Selinux na Debian Top 10 Buster
Przed rozpoczęciem musisz nauczyć się następujących koncepcji:
Tematy: procesy lub użytkownicy.
Obiekty: pliki lub systemy plików.
Wpisz egzekwowanie: na Selinux Wszystkie przedmioty i obiekty mają identyfikator typu kończący się na _t. "Egzekwowanie typu jest pojęciem, że w obowiązkowym systemie kontroli dostępu dostęp jest regulowany przez zezwolenie oparte na zbiorze reguł w dostępie.
W Selinux egzekwowanie typu jest wdrażane na podstawie etykiet podmiotów i obiektów. Selinux sam nie ma zasad, które mówią /bin/bash może wykonać /bin/ls. Zamiast tego ma reguły podobne do „Procesy z etykietą user_t mogą wykonywać zwykłe pliki oznaczone bin_t.”(Źródło https: // wiki.Gentoo.org/wiki/selinux/type_enforcement)
Dyskrecjonalna kontrola dostępu (DAC): DAC to system własności i uprawnień, którego używamy w systemie Linux do zarządzania dostępem do obiektów takich jak pliki lub katalogi. Dyskrecjonalna kontrola dostępu nie ma nic wspólnego z Selinux i jest inną warstwą bezpieczeństwa. Aby uzyskać dodatkowe informacje na temat DAC, odwiedź Linux Wyjaśnione uprawnienia.
Obowiązkowa kontrola dostępu (MAC): jest rodzajem kontroli dostępu, który ogranicza uczestników dostępu do interakcji z obiektami. W przeciwieństwie do DAC z użytkownikami komputerów Mac nie mogą zmienić zasad.
Podmioty i obiekty mają kontekst bezpieczeństwa (atrybuty bezpieczeństwa) monitorowane przez Selinux i zarządzane zgodnie z zasadami bezpieczeństwa wytworzonymi przez zasady, które mają być egzekwowane.
Kontrola dostępu oparta na rolach (RBAC): jest rodzajem kontroli dostępu w oparciu o role, można go połączyć z MAC i DAC. Zasady RBAC ułatwiają zarządzanie wielu użytkowników w organizacji w przeciwieństwie do DAC, która może wyprowadzić w indywidualnych zadaniach związanych z audytem, konfiguracją i aktualizacją zasad.
Tryb egzekwowania: Selinux ogranicza podmiotów dostęp do obiektów na podstawie zasad.
Tryb dopuszczalny: Selinux tylko rejestruje nielegalną działalność.
Funkcje Selinux obejmują (lista Wikipedia):
- Czyste oddzielenie polityki od egzekwowania
- Dobrze zdefiniowane interfejsy polityki
- Obsługa aplikacji zapytania o zasady i egzekwowanie kontroli dostępu (na przykład, Crond uruchamianie zadań we właściwym kontekście)
- Niezależność określonych polityk i języków polityki
- Niezależność określonych formatów i treści znaków bezpieczeństwa
- Poszczególne etykiety i kontrole obiektów i usług jądra
- Wsparcie dla zmian zasad
- Oddzielne środki ochrony integralności systemu (typu domeny) i poufności danych (Bezpieczeństwo wielopoziomowe)
- Elastyczna polityka
- Kontroluje nad inicjalizacją i dziedziczeniem procesu oraz wykonywanie programu
- Kontroluje systemy plików, katalogi, pliki i otwarte Deskryptory pliku
- Kontrola gniazd, wiadomości i interfejsów sieciowych
- Kontrola korzystania z „możliwości”
- Buforowane informacje na temat decydentów dostępu za pośrednictwem pamięci podręcznej wektorowej (AVC)
- Default-deny Polityka (wszystko, co nie jest wyraźnie określone w polityce, jest niedozwolone).
Źródło: https: // en.Wikipedia.ORG/Wiki/Security-Eenhanced_Linux#
Notatka: Użytkownicy różnią się na Selinux i Passwd.
Konfigurowanie Selinux na Debian 10 Buster
W moim przypadku Selinux został wyłączony na Debian 10 Buster. Utrzymanie włączenia Selinux jest jednym z podstawowych kroków, aby zapewnić bezpieczeństwo urządzeniu Linux. Aby poznać status Selinux w twoim urządzeniu, uruchom polecenie:
/# sestatus
Odkryłem, że Selinux został wyłączony, aby umożliwić go, że musisz zainstalować niektóre pakiety wcześniej, po aktualizacja apt, Uruchom polecenie:
/# apt Zainstaluj selinux-basics selinux-policy-default
W razie potrzeby naciśnij Y Aby kontynuować proces instalacji. Uruchomić aktualizacja apt Po zakończeniu instalacji.
Aby włączyć Selinux Uruchom następujące polecenie:
/# Selinux-Activate
Jak widać, Selinux był odpowiednio aktywowany. Aby zastosować wszystkie zmiany, musisz ponownie uruchomić swój system zgodnie z instrukcją.
Command GetenForce może być używany do nauki statusu Selinux, jeśli jest w trybie dopuszczalnym lub egzekwującym:
/# getenforce
Tryb dopuszczalny można zastąpić ustawieniem parametru 1 (Permissive to 0). Możesz także sprawdzić tryb w pliku konfiguracyjnym za pomocą polecenia mniej:
/# less/etc/selinux/config
Wyjście:
Jak widać pliki konfiguracyjne pokazują tryb dopuszczalny. Naciskać Q do wyjścia.
Aby zobaczyć plik lub kontekst bezpieczeństwa procesu, możesz użyć flagi -z:
/# ls -z
Format etykiety to Użytkownik: Rola: Typ: Poziom.
Semanage - narzędzie do zarządzania polityką SELINUX
Semanage to narzędzie do zarządzania polityką Selinux. Umożliwia zarządzanie booleanami (które pozwala na modyfikację procesu w biegu), role i poziomy użytkowników, interfejsy sieciowe, moduły zasad i inne. Semanage pozwala skonfigurować zasady Selinux bez konieczności kompilacji źródeł. Semanage umożliwia łącznik między użytkownikami systemu operacyjnego a Selinux a niektórymi kontekstami bezpieczeństwa obiektów.
Aby uzyskać dodatkowe informacje na temat Semanage, odwiedź stronę Man pod adresem: https: // linux.umierać.net/man/8/semanage
Wniosek i notatki
Selinux to dodatkowy sposób administrowania dostępem z procesów do zasobów systemowych, takich jak pliki, partycje, katalogi itp. Pozwala na zarządzanie ogromnymi przywilejami według roli, poziomu lub typu. Włączenie go jest koniecznością jako miara bezpieczeństwa, a podczas korzystania z niej ważne jest zapamiętywanie jej warstwy bezpieczeństwa i ponowne uruchomienie systemu po włączeniu lub wyłączeniu (wyłączenie nie jest wcale zalecane, z wyjątkiem konkretnych testów). Czasami dostęp do pliku jest blokowany pomimo uprawnień systemu lub systemu operacyjnego są przyznawane, ponieważ Selinux go zabrania.
Mam nadzieję, że ten artykuł na temat Selinux jest przydatny jako wprowadzenie To rozwiązanie bezpieczeństwa, śledź Linuxhint, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.
Powiązane artykuły:
- Selinux na samouczku Ubuntu
- Jak wyłączyć Selinux na Centos 7
- Lista kontrolna hartowania bezpieczeństwa Linux
- Profile Apparmor na Ubuntu