Kaip nustatyti „SELinux“ politiką

Viena pagrindinių priežasčių, kodėl žmonės renkasi „Linux“, yra jos siūlomas saugumas. Štai kodėl „Linux“ rasite serveriuose ir profesionaliose darbo vietose. „SELinux“ yra viena iš tokių „Linux“ saugumo funkcijų. Tai gana ilgą laiką buvo standartinio „Linux“ branduolio dalis, o bet kuris šiuolaikinis platintojas turi „SELinux“ palaikymą.

Yra keli skirtingi SELinux veikimo būdai. Tai apibrėžia SELinux politika. Šiame vadove sužinosite daugiau apie „SELinux“ strategijas ir kaip nustatyti politiką sistemoje „SELinux“.

„SELinux“ politikos apžvalga

Greitai apžvelkime „SELinux“ ir jos politiką. „SELinux“ yra „Saugumo patobulintos„ Linux “akronimas.„Jį sudaro„ Linux “branduolio saugos pataisų serija. „SELinux“ iš pradžių sukūrė Nacionalinė saugumo agentūra (NSA) ir 2000 m. Išleido atvirojo kodo kūrėjų bendruomenei pagal GPL licenciją. 2003 m. Jis buvo sujungtas su pagrindiniu „Linux“ branduoliu.

„SELinux“ teikia MAC (privalomą prieigos valdymą), o ne numatytąjį DAC (diskrecinį prieigos valdymą). Tai leidžia įgyvendinti tam tikrą saugumo politiką, kurios nebūtų įmanoma įgyvendinti kitaip.

„SELinux“ strategijos yra taisyklių rinkiniai, kuriais vadovaujamasi naudojant „SELinux“ saugos variklį. Politika apibrėžia failų objektų tipus ir procesų domenus. Vaidmenys naudojami ribojant prieigą prie domenų. Vartotojo tapatybė nustato, kokius vaidmenis galima pasiekti.
Yra dvi „SELinux“ strategijos:

• Tikslinė: numatytoji politika. Įgyvendina tikslinių procesų prieigos kontrolę. Procesai vykdomi uždarame domene, kur procesui yra ribota prieiga prie failų. Jei pažeidžiamas uždaras procesas, žala sumažinama. Paslaugų atveju į šias sritis priskiriamos tik konkrečios paslaugos.
• MLS: reiškia daugiapakopį saugumą. Peržiūrėkite „Red Hat“ dokumentaciją apie „SELinux MLS“ politiką.

Netaikomi procesai bus vykdomi neuždarytame domene. Procesai, vykdomi neuždarytuose domenuose, turi beveik visišką prieigą. Jei toks procesas pažeistas, „SELinux“ nesiūlo jokių kliūčių. Užpuolikas gali gauti prieigą prie visos sistemos ir išteklių. Tačiau DAC taisyklės vis dar taikomos neuždaromiems domenams.
Toliau pateikiamas trumpas neuždarytų domenų pavyzdžių sąrašas:

• initrc_t domenas: init programos
• branduolio_t domenas: branduolio procesai
• unconfined_t domain: vartotojai prisijungė prie „Linux“ sistemos

„SELinux“ politikos keitimas

Šie pavyzdžiai pateikiami „CentOS 8“. Visos šio straipsnio komandos vykdomos kaip pagrindinis vartotojas. Jei norite sužinoti apie kitus skyrelius, patikrinkite atitinkamą mokymo programą, kaip įgalinti „SELinux“.
Norėdami pakeisti „SELinux“ politiką, pirmiausia patikrinkite „SELinux“ būseną. Numatytoji būsena turėtų būti „SELinux“ įjungta „vykdymo“ režimu su „tiksline“ politika.

$ sestatus

Norėdami pakeisti „SELinux“ strategiją, atidarykite „SELinux“ konfigūracijos failą mėgstamiausiame teksto rengyklėje.

$ vim / etc / selinux / config

Čia mūsų tikslas yra kintamasis „SELINUXTYPE“, apibrėžiantis SELinux politiką. Kaip matote, numatytoji reikšmė yra „nukreipta.“

Visi šiame pavyzdyje parodyti veiksmai atliekami „CentOS 8“. „CentOS“ atveju MLS politika nėra įdiegta pagal numatytuosius nustatymus. Tikėtina, kad taip bus ir kituose rajonuose. Sužinokite, kaip konfigūruoti „SELinux“ „Ubuntu“ čia. Pirmiausia būtinai įdiekite programą. „Ubuntu“, „CentOS“, „openSUSE“, „Fedora“, „Debian“ ir kt. Atveju paketo pavadinimas yra „selinux-policy-mls“.“

$ dnf įdiekite selinux-policy-mls

Tokiu atveju pakeisime politiką į MLS. Atitinkamai pakeiskite kintamojo vertę.

$ SELINUXTYPE = mls

Išsaugokite failą ir išeikite iš redaktoriaus. Norėdami įgyvendinti šiuos pakeitimus, turite iš naujo paleisti sistemą.

$ perkrauti

Patikrinkite pakeitimą išduodami šiuos dokumentus.

$ sestatus

SELinux režimų keitimas

„SELinux“ gali veikti trimis skirtingais režimais. Šie režimai nustato, kaip vykdoma politika.

• Vykdoma: visi veiksmai prieš politiką užblokuojami ir apie juos pranešama audito žurnale.
• Leidžiantis: apie bet kokius veiksmus prieš politiką pranešama tik audito žurnale.
• Išjungta: „SELinux“ išjungtas.

Norėdami laikinai pakeisti „SELinux“ režimą, naudokite komandą „setenforce“. Jei sistema bus paleista iš naujo, sistema grįš į numatytąjį nustatymą.

$ setenforce vykdymas

$ nustatyta priverstinė

Norėdami visam laikui pakeisti „SELinux“ režimą, turite pakoreguoti „SELinux“ konfigūracijos failą.

$ vim / etc / selinux / config

Išsaugokite ir uždarykite redaktorių. Perkraukite sistemą, kad pakeitimai įsigaliotų.
Pakeitimą galite patikrinti naudodami komandą sestatus.

$ sestatus

Išvada

„SELinux“ yra galingas saugumo užtikrinimo mechanizmas. Tikimės, kad šis vadovas padėjo sužinoti, kaip konfigūruoti ir valdyti „SELinux“ elgseną.
Laimingo skaičiavimo!