojiť sa k mysql , httpd_can_sendmail, ktorá určuje schopnosť služby HTTP posielať e-maily atď ... V nasledujúcom príklade kódu nainštaluje policycoreutils-python-utils, čo vlastne pomáha pri vypisovaní každej politiky popisným spôsobom, ďalej vypíše všetky dostupné politiky pre terminál , nakoniec to naučí, ako zapnúť alebo vypnúť politiku, allow_ftpd_full_access je názov politiky, ako je uvedené v termináli vrátenom semanage,

apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON

Pokročilé nastavenia

Pokročilé možnosti sú možnosti, ktoré pomáhajú pri rozširovaní funkcií v aplikácii SELInux. Kvôli komplexnej povahe SeLinuxu existuje obrovské množstvo kombinácií, preto tento článok uvádza niektoré z významných a užitočných z nich.

Role Based Access Control (RBAC): RBAC umožňuje správcom prepnúť na spôsob založený na role, aby obmedzili povolenie aplikácií. Čo to znamená, že používateľ konkrétnej skupiny používateľov môže vykonávať alebo vykonávať určité preddefinované akcie. Pokiaľ je používateľ súčasťou role, je to v poriadku. To je to isté ako prepnutie na root pri inštalácii aplikácií v systéme Linux s administrátorskými právami.

semanage login -a -s 'myrole' -r 's0-s0: c0.c1023 '

Používatelia môžu zmeniť svoju rolu pomocou nasledujúceho príkazu.

sudo -r new_role_r -i

Používatelia sa tiež môžu vzdialene pripojiť k serveru pomocou protokolu SSH s rolou povolenou pri spustení.

ssh / [chránené e-mailom]

Povoliť službe počúvať neštandardný port: Je to celkom užitočné pri prispôsobovaní služby, napríklad keď sa zmení port FTP na neštandardný, aby sa zabránilo neoprávneným prístupom, musí byť SELinux zodpovedajúcim spôsobom informovaný, aby umožnil týmto portom prechádzať a fungovať ako obvykle. Nasledujúci príklad umožňuje portu FTP načúvať portu 992. Rovnako tak každá služba vrátená používateľom semanage port -l možno vymeniť.  Niektoré z populárnych portov sú http_port_t, pop_port_t, ssh_port_t.

semanage port -a -t    semanage port -a -t ftp_port_t -p tcp 992

Ako zakázať

Zakázanie SELinuxu je jednoduchšie, pretože je povolené a nainštalované. V zásade existujú dva spôsoby deaktivácie. Buď dočasne, alebo natrvalo. Deaktivácia dočasného SeLinuxu spôsobí, že sa na chvíľu deaktivuje až do nasledujúceho zavedenia a hneď po opätovnom zapnutí počítača sa stav reštartuje. Na druhej strane trvalé vypnutie SeLinuxu ho vypne a úplne ho vystaví hrozbám; z tohto dôvodu je rozumnou voľbou obnovenie predvoleného nastavenia AppArmor v Ubuntu aspoň z dôvodu bezpečnosti systému.

Nasledujúci príkaz na termináli ho dočasne vypne:

nasadenie 0

Trvalo deaktivovaná úprava / etc / selinux / config a nastavte SELINUX na vypnutý.

Myš WinMouse vám umožňuje prispôsobiť a vylepšiť pohyb ukazovateľa myši na počítači so systémom Windows
WinMouse vám umožňuje prispôsobiť a vylepšiť pohyb ukazovateľa myši na počítači so systémom Windows
Ak chcete vylepšiť predvolené funkcie kurzora myši, použite freeware WinMouse. Pridáva ďalšie funkcie, ktoré vám pomôžu vyťažiť zo svojej skromnej myš...
Myš Tlačidlo ľavého kliknutia myši nefunguje v systéme Windows 10
Tlačidlo ľavého kliknutia myši nefunguje v systéme Windows 10
Ak používate samostatnú myš s prenosným počítačom alebo stolovým počítačom, ale nefunguje ľavé tlačidlo myši vo Windows 10/8/7 z nejakého dôvodu uvádz...
Myš Kurzor pri písaní v systéme Windows 10 skáče alebo sa pohybuje náhodne
Kurzor pri písaní v systéme Windows 10 skáče alebo sa pohybuje náhodne
Ak zistíte, že kurzor myši skáče alebo sa pohybuje sám, automaticky a náhodne pri písaní na notebooku alebo počítači so systémom Windows, niektoré z t...