A SELinux egy folyamatok és fájlok címkézési rendszere.  A címkézett alanyok hozzáférését a címkézett objektumokhoz az irányelveket meghatározó szabályok korlátozzák. Ez az oktatóanyag bemutatja a SELinux alapjait, amelyek bemutatják, hogyan kell beállítani és engedélyezni a SELinuxot a Debian 10 Buster programban, és néhány további információval engedélyezni a népszerű parancsokról.

Mielőtt elkezdené, meg kell tanulnia a következő fogalmakat:

Tárgyak: folyamatok vagy felhasználók.
Tárgyak: fájlok vagy fájlrendszerek.

Típusérvényesítés: a SELinuxon az összes alanynak és objektumnak _t végű típusazonosítója van. „A típusérvényesítés az a fogalom, hogy egy kötelező beléptető rendszerben a hozzáférést az alany-hozzáférés-objektum szabálykészleten alapuló engedélyezés szabályozza.

A SELinuxban a típuskényszerítés az alanyok és az objektumok címkéin alapul.  A SELinux önmagában nem tartalmaz olyan szabályokat, amelyek kimondanák / bin / bash végre tudja hajtani / bin / ls. Ehelyett hasonló szabályai vannak, mint a „A user_t címkével ellátott folyamatok képesek végrehajtani a bin_t címkével ellátott rendszeres fájlokat.”(Forrás: https: // wiki.gentoo.org / wiki / SELinux / Type_enforcement)

Diszkrecionális hozzáférés-vezérlés (DAC): A DAC az a tulajdonosi és engedélyezési rendszer, amelyet a Linuxban használunk az objektumokhoz, például fájlokhoz vagy könyvtárakhoz való hozzáférés kezeléséhez. A diszkrecionális hozzáférés-vezérlésnek semmi köze a SELinuxhoz, és ez egy másik biztonsági réteg. A DAC-ról további információkért keresse fel a Linux engedélyek magyarázatát.

Kötelező hozzáférés-vezérlés (MAC): egyfajta hozzáférés-vezérlés, amely korlátozza az alanyok hozzáférését az objektumokkal. A DAC-tal ellentétben a MAC-felhasználók nem módosíthatják a házirendeket.
Az alanyok és objektumok biztonsági kontextusával (biztonsági attribútumokkal) rendelkezik, amelyet a SELinux felügyel és a végrehajtandó szabályok által létrehozott biztonsági irányelvek szerint kezel.

Szerepalapú hozzáférés-vezérlés (RBAC): szerepkörökön alapuló hozzáférés-vezérlés egy típusa, kombinálható MAC-tal és DAC-tal egyaránt. Az RBAC házirendek sok szervezeten belüli felhasználók kezelését egyszerűvé teszik, ellentétben a DAC-kal, amely egyedi engedélykiosztásokból származhat, ez megkönnyíti az auditálást, a konfigurációt és a házirend-frissítéseket.

Végrehajtási mód: A SELinux házirendek alapján korlátozza az alanyok hozzáférését az objektumokhoz.

Megengedő mód: A SELinux csak illegitim tevékenységet naplóz.

A SELinux funkciói közé tartozik (Wikipédia lista):

• A politika és a végrehajtás tiszta elkülönítése
• Jól meghatározott házirend-interfészek
• A házirendet lekérdező és a hozzáférés-vezérlést kikényszerítő alkalmazások támogatása (például, páva jobok futtatása a megfelelő kontextusban)
• Konkrét szakpolitikák és szakpolitikai nyelvek függetlensége
• Bizonyos biztonsági címke formátumok és tartalmak függetlensége
• Egyedi címkék és vezérlők a kernelmobjektumokhoz és szolgáltatásokhoz
• Az irányelvváltozások támogatása
• Külön intézkedések a rendszer integritásának (tartománytípus) és az adatok titkosságának (többszintű biztonság)
• Rugalmas politika
• Ellenőrzi a folyamat inicializálását és öröklődését, valamint a program futtatását
• Irányítja a fájlrendszereket, könyvtárakat, fájlokat és a megnyitást fájlleírók
• Vezérelheti a foglalatokat, az üzeneteket és a hálózati interfészeket
• A „képességek” használatának ellenőrzése
• Gyorsítótárazott információk a hozzáférési döntésekről az Access Vector Cache (AVC) útján
• Default-deny házirend (a házirendben kifejezetten meg nem határozott minden nem engedélyezett)^.

Forrás: https: // en.wikipédia.org / wiki / Security-Enhanced_Linux # Jellemzők

jegyzet: a felhasználók különböznek a SELinuxon és a passwd-n.

A SELinux beállítása a Debian 10 Buster-en

Az én esetemben a SELinux le volt tiltva a Debian 10 Buster-en. A SELinux engedélyezése az egyik alapvető lépés a Linux eszköz biztonságának megőrzéséhez. A SELinux állapotának megismeréséhez futtassa a következő parancsot:

/ # sestatus

Megállapítottam, hogy a SELinux le van tiltva, az engedélyezéséhez néhány csomagot telepítenie kell egy előtte, utána apt frissítés, futtassa a parancsot:

/ # apt install selinux-basics selinux-policy-default

Kérésre nyomja meg Y a telepítési folyamat folytatásához. Fuss apt frissítés a telepítés befejezése után.

A SELinux engedélyezéséhez futtassa a következő parancsot:

/ # selinux-activ

Mint látható, a SELinux megfelelően aktiválódott. Az összes módosítás végrehajtásához újra kell indítania a rendszert az utasításoknak megfelelően.

A getenforce parancs felhasználható a SELinux állapot megismerésére, ha megengedő vagy kényszerítő módban van:

/ # getenforce

A megengedő mód helyettesíthető a paraméter beállításával 1 (megengedő 0). A paranccsal ellenőrizheti a konfigurációs fájl módját is Kevésbé:

/ # kevesebb / etc / selinux / config

Kimenet:

Mint látható, a konfigurációs fájlok a megengedő módot mutatják. nyomja meg Q leszokni.

A fájl vagy a folyamat biztonsági környezetének megtekintéséhez használhatja a -Z jelzőt:

/ # ls -Z

A címke formátuma felhasználó: szerep: típus: szint.

semanage - SELinux házirend-kezelő eszköz

A semanage a SELinux házirend-kezelő eszköz. Lehetővé teszi a logikai értékek (amelyek lehetővé teszik a folyamat menet közbeni módosítását), felhasználói szerepek és szintek, hálózati interfészek, házirend-modulok és egyebek kezelését. A Semanage lehetővé teszi a SELinux házirendek konfigurálását a források fordítása nélkül. A Semanage lehetővé teszi a kapcsolatot az operációs rendszer és a SELinux felhasználók, valamint bizonyos objektumok biztonsági kontextusai között.

A semanage-ról további információkért keresse fel a man oldalt: https: // linux.meghal.net / man / 8 / semanage

Következtetés és megjegyzések

A SELinux egy további módszer a folyamatoktól a rendszererőforrásokhoz, például fájlokhoz, partíciókhoz, könyvtárakhoz stb. Való hozzáférés kezelésére. Lehetővé teszi hatalmas privilégiumok kezelését szerep, szint vagy típus szerint. Engedélyezése kötelező biztonsági intézkedés, és használatakor fontos megjegyezni a biztonsági réteget, és az engedélyezés vagy letiltás után újraindítani a rendszert (a letiltás egyáltalán nem ajánlott, kivéve bizonyos teszteket). Előfordul, hogy a fájlhoz való hozzáférést a rendszer ellenére blokkolják, vagy az operációs rendszer engedélyeit megadják, mert a SELinux tiltja.

Remélem, hogy hasznosnak találta ezt a cikket a SELinuxról, mivel bevezette ezt a biztonsági megoldást, kövesse a LinuxHint alkalmazást, ha további tippeket és frissítéseket szeretne kapni a Linuxról és a hálózatról.

Kapcsolódó cikkek:

• SELinux az Ubuntu bemutatón
• A SELinux letiltása a CentOS 7 rendszeren
• Linux biztonsági hardver ellenőrzőlista
• AppArmor-profilok az Ubuntuban