Jak ustawić zasady dotyczące Selinux

Pani Alicja Szafrański
Jak ustawić zasady dotyczące Selinux
Jednym z głównych powodów, dla których ludzie wybierają Linux, jest bezpieczeństwo, które oferuje. Dlatego znajdziesz Linuksa na serwerach i profesjonalnych stacjach roboczych. Selinux to jedna z takich funkcji bezpieczeństwa Linux. Od dłuższego czasu jest częścią standardowego jądra Linux, a każda nowoczesna dystrybucja ma obsługę Selinux.

Istnieje kilka różnych sposobów działania Selinux. Jest to zdefiniowane przez politykę Selinux. W tym przewodniku dowiesz się więcej o zasadach SELINUX i o tym, jak ustawić zasady w Selinux.

Przegląd zasad Selinux

Miejmy szybkie podsumowanie Selinux i jego zasad. Selinux to akronim dla „Linux wzmocniony bezpieczeństwem.„Zawiera szereg łatek bezpieczeństwa do jądra Linux. Selinux został pierwotnie opracowany przez Agencję Bezpieczeństwa Narodowego (NSA) i zwolniona do społeczności rozwoju open source w 2000 r. Na podstawie licencji GPL. Zostało połączone z głównym jądrem Linux w 2003 roku.

Selinux zapewnia Mac (obowiązkowa kontrola dostępu) zamiast domyślnego DAC (uznaniowa kontrola dostępu). Pozwala to na wdrożenie niektórych zasad bezpieczeństwa, które nie byłyby możliwe wdrożenie inaczej.

Zasady Selinux to zestawy reguł, które kierują silnikiem bezpieczeństwa Selinux. Polityka określa typy obiektów i domen plików dla procesów. Role służą do ograniczenia dostępu do domen. Tożsamości użytkownika określają, jakie role można osiągnąć.
Dostępne są dwie zasady Selinux:

  • Celowe: Polityka domyślna. Wdraża kontrolę dostępu do ukierunkowanych procesów. Procesy działają w ograniczonej domenie, w której proces ma ograniczony dostęp do plików. Jeśli ograniczony proces jest zagrożony, uszkodzenie jest łagodzone. W przypadku usług tylko określone usługi są umieszczane w tych domenach.
  • MLS: oznacza bezpieczeństwo wielopoziomowe. Sprawdź dokumentację Red Hat na zasadzie Selinux MLS.

Procesy, które nie są ukierunkowane, będą działać w niekwestionowanej domenie. Procesy działające w niekompletnych domenach cieszą się prawie pełnym dostępem. Jeśli taki proces jest zagrożony, Selinux nie oferuje łagodzenia. Atakujący może uzyskać dostęp do całego systemu i zasobów. Jednak reguły DAC nadal obowiązują o niekompletnych domenach.
Poniżej znajduje się krótka lista przykładów niekompletnych domen:

  • domena initrc_t: programy init
  • Domena jądra: Procesy jądra
  • Unconfined_T Domena: Użytkownicy zalogowani do systemu Linux

Zmiana zasad Selinux

Poniższe przykłady są wykonywane w CentOS 8. Wszystkie polecenia w tym artykule są uruchamiane jako użytkownik root. Inne dystrybucje sprawdź odpowiedni samouczek na temat włączenia Selinux.
Aby zmienić zasady w Selinux, zacznij od sprawdzenia statusu Selinux. Status domyślny powinien być włączony w trybie „egzekwowanie” z zasadą „ukierunkowaną”.

$ sestatus


Aby zmienić zasady Selinux, otwórz plik konfiguracyjny Selinux w swoim ulubionym edytorze tekstu.

$ vim/etc/selinux/config


Tutaj naszym celem jest zmienna „SELINUXTYPE”, która definiuje zasadę Selinux. Jak widać, wartość domyślna jest „ukierunkowana."

Wszystkie kroki wykazane w tym przykładzie są wykonywane w Centos 8. W przypadku CentOS zasady MLS nie są zainstalowane domyślnie. Prawdopodobnie tak będzie w innych dystrybucjach. Dowiedz się, jak skonfigurować Selinux na Ubuntu tutaj. Pamiętaj, aby najpierw zainstalować program. W przypadku Ubuntu, Centos, OpenSuse, Fedora, Debian i innych nazwa pakietu to „Selinux-Policy-MLS."

$ dnf instaluj selinux-policy-mls


W takim przypadku przełączymy zasady na MLS. Zmień odpowiednio wartość zmiennej.

$ Selinuxtype = mls

Zapisz plik i wyjdź z edytora. Aby wprowadzić te zmiany, musisz ponownie uruchomić system.

$ reboot

Sprawdź zmianę, wydając następujące.

$ sestatus

Zmiana trybów Selinux

Selinux może działać w trzech różnych trybach. Tryby te określają, w jaki sposób polityka jest egzekwowana.

  • Wymuszone: Wszelkie działania przeciwko zasadom są zablokowane i zgłaszane w dzienniku audytu.
  • Permissive: Wszelkie działania przeciwko polityce są zgłaszane tylko w dzienniku audytu.
  • Wyłączone: Selinux jest wyłączony.

Aby tymczasowo zmienić tryb w Selinux, użyj polecenia setenforce. Jeśli system zostanie ponownie uruchomiony, system powróci do ustawienia domyślnego.

$ setenForce Enforcing
$ setenForced Permissive


Aby trwale zmienić tryb w Selinux, musisz dostosować plik konfiguracyjny Selinux.

$ vim/etc/selinux/config


Zapisz i zamknij redaktor. Uruchom ponownie system, aby wprowadzić zmiany.
Możesz zweryfikować zmianę za pomocą polecenia sestatus.

$ sestatus

Wniosek

Selinux to potężny mechanizm egzekwowania bezpieczeństwa. Mamy nadzieję, że ten przewodnik pomógł Ci nauczyć się konfigurować i zarządzać zachowaniem Selinux.
Szczęśliwy komputer!

c ostre
Jakie są sekwencje ucieczki w C#
Sekwencja ucieczki w C# jest sekwencją znaków, które reprezentują szczególne znaczenie, gdy jest uży...
Maja Kucharski
php
Jak używać funkcji Array_Merge w PHP?
Funkcja array_merge () w php pozwala połączyć wiele tablic w jedną. Śledź ten artykuł, aby dowiedzie...
Pani Julia Szwed
Golang
Co to jest pakiet testowy Golang?
Pakiet testowy Golang zawiera kilka narzędzi i funkcji, które ułatwiają testowanie, debugowanie i po...
Pani Alicja Szafrański
Oracle Linux
Jak zainstalować i korzystać z Oracle VirtualBox Extension Pack?
Albert Szcześniak
C ++
Tablica struktur w C ++
Albert Szcześniak
R
Jak utworzyć pustą ramkę danych r
Maja Kucharski
Doker
Wtyczki silnika Docker
Pani Alicja Szafrański
php
Jaki jest niezdefiniowany błąd indeksu w PHP i jak go naprawić?
Larysa Witczak
JavaScript
Jak TypeScript różni się od JavaScript?
Pani Alicja Szafrański
PowerShell
Jak używać polecenia „Get-Service” w PowerShell
Pani Alicja Szafrański
AWS
Dlaczego miałbym korzystać z organizacji AWS?
Zofia Góra
Baza danych Oracle
Jak buforować sekwencję Oracle, aby ulepszyć zasoby słownika danych?
Renata Borowiec
c ostre
Jak używać długiego słowa kluczowego w C#
Makary Stasiak