Phenquestions
Prieš pradėdami turėsite išmokti šias sąvokas:
Dalykai: procesus ar vartotojus.
Objektai: failus ar failų sistemas.
Tipo vykdymas: SELinux sistemoje visi subjektai ir objektai turi tipo identifikatorių, kuris baigiasi _t. „Tipo vykdymas yra sąvoka, kad privalomoje prieigos kontrolės sistemoje prieiga yra reguliuojama leidimu, pagrįstu subjekto-prieigos-objekto taisyklių rinkiniu.
SELinux sistemoje tipo vykdymas įgyvendinamas remiantis subjektų ir objektų etiketėmis. SELinux savaime neturi taisyklių, kurios pasakytų / bin / bash gali įvykdyti / bin / ls. Vietoj to, jis turi taisykles, panašias į „Procesai su etikete user_t gali vykdyti įprastus failus, pažymėtus bin_t.“(Šaltinis https: // wiki.gentoo.org / wiki / SELinux / Type_enforcement)
Diskrecinė prieigos kontrolė (DAC): DAC yra nuosavybės ir leidimų sistema, kurią naudojame sistemoje „Linux“ valdydami prieigą prie tokių objektų kaip failai ar katalogai. Diskrecinė prieigos kontrolė neturi nieko bendro su „SELinux“ ir yra skirtingas saugos sluoksnis. Norėdami gauti papildomos informacijos apie DAC, apsilankykite „Linux Permissions Explained“.
Privaloma prieigos kontrolė (MAC): yra prieigos kontrolės tipas, ribojantis subjektų prieigą su objektais. Priešingai nei DAC su MAC vartotojai, politika negali būti pakeista.
Dalykų ir objektų saugos kontekstas (saugos atributai) yra stebimas „SELinux“ ir administruojamas pagal saugumo politiką, kurią nustato taisyklės, kurias reikia vykdyti.
Vaidmenimis pagrįsta prieigos kontrolė (RBAC): yra prieigos valdymo tipas, pagrįstas vaidmenimis, jis gali būti derinamas tiek su MAC, tiek su DAC. RBAC politika palengvina daugelio organizacijos vartotojų valdymą, skirtingai nei DAC, kuris gali būti suteikiamas individualiems leidimų priskyrimams, tai palengvina auditą, konfigūraciją ir politikos atnaujinimus.
Vykdymo režimas: SELinux apriboja subjektų prieigą prie objektų pagal politiką.
Leidžiantis režimas: „SELinux“ registruoja tik neteisėtą veiklą.
SELinux funkcijos apima (Vikipedijos sąrašas):
- Švarus politikos ir vykdymo atskyrimas
- Gerai apibrėžtos politikos sąsajos
- Parama programoms, teikiančioms užklausas dėl politikos ir vykdančios prieigos kontrolę (pvz.,, kronas vykdyti darbus tinkamame kontekste)
- Konkrečios politikos ir politikos kalbų nepriklausomumas
- Konkrečių saugos etikečių formatų ir turinio nepriklausomumas
- Individualios branduolio objektų ir paslaugų etiketės ir valdikliai
- Parama politikos pokyčiams
- Atskiros sistemos vientisumo (domeno tipo) ir duomenų konfidencialumo (daugiapakopis saugumas)
- Lanksti politika
- Valdo proceso inicijavimą ir paveldėjimą bei programos vykdymą
- Valdo failų sistemas, katalogus, failus ir atidarymą bylos aprašai
- Valdo lizdus, pranešimus ir tinklo sąsajas
- „Galimybių“ naudojimo kontrolė
- Talpykloje saugoma informacija apie sprendimus dėl prieigos per „Access Vector Cache“ (AVC)
- Default-deny politika (neleidžiama nieko, kas politikoje nėra aiškiai nurodyta).
Šaltinis: https: // lt.vikipedija.org / wiki / Security-Enhanced_Linux # Features
Pastaba: SELinux ir passwd vartotojai skiriasi.
„SELinux“ nustatymas „Debian 10 Buster“
Mano atveju „SELinux“ buvo išjungtas „Debian 10 Buster“. Įgalinti „SELinux“ yra vienas pagrindinių žingsnių, kad „Linux“ įrenginys būtų saugus. Norėdami sužinoti „SELinux“ būseną savo įrenginyje, vykdykite komandą:
/ # sestatus
Radau, kad SELinux buvo išjungtas, kad jį įgalintumėte, turite įdiegti keletą paketų prieš, po apt atnaujinimas, paleiskite komandą:
/ # apt install selinux-basics selinux-policy-default
Jei pageidaujate, paspauskite Y tęsti diegimo procesą. Bėk apt atnaujinimas baigus montavimą.
Norėdami įgalinti „SELinux“, vykdykite šią komandą:
/ # selinux-activate
Kaip matote, „SELinux“ buvo tinkamai suaktyvinta. Norėdami pritaikyti visus pakeitimus, turite iš naujo paleisti sistemą, kaip nurodyta.
Komanda getenforce gali būti naudojama norint sužinoti SELinux būseną, jei jos režimas yra leistinas arba vykdomas:
/ # getenforce
Leistiną režimą galima pakeisti nustatant parametrą 1 (leistinas yra 0). Taip pat naudodamiesi komanda galite patikrinti konfigūracijos failo režimą mažiau:
/ # mažiau / etc / selinux / config
Išvestis:
Kaip matote, konfigūracijos failai rodo leistiną režimą. Paspauskite Klausimas mesti.
Norėdami pamatyti failo ar proceso saugos kontekstą, galite naudoti žymą -Z:
/ # ls -Z
Etiketės formatas yra vartotojas: vaidmuo: tipas: lygis.
semanage - „SELinux“ politikos valdymo įrankis
semanage yra „SELinux“ politikos valdymo įrankis. Tai leidžia valdyti logines sritis (kurios leidžia keisti procesą vykdant procesą), vartotojo vaidmenis ir lygius, tinklo sąsajas, politikos modulius ir dar daugiau. „Semanage“ leidžia konfigūruoti „SELinux“ strategijas nereikalaujant kaupti šaltinių. „Semanage“ leidžia susieti OS ir „SELinux“ vartotojus ir tam tikrus objektų saugos kontekstus.
Norėdami gauti papildomos informacijos apie semanage, apsilankykite man puslapyje: https: // linux.mirti.tinklas / žmogus / 8 / semanage
Išvada ir pastabos
Yra papildomas būdas administruoti prieigą nuo procesų prie sistemos išteklių, tokių kaip failai, skaidiniai, katalogai ir kt. Tai leidžia valdyti didžiules privilegijas pagal vaidmenį, lygį ar tipą. Jį įjungti yra būtina priemonė kaip saugumo priemonė, o naudojant - svarbu prisiminti jo saugos sluoksnį ir iš naujo paleisti sistemą įjungus arba išjungus (išjungti nerekomenduojama, išskyrus konkrečius bandymus). Kartais prieiga prie failo blokuojama nepaisant sistemos arba suteikiami OS leidimai, nes „SELinux“ tai draudžia.
Tikiuosi, kad šis straipsnis apie „SELinux“ buvo naudingas kaip įvadas į šį saugos sprendimą. Toliau laikykitės „LinuxHint“, kad gautumėte daugiau patarimų ir naujinių apie „Linux“ ir tinklus.
Susiję straipsniai:
- „SELinux“ „Ubuntu“ pamokoje
- Kaip išjungti „SELinux“ sistemoje „CentOS 7“
- „Linux“ saugos griežtinimo kontrolinis sąrašas
- „AppArmor“ profiliai „Ubuntu“
