Selinux na samouczku Ubuntu

Bertram Jóźwiak
Selinux na samouczku Ubuntu

Jednym ze sposobów poprawy bezpieczeństwa systemu Linux jest dodanie dodatkowej warstwy bezpieczeństwa za pomocą Selinux. W przypadku Linux wzmocnionego bezpieczeństwem (SELINUX) aplikacje w systemach Linux są odizolowane od siebie, chroniąc system hosta. Domyślnie Ubuntu używa Apparmor, Obowiązkowy system kontroli dostępu, który poprawia bezpieczeństwo, ale możesz użyć Selinux, aby osiągnąć to samo.

Selinux jest korzystny, a w przypadku naruszenia bezpieczeństwa systemu zapobiega rozprzestrzenianiu się naruszenia w celu ochrony systemu. Ponadto narzędzie chroni serwery internetowe w zależności od ustawionego trybu dla Selinux. Ten przewodnik zawiera praktyczny samouczek na temat wyłączenia Apparmor, zainstalowania SELINUX, włączenia różnych trybów i wyłączenia Selinux.

Pierwsze kroki z Selinux

Zauważ, że zanim przejdziesz do Selinux, istnieje ryzyko, że może go używać, zwłaszcza że może on uczynić system bezużytecznym. Więc użyj go tylko wtedy, gdy musisz i w takiej odpowiedniej sprawie. Poza tym zawsze bezpieczniej jest wyłączyć Apparmor przed zainstalowaniem Selinux.

Aby wyłączyć Apparmor, uruchom następujące polecenie:

1
$ sudo systemCtl Stop Apparmor

Po zatrzymaniu Apparmor uruchom ponownie system.

Jak zainstalować Selinux na Ubuntu

Po wyłączeniu lub usunięciu Apparmor otwórz terminal i uruchom następujące polecenie, aby zainstalować Selinux.

1
2
3
Aktualizacja $ sudo apt
$ sudo apt instal instaluj PolicyCoreUtils Selinux-Utils Selinux-Basics

Gdy instalacja się powiedzie, musisz aktywować narzędzie. Możesz to zrobić za pomocą następującego polecenia:

1
$ sudo selinux-activate

Włączanie trybów SELINUX na Ubuntu

Istnieją trzy różne tryby, których można użyć z Selinux. Pierwszy jest wyłączony, co robi to samo, co jego nazwa. Wyłącza się za pomocą usługi Selinux. Po aktywowaniu Selinux możesz go ustawić dopuszczalne lub egzekwujące tryby. W trybie dopuszczalnym wykonywane jest tylko monitorowanie interakcji. Jeśli jednak chcesz filtrować i monitorować interakcję, użyj trybu egzekwowania.

Zacznijmy od ustawienia trybu egzekwowania. Użyj następującego polecenia:

1
$ sudo selinux-config-enforcing

Alternatywnie możesz użyć polecenia setenforce, aby ustawić tryb egzekwowania. Polecenie tego jest następujące:

1
$ setenforce 1

Po ustawieniu trybu musisz ponownie uruchomić swój system, aby mógł wejść.

1
$ reboot

Zauważ, że proces oddzielenia rozpoczyna się podczas ponownego uruchomienia. System ponownie uruchamia się po zakończeniu. Podczas rozdzielenia należy zwrócić uwagę na wiadomość ostrzegawczą, jak na poniższym obrazku:

Po udanym ponownym uruchomieniu możesz uruchomić następujące polecenie, aby sprawdzić status Selinux. Powinno być ustawione na egzekwowanie.

1
$ sestatus

Tryb egzekwowania to domyślny zestaw przez SELINUX. W tym stanie większość, jeśli nie wszystkie żądania zostaną zablokowane. Rozwiązaniem jest wybranie trybu dopuszczalnego, który rejestruje wszystkie naruszone reguły. Możesz sprawdzić plik dziennika, aby uzyskać szczegółowe informacje.

Aby ustawić tryb dopuszczalny, użyj następującego polecenia:

1
$ setenforce 0

Śmiało i sprawdź tryb za pomocą polecenie setStatus lub użyj getenforce Komenda:

1
2
3
4
5
$ setStatus
Lub
$ getenforce

Dzięki getenforce zobaczysz tylko nazwę bieżącego trybu, ale setStatus pokazuje więcej szczegółów na temat trybu aktualnie ustawionego.

Zauważ, że musisz ponownie uruchomić system, aby przełączać się między dwoma trybami. Poza tym możesz wyświetlić tryby zestawu z /etc/sysconfig/selinux.

Jak zauważyliśmy, tryb dopuszczalny jest bardziej elastyczny i niekoniecznie zablokuje wszystkie żądania. Zamiast tego przechowuje plik dziennika, gdy reguły zostaną naruszone. Aby uzyskać dostęp do pliku dziennika, możesz użyć następującego polecenia:

1
$ grep selinux/var/log/audyt/audyt.dziennik

Aby ustawić tryb dopuszczalny, użyj następującego polecenia:

1
$ sudo setenforce 0

Jak wyłączyć Selinux

Widzieliśmy, jak włączyć i ustawić różne tryby Selinux. Ale co powiesz na wyłączenie tego? Najlepszą opcją jest stałe wyłączenie go z plików konfiguracyjnych. W tym celu otwórz plik za pomocą edytora takiego jak Nano. Następnie zmień tryb z egzekwowania na niepełnosprawne, jak pokazano w następującym poleceniu:

1
$ sudo nano/etc/selinux/config

Po otwarciu poszukaj SELINUX = Egzekwowanie linii i zmień ją na SELINUX = wyłączony.

Wniosek

Apparmor to dodatkowa warstwa bezpieczeństwa w Ubuntu i innych systemach Linux. Jeśli jednak wolisz korzystać z Selinux, omówiliśmy sposób instalowania, włączenia i korzystania z jego różnych trybów. Przed zainstalowaniem SELINUX upewnij się, że wyłączysz Apparmor i uruchom ponownie system. Podejdź również do ostrożności podczas korzystania z Selinux, aby uniknąć zepsucia systemu.

c ostre
Warunki, a jeśli wówczas stwierdzenia w C#
Warunki w C# Oceń do prawdziwego lub fałszu. Warunki podejmują decyzje, które blok kodu należy wykon...
Bruno Dobrowolski
php
Jak korzystać z funkcji PHP RAND
Funkcję Rand () w PHP może być używana do generowania liczb losowych do różnych celów, takich jak ge...
Maja Kucharski
Polecenia Linux
Jak generować klawisze SSH w systemie Windows Top 10/Top 10, aby uzyskać dostęp do serwerów Linux bez haseł
Praktyczny samouczek na temat generowania klawisza SSH w systemie Windows 10 i 11 i zainstalowania g...
Pani Julia Szwed
Pyton
SEABORD TSPLOT
Bruno Dobrowolski
Pyton
Python Chmod
Maja Kucharski
Polecenia Linux
Jak zainstalować i włączyć uwierzytelnianie wieloskładnikowe SSH dla systemów Linux
Bertram Jóźwiak
php
Jaki jest niezdefiniowany błąd indeksu w PHP i jak go naprawić?
Larysa Witczak
AWS
Co to jest wieża kontrolna AWS i jak z niej korzystać?
Maja Kucharski
Baza danych Oracle
Jaki typ bazy danych jest Oracle Top 10G?
Albert Szcześniak
Baza danych Oracle
Jak zainstalować Oracle Instant Client w Linux?
Pani Żaneta Pakuła
PowerShell
Co to jest polecenie zmiany nazwy w PowerShell?
Zofia Góra
php
Jaka jest różnica pomiędzy .= i += operatory w PHP
Albert Szcześniak
C ++
Różnica między prywatnym a chronionym w C ++
Larysa Witczak