SELinux

„SELinux“ „Ubuntu“ pamokoje

„SELinux“ „Ubuntu“ pamokoje

Įvadas

„SELinux“ yra privalomas prieigos kontrolės (MAC) modulis, esantis „Linux“ sistemos branduolio lygyje. Tai bendras „Redhat“ ir NSA kūrinys, išleistas maždaug 1998 m. Ir vis dar palaikomas entuziastų bendruomenės. Pagal numatytuosius nustatymus „Ubuntu“ naudoja „AppArmor“, o ne „SeLinux“, kuris yra panašus pagal našumą, bet yra gana populiarus paprastumo požiūriu. Tačiau žinoma, kad SeLinux yra gana saugus dėl vyriausybės agentūros dalyvavimo. „SELinux“ yra atvirojo kodo programa, sauganti pagrindinį kompiuterį, izoliuojant kiekvieną programą ir ribojant jos veiklą. Pagal numatytuosius nustatymus procesams neleidžiama atlikti jokių veiksmų, nebent būtų suteiktas aiškus leidimas. Modulis natūraliai pateikia dvi pasaulinio lygio valdymo taisykles: „Permissive“ ir „Enforcing“, kurios atitinkamai registruoja kiekvieną pažeistą taisyklę ir neleidžia pasiekti konkrečios proceso metu siunčiamos užklausos. Ši pamoka parodo, kaip lengvai ją naudoti „Ubuntu“.

Kaip įdiegti ir įjungti

„SeLinux“ yra labai sudėtinga įdiegti programa, nes jei ji nebus tinkamai sukonfigūruota prieš pirmą perkrovimą, visa operacinė sistema bus paleidžiama, o tai reiškia, kad nieko, kas nėra pradiniame įkrovos ekrane, įprastomis priemonėmis bus beveik nepasiekiama.

Be to, kaip minėta anksčiau, „Ubuntu“ jau turi sudėtingą aukšto lygio privalomą prieigos kontrolės sistemą, vadinamą „AppArmor“, todėl prieš diegiant „SeLinux“ ji turi būti išjungta, kad būtų išvengta konfliktų. Norėdami išjungti „AppArmor“ ir įgalinti „SeLinux“, vadovaukitės šiomis instrukcijomis.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'nustatykite SELINUX kaip leistiną, SELINUXTYPE į numatytąjį' perkraukite

Šią failo konfigūraciją galima atidaryti bet kuriuo teksto redaktoriumi, kad būtų galima atlikti pakeitimus. Priežastis, kodėl SETLINUX priskiriama leistina taisyklė, daro operacinę sistemą prieinamą paliekant įjungtą „SeLinux“. Labai rekomenduojama naudoti leidžiančią parinktį, nes ji be vargo, tačiau registruoja pažeistas taisykles, nustatytas „SeLinux“.

Galimos parinktys

SELinux yra sudėtingas ir išsamus modulis; taigi jame yra daugybė funkcijų ir parinkčių. Beje, dauguma šių variantų gali būti ne visiems naudingi dėl egzotiško pobūdžio. Šios parinktys yra keletas pagrindinių ir naudingų šio modulio parinkčių. Jų yra daugiau nei pakankamai, kad būtų galima paleisti SELinux.

Patikrinkite būseną:  „SELinux“ būseną galima patikrinti tiesiogiai per terminalo langą, kuriame rodoma pagrindinė informacija, pvz., Ar „SeLinux“ įgalinta, „SELinux“ šakninis katalogas, įkeltas politikos pavadinimas, dabartinis režimas ir kt.  Paleidus sistemą iš naujo įdiegus „SeLinux“, naudokite šią komandą kaip root vartotoją su sudo komanda. Jei būsenos skyriuje teigiama, kad „SeLinux“ yra įjungtas, tai reiškia, kad jis veikia ir veikia fone.

[elektroninio pašto apsauga]: / home / dondilanga # sestatus

Pakeiskite visuotinį leidimų lygį: Visuotiniame leidimų lygyje nurodoma, kaip „SELinux“ elgiasi, kai užklysta į taisyklę. Pagal numatytuosius nustatymus „SeLinux“ pasirenka vykdymą, kuris efektyviai blokuoja visas užklausas, tačiau jis gali būti pakeistas į leistiną, kuris yra šiek tiek švelnus vartotojo atžvilgiu, nes leidžia pasiekti, tačiau registruoja visas pažeistas taisykles savo žurnalo faile.

nano / etc / selinux / config „nustatykite SELINUX kaip leidžiančią arba vykdančią, SELINUXTYPE - kaip numatytąją“

Patikrinkite žurnalo failą: Žurnalo failas, kuriame kiekvienoje užklausoje nurodomos pažeistos taisyklės.  Tai saugo žurnalus tik tuo atveju, jei įjungta „SeLinux“.

grep selinux / var / log / audit / audit.žurnalas

Įgalinkite ir išjunkite politiką bei jų siūlomas apsaugos priemones: Tai yra viena iš svarbiausių „SeLinux“ parinkčių, nes ji leidžia įgalinti ir išjungti strategijas. „SeLinux“ turi daug iš anksto sukurtų strategijų, kurios nustato, ar nurodyta užklausa leidžiama, ar ne. Keletas to pavyzdžių yra allow_ftpd_full_access, kuris nustato FTP paslaugos galimybę prisijungti prie vietinių vartotojų ir skaityti rašant visus sistemos failus, allow_ssh_keysign, leidžiantis naudoti raktus prisijungus prie SSH, allow_user_mysql_connect, kuris leidžia vartotojams prisijungti prie mysql , httpd_can_sendmail, kuris nustato HTTP paslaugos galimybę siųsti el. laišką ir pan. ... Šiame kodo pavyzdyje jis įdiegia policycoreutils-python-utils, kuris iš tikrųjų padeda aprašomoje tvarka išvardyti kiekvieną politiką, o tada išvardijamos visos galimos terminalo strategijos , galiausiai mokoma, kaip įjungti arba išjungti politiką, allow_ftpd_full_access yra politikos pavadinimas, kaip parodyta semanage grąžintame terminale,

apt-get install policycoreutils-python-utils semanage loginis -l setsebool -P allow_ftpd_full_access ON

Išplėstiniai nustatymai

Išplėstinės parinktys yra parinktys, kurios padeda išplėsti „SELInux“ funkcijas. Dėl visapusiško „SeLinux“ pobūdžio yra daugybė derinių, todėl šiame straipsnyje išvardijami keli žinomi ir naudingi jų deriniai.

Vaidmenimis pagrįsta prieigos kontrolė (RBAC): RBAC leidžia administratoriams pereiti prie vaidmenimis pagrįsto būdo apriboti programų leidimus. Tai reiškia, kad tam tikros vartotojų grupės vartotojui leidžiama atlikti arba atlikti tam tikrus iš anksto nustatytus veiksmus. Tol, kol vartotojas yra vaidmens dalis, viskas gerai. Tai yra tas pats dalykas, kaip pereiti prie „root“ diegiant programas „Linux“ su administratoriaus teisėmis.

semanage prisijungimas -a -s 'myrole' -r 's0-s0: c0.c1023 '

Vartotojai gali pakeisti savo vaidmenį naudodami šią komandą.

sudo -r new_role_r -i

Vartotojai taip pat gali nuotoliniu būdu prisijungti prie serverio per SSH su paleidimo metu įgalintu vaidmeniu.

ssh / [apsaugotas el. paštu]

Leisti tarnybai klausytis nestandartinio uosto: Tai yra gana naudinga pritaikant paslaugą, pavyzdžiui, kai FTP prievadas pakeičiamas į nestandartinį, kad būtų išvengta neteisėtos prieigos, reikia apie tai pranešti „SELinux“, kad tokie prievadai galėtų praeiti ir veikti kaip įprasta. Šis pavyzdys leidžia FTP prievadui klausytis 992 prievado. Panašiai ir bet kuri paslauga, kurią grąžino semanage uostas -l galima pakeisti.  Kai kurie populiarūs uostai yra http_port_t, pop_port_t, ssh_port_t.

semanage uostas -a -t    semanage portas -a -t ftp_port_t -p tcp 992

Kaip išjungti

Išjungti „SELinux“ yra lengviau, nes ji įgalinta ir įdiegta. Iš esmės yra du būdai, kaip jį išjungti. Ar laikinai, ar visam laikui. Išjungus laikiną „SeLinux“, jis kurį laiką bus išjungtas iki kito įkrovimo, o kai tik kompiuteris vėl bus įjungtas, būsena bus paleista iš naujo. Kita vertus, visiškas „SeLinux“ išjungimas jį visiškai išjungia, gresdamas; todėl protingas pasirinkimas atkurti numatytąjį „Ubuntu“ „AppArmor“ bent jau sistemos saugumo sumetimais.

Ši komanda terminale ją laikinai išjungia:

setenforce 0

Norėdami visam laikui išjungti redagavimą / etc / selinux / config ir nustatykite „SELINUX“ išjungtą.

Pelė Mėgdžiokite pelės paspaudimus, užveskite pelės žymeklį naudodami pelę „Clickless Mouse“ sistemoje „Windows 10“
Mėgdžiokite pelės paspaudimus, užveskite pelės žymeklį naudodami pelę „Clickless Mouse“ sistemoje „Windows 10“
Pelės ar klaviatūros naudojimas netinkamoje laikysenoje, kai naudojama per daug, gali sukelti daug sveikatos problemų, įskaitant įtampą, riešo kanalo ...
Pelė Pridėkite pelės gestus prie „Windows 10“ naudodami šiuos nemokamus įrankius
Pridėkite pelės gestus prie „Windows 10“ naudodami šiuos nemokamus įrankius
Pastaraisiais metais kompiuteriai ir operacinės sistemos labai išsivystė. Buvo laikas, kai vartotojai turėjo naudoti komandas naršydami per failų tvar...
Pelė Valdykite ir valdykite pelės judėjimą tarp kelių „Windows 10“ monitorių
Valdykite ir valdykite pelės judėjimą tarp kelių „Windows 10“ monitorių
„Dual Display Mouse Manager“ leidžia jums valdyti ir konfigūruoti pelės judėjimą tarp kelių monitorių, sulėtinant jo judėjimą šalia sienos. „Windows 1...