SELinux

SELinux az Ubuntu bemutatón

SELinux az Ubuntu bemutatón

Bevezetés

A SELinux egy kötelező beléptető (MAC) modul, amely a linux rendszerek kernel szintjén található. Ez a Redhat és az NSA 1998 körül kiadott közös fejlesztése, amelyet továbbra is egy lelkes közösség tart fenn. Alapértelmezés szerint az Ubuntu az AppArmort használja, és nem a SeLinuxot, amely a teljesítmény szempontjából hasonló, de az egyszerűség szempontjából meglehetősen népszerű. A SeLinux azonban közismerten elég biztonságos egy kormányzati ügynökség bevonása miatt. A SELinux egy nyílt forráskódú alkalmazás, amely megvédi a gazdagépet az egyes alkalmazások elkülönítésével és tevékenységeinek korlátozásával. Alapértelmezés szerint a folyamatokat nem engedélyezik semmilyen tevékenység végzése, kivéve, ha kifejezett engedélyt kapunk. A modul két globális szintű kezelési szabályt tartalmaz natív módon: az Engedélyező és a Kényszerítő, amely naplózza az egyes megsértett szabályokat, és megtagadja a hozzáférést egy folyamatból küldött konkrét kéréshez. Ez az oktatóanyag bemutatja, hogyan lehet könnyedén használni az Ubuntuban.

Telepítés és engedélyezés

A SeLinux telepítése nagyon trükkös alkalmazás, mivel ha az első újraindítás előtt nincs megfelelően konfigurálva, akkor az egész operációs rendszert indíthatatlanná teszi, vagyis a kezdeti indítási képernyőn kívül bármi normál módon gyakorlatilag elérhetetlen lesz.

Szintén ahogy korábban említettük, az Ubuntu már rendelkezik egy kifinomult, magas szintű kötelező hozzáférés-ellenőrző rendszerrel, AppArmor néven, ezért a SeLinux telepítése előtt le kell tiltani, hogy elkerülje a konfliktusokat. Az AppArmor letiltásához és a SeLinux engedélyezéséhez kövesse az alábbi utasításokat.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'állítsa a SELINUX-t megengedõvé, a SELINUXTYPE-t alapértelmezettként' reboot

Ez a fájlkonfiguráció bármely szövegszerkesztővel megnyitható a változtatások elvégzéséhez. A megengedő szabály hozzárendelésének oka a SETLINUX számára az, hogy az operációs rendszert hozzáférhetővé teszi, miközben a SeLinux engedélyezve van. Erősen ajánlott a megengedő opció használata, mivel problémamentes, de a SeLinuxban megsértett szabályokat naplózza.

Elérhető opciók

A SELinux egy összetett és átfogó modul; ezért sok funkciót és lehetőséget tartalmaz. Ennek ellenére a legtöbb lehetőség nem biztos, hogy mindenki számára hasznos egzotikus jellege miatt. A következő opciók tartalmazzák a modul alapvető és hasznos lehetőségeit. Több mint elegendőek a SELinux működéséhez.

Ellenőrizze az állapotot:  A SELinux állapota közvetlenül ellenőrizhető a terminál ablakán keresztül, amely megmutatja az alapvető információkat, például azt, hogy engedélyezve van-e a SeLinux, a SELinux gyökérkönyvtárát, a betöltött házirend nevét, az aktuális módot stb.  A rendszer újraindítása után a SeLinux telepítése után használja a következő parancsot root felhasználóként sudo paranccsal. Ha azt állítja, hogy a SeLinux engedélyezve van az állapot szakaszban, az azt jelenti, hogy a háttérben működik.

[e-mail védett]: / home / dondilanga # sestatus

Módosítsa a globális engedélyszintet: A globális engedélyszint megadja, hogy a SELinux hogyan viselkedik, amikor egy szabályba botlik. Alapértelmezés szerint a SeLinux végrehajtásra állítja be magát, amely hatékonyan blokkolja az összes kérést, de megengedővé változtatható, amely a felhasználóval szemben engedékeny, mivel lehetővé teszi a hozzáférést, de a megsértett szabályokat naplófájljába naplózza.

nano / etc / selinux / config 'a SELINUX-t állítsa megengedőre vagy érvényesítőre, a SELINUXTYPE-t alapértelmezettre'

Ellenőrizze a naplófájlt: A naplófájl, amely minden egyes kérelemben megadja a megsértett szabályokat.  Ez csak akkor naplózza, ha a SeLinux engedélyezve van.

grep selinux / var / log / audit / audit.napló

A házirendek engedélyezése és letiltása, valamint az általuk kínált védelem: Ez a SeLinux egyik legfontosabb opciója, mivel lehetővé teszi a házirendek engedélyezését és letiltását. A SeLinux számos előre elkészített házirenddel rendelkezik, amelyek meghatározzák, hogy a megadott kérés engedélyezett-e vagy sem. Néhány példa erre az allow_ftpd_full_access, amely meghatározza az FTP szolgáltatás azon képességét, hogy bejelentkezzen a helyi felhasználókhoz és olvassa az összes fájlt, írja az összes fájlt a rendszeren. , httpd_can_sendmail, amely meghatározza a HTTP szolgáltatás e-mail küldésének képességét stb. ... Az alábbi kód példában telepíti a policycoreutils-python-utils alkalmazást, amely valóban segít az egyes házirendek leíró jellegű felsorolásában, majd a terminál összes elérhető házirendjét felsorolja , végül megtanítja a házirend be- vagy kikapcsolását, az allow_ftpd_full_access a házirend neve, ahogyan azt a semanage által visszaadott terminál mutatja,

apt-get install policycoreutils-python-utils semanage logikai -l setsebool -P allow_ftpd_full_access BE

Haladó beállítások

A speciális opciók olyan opciók, amelyek segítenek a SELInux funkcióinak bővítésében. Óriási mennyiségű kombináció létezik a SeLinux átfogó jellege miatt, ezért ez a cikk néhány kiemelkedő és hasznosat sorol fel közülük.

Szerepalapú hozzáférés-vezérlés (RBAC): Az RBAC lehetővé teszi az adminisztrátorok számára, hogy szerepkör alapú módra váltsanak az alkalmazások engedélyének korlátozása érdekében. Ez azt jelenti, hogy egy adott felhasználói csoport felhasználója engedélyezhet bizonyos előre meghatározott műveletek végrehajtását vagy végrehajtását. Amíg a felhasználó része a szerepnek, rendben van. Ez ugyanaz, mint a root-ra váltás, amikor adminisztrációs jogokkal rendelkező alkalmazásokat telepítenek a Linuxra.

semanage bejelentkezés -a -s 'myrole' -r 's0-s0: c0.c1023 ”

A felhasználók a következő paranccsal változtathatják meg szerepüket.

sudo -r new_role_r -i

A felhasználók távolról is csatlakozhatnak a kiszolgálóhoz SSH-n keresztül, az indításkor engedélyezett szerepkörrel.

ssh / [e-mail védett]

Engedje meg, hogy egy szolgáltatás meghallgasson egy nem szabványos portot: Ez nagyon hasznos egy szolgáltatás testreszabásában, például amikor az FTP-portot nem szabványosra változtatják az illetéktelen hozzáférések elkerülése érdekében, a SELinux-ot ennek megfelelően tájékoztatni kell, hogy az ilyen portok áthaladhassanak és a szokásos módon működhessenek. A következő példa lehetővé teszi az FTP port számára, hogy 992 portot hallgasson. Hasonlóképpen, az általa visszaküldött bármely szolgáltatás semanage port -l pótolható.  Néhány népszerű port a http_port_t, pop_port_t, ssh_port_t.

semanage port -a -t    semanage port -a -t-ftp_port_t -p tcp 992

Hogyan lehet letiltani

A SELinux letiltása könnyebb, mivel engedélyezve és telepítve van. Alapvetően kétféle módon lehet kikapcsolni. Akár ideiglenesen, akár véglegesen. A SeLinux ideiglenes letiltása egy ideig letiltja a következő indításig, és amint a számítógépet újra bekapcsolják, az állapot újraindul. Másrészt a SeLinux tartós letiltása teljesen leállítja, és fenyegetéseknek teszi ki őket; ezért bölcs döntés visszaállítani az Ubuntu alapértelmezett AppArmor programját, legalábbis a rendszer biztonsága érdekében.

A következő parancs a terminálon ideiglenesen kikapcsol:

setenforce 0

A szerkesztés végleges letiltásához / etc / selinux / config és letiltotta a SELINUX funkciót.

Játékok A legjobb Linux-disztribútorok játékhoz 2021-ben
A legjobb Linux-disztribútorok játékhoz 2021-ben
A Linux operációs rendszer hosszú utat tett meg eredeti, egyszerű, szerver alapú kinézetétől. Ez az operációs rendszer rendkívül javult az elmúlt évek...
Játékok Hogyan lehet rögzíteni és streamelni a játékmenetét Linuxon
Hogyan lehet rögzíteni és streamelni a játékmenetét Linuxon
Korábban a játékokat csak hobbinak tekintették, de az idő múlásával a játékipar hatalmas növekedést ért el a technológia és a játékosok száma szempont...
Játékok A legjobb játékok kézi követéssel
A legjobb játékok kézi követéssel
Az Oculus Quest nemrégiben bemutatta a vezérlés nélküli kézi követés nagyszerű ötletét. Az egyre növekvő számú játékkal és tevékenységgel, amelyek tám...