Jak ustawić zasady dotyczące Selinux

Pani Alicja Szafrański
Jak ustawić zasady dotyczące Selinux
Jednym z głównych powodów, dla których ludzie wybierają Linux, jest bezpieczeństwo, które oferuje. Dlatego znajdziesz Linuksa na serwerach i profesjonalnych stacjach roboczych. Selinux to jedna z takich funkcji bezpieczeństwa Linux. Od dłuższego czasu jest częścią standardowego jądra Linux, a każda nowoczesna dystrybucja ma obsługę Selinux.

Istnieje kilka różnych sposobów działania Selinux. Jest to zdefiniowane przez politykę Selinux. W tym przewodniku dowiesz się więcej o zasadach SELINUX i o tym, jak ustawić zasady w Selinux.

Przegląd zasad Selinux

Miejmy szybkie podsumowanie Selinux i jego zasad. Selinux to akronim dla „Linux wzmocniony bezpieczeństwem.„Zawiera szereg łatek bezpieczeństwa do jądra Linux. Selinux został pierwotnie opracowany przez Agencję Bezpieczeństwa Narodowego (NSA) i zwolniona do społeczności rozwoju open source w 2000 r. Na podstawie licencji GPL. Zostało połączone z głównym jądrem Linux w 2003 roku.

Selinux zapewnia Mac (obowiązkowa kontrola dostępu) zamiast domyślnego DAC (uznaniowa kontrola dostępu). Pozwala to na wdrożenie niektórych zasad bezpieczeństwa, które nie byłyby możliwe wdrożenie inaczej.

Zasady Selinux to zestawy reguł, które kierują silnikiem bezpieczeństwa Selinux. Polityka określa typy obiektów i domen plików dla procesów. Role służą do ograniczenia dostępu do domen. Tożsamości użytkownika określają, jakie role można osiągnąć.
Dostępne są dwie zasady Selinux:

  • Celowe: Polityka domyślna. Wdraża kontrolę dostępu do ukierunkowanych procesów. Procesy działają w ograniczonej domenie, w której proces ma ograniczony dostęp do plików. Jeśli ograniczony proces jest zagrożony, uszkodzenie jest łagodzone. W przypadku usług tylko określone usługi są umieszczane w tych domenach.
  • MLS: oznacza bezpieczeństwo wielopoziomowe. Sprawdź dokumentację Red Hat na zasadzie Selinux MLS.

Procesy, które nie są ukierunkowane, będą działać w niekwestionowanej domenie. Procesy działające w niekompletnych domenach cieszą się prawie pełnym dostępem. Jeśli taki proces jest zagrożony, Selinux nie oferuje łagodzenia. Atakujący może uzyskać dostęp do całego systemu i zasobów. Jednak reguły DAC nadal obowiązują o niekompletnych domenach.
Poniżej znajduje się krótka lista przykładów niekompletnych domen:

  • domena initrc_t: programy init
  • Domena jądra: Procesy jądra
  • Unconfined_T Domena: Użytkownicy zalogowani do systemu Linux

Zmiana zasad Selinux

Poniższe przykłady są wykonywane w CentOS 8. Wszystkie polecenia w tym artykule są uruchamiane jako użytkownik root. Inne dystrybucje sprawdź odpowiedni samouczek na temat włączenia Selinux.
Aby zmienić zasady w Selinux, zacznij od sprawdzenia statusu Selinux. Status domyślny powinien być włączony w trybie „egzekwowanie” z zasadą „ukierunkowaną”.

$ sestatus


Aby zmienić zasady Selinux, otwórz plik konfiguracyjny Selinux w swoim ulubionym edytorze tekstu.

$ vim/etc/selinux/config


Tutaj naszym celem jest zmienna „SELINUXTYPE”, która definiuje zasadę Selinux. Jak widać, wartość domyślna jest „ukierunkowana."

Wszystkie kroki wykazane w tym przykładzie są wykonywane w Centos 8. W przypadku CentOS zasady MLS nie są zainstalowane domyślnie. Prawdopodobnie tak będzie w innych dystrybucjach. Dowiedz się, jak skonfigurować Selinux na Ubuntu tutaj. Pamiętaj, aby najpierw zainstalować program. W przypadku Ubuntu, Centos, OpenSuse, Fedora, Debian i innych nazwa pakietu to „Selinux-Policy-MLS."

$ dnf instaluj selinux-policy-mls


W takim przypadku przełączymy zasady na MLS. Zmień odpowiednio wartość zmiennej.

$ Selinuxtype = mls

Zapisz plik i wyjdź z edytora. Aby wprowadzić te zmiany, musisz ponownie uruchomić system.

$ reboot

Sprawdź zmianę, wydając następujące.

$ sestatus

Zmiana trybów Selinux

Selinux może działać w trzech różnych trybach. Tryby te określają, w jaki sposób polityka jest egzekwowana.

  • Wymuszone: Wszelkie działania przeciwko zasadom są zablokowane i zgłaszane w dzienniku audytu.
  • Permissive: Wszelkie działania przeciwko polityce są zgłaszane tylko w dzienniku audytu.
  • Wyłączone: Selinux jest wyłączony.

Aby tymczasowo zmienić tryb w Selinux, użyj polecenia setenforce. Jeśli system zostanie ponownie uruchomiony, system powróci do ustawienia domyślnego.

$ setenForce Enforcing
$ setenForced Permissive


Aby trwale zmienić tryb w Selinux, musisz dostosować plik konfiguracyjny Selinux.

$ vim/etc/selinux/config


Zapisz i zamknij redaktor. Uruchom ponownie system, aby wprowadzić zmiany.
Możesz zweryfikować zmianę za pomocą polecenia sestatus.

$ sestatus

Wniosek

Selinux to potężny mechanizm egzekwowania bezpieczeństwa. Mamy nadzieję, że ten przewodnik pomógł Ci nauczyć się konfigurować i zarządzać zachowaniem Selinux.
Szczęśliwy komputer!

Doker
Jak zabić pojemnik Docker?
Aby zabić kontenera Dockera, najpierw wybierz konkretny kontener, który należy zabić. Następnie uruc...
Zofia Góra
c ostre
Warunki, a jeśli wówczas stwierdzenia w C#
Warunki w C# Oceń do prawdziwego lub fałszu. Warunki podejmują decyzje, które blok kodu należy wykon...
Bruno Dobrowolski
c ostre
Jakie są stałe zmienne w C#
Zmienna stała to rodzaj zmiennej, której wartość jest ustawiana podczas jej definicji i nie można je...
Larysa Witczak
Oracle Linux
Jak zainstalować i korzystać z Oracle VirtualBox Extension Pack?
Albert Szcześniak
Pyton
Etykiety osi morskiej
Pani Julia Szwed
Pyton
Konwertuj ciąg na Json Python
Pani Żaneta Pakuła
Doker
Co to jest montowanie Docker Bind?
Pani Alicja Szafrański
Doker
Jak definiowane są tomy w Docker Compose YAML?
Bruno Dobrowolski
Golang
Jakie są struktury w Golang
Igor Skrzypek
php
Jaki jest niezdefiniowany błąd indeksu w PHP i jak go naprawić?
Larysa Witczak
Oracle Linux
Jak zainstalować Oracle SQL Developer w systemie Windows?
Pani Żaneta Pakuła
php
Jak korzystać z funkcji stripassashes w PHP
Sebastian Kaczyński
Golang
Jakie są typy danych w Golang
Albert Szcześniak