Sådan indstilles en politik på SELinux

En af hovedårsagerne til, at folk vælger Linux, er den sikkerhed, den tilbyder. Derfor finder du Linux på servere og professionelle arbejdsstationer. SELinux er en sådan sikkerhedsfunktion i Linux. Det har været en del af standard Linux-kernen i nogen tid, og enhver moderne distro har SELinux-understøttelse.

Der er flere forskellige måder, SELinux kan fungere på. Dette er defineret af SELinux-politikken. I denne vejledning lærer du mere om SELinux-politikker og hvordan man indstiller en politik i SELinux.

SELinux politikoversigt

Lad os få en hurtig gennemgang af SELinux og dens politikker. SELinux er et akronym for “Sikkerhedsforbedret Linux.”Det består af en række sikkerhedspatcher til Linux-kernen. SELinux blev oprindeligt udviklet af National Security Agency (NSA) og frigivet til open source-udviklingssamfundet i 2000 under GPL-licensen. Den blev fusioneret med Linux-kernen i 2003.

SELinux leverer MAC (obligatorisk adgangskontrol) snarere end standard DAC (diskretionær adgangskontrol). Dette muliggør implementering af nogle sikkerhedspolitikker, der ellers ikke ville være muligt at implementere.

SELinux-politikker er sæt regler, der styrer SELinux-sikkerhedsmotoren. En politik definerer typer for filobjekter og domæner for processer. Roller bruges til at begrænse adgangen til domæner. Brugeridentiteter bestemmer, hvilke roller der kan opnås.
Der er to SELinux-politikker tilgængelige:

• Målrettet: Standardpolitikken. Implementerer adgangskontrol til målrettede processer. Processerne kører i et begrænset domæne, hvor processen har begrænset adgang til filer. Hvis en begrænset proces er kompromitteret, mildnes skaden. I tilfælde af tjenester placeres kun specifikke tjenester i disse domæner.
• MLS: Står for sikkerhed på flere niveauer. Tjek Red Hat-dokumentationen om SELinux MLS-politikken.

Processer, der ikke er målrettet, kører i et ikke-begrænset domæne. Processer, der kører i ikke-begrænsede domæner, har næsten fuld adgang. Hvis en sådan proces er kompromitteret, tilbyder SELinux ingen afbødning. Angriberen kan få adgang til hele systemet og ressourcerne. DAC-regler gælder dog stadig for de ikke-begrænsede domæner.
Følgende er en kort liste med eksempler på ikke-begrænsede domæner:

• initrc_t domæne: init-programmer
• kernel_t domæne: kerneprocesser
• unconfined_t domæne: brugere logget ind på Linux-systemet

Ændring af SELinux-politik

De følgende eksempler udføres i CentOS 8. Alle kommandoer i denne artikel køres som rodbrugeren. For andre distroer, se venligst den relevante vejledning om, hvordan du aktiverer SELinux.
For at ændre en politik i SELinux skal du starte med at kontrollere SELinux-status. Standardstatus skal være SELinux aktiveret i tilstanden "Håndhævelse" med den "målrettede" politik.

$ sestatus

For at ændre SELinux-politikken skal du åbne SELinux-konfigurationsfilen i din foretrukne teksteditor.

$ vim / etc / selinux / config

Her er vores mål variablen “SELINUXTYPE”, der definerer SELinux-politikken. Som du kan se, er standardværdien “målrettet.”

Alle trin demonstreret i dette eksempel udføres i CentOS 8. I tilfælde af CentOS installeres MLS-politikken ikke som standard. Dette vil sandsynligvis også være tilfældet i andre distributioner. Lær hvordan du konfigurerer SELinux på Ubuntu her. Sørg for at installere programmet først. I tilfælde af Ubuntu, CentOS, openSUSE, Fedora, Debian og andre er pakkens navn "selinux-policy-mls.”

$ dnf installer selinux-policy-mls

I dette tilfælde skifter vi politikken til MLS. Skift værdien af ​​variablen i overensstemmelse hermed.

$ SELINUXTYPE = ml

Gem filen, og afslut editoren. For at gennemføre disse ændringer skal du genstarte systemet.

$ genstart

Bekræft ændringen ved at udstede følgende.

$ sestatus

Ændring af SELinux-tilstande

SELinux kan fungere i tre forskellige tilstande. Disse tilstande bestemmer, hvordan politikken håndhæves.

• Håndhæves: enhver handling mod politikken blokeres og rapporteres i revisionsloggen.
• Tilladende: enhver handling mod politikken rapporteres kun i revisionsloggen.
• Deaktiveret: SELinux er deaktiveret.

For at ændre tilstanden midlertidigt i SELinux skal du bruge kommandoen setenforce. Hvis systemet genstartes, vender systemet tilbage til standardindstillingen.

$ setenforce Håndhævelse

$ setenforced Tilladelig

For permanent at ændre tilstanden i SELinux skal du tilpasse SELinux-konfigurationsfilen.

$ vim / etc / selinux / config

Gem og luk editoren. Genstart systemet for at gennemføre ændringerne.
Du kan bekræfte ændringen ved hjælp af sestatus-kommandoen.

$ sestatus

Konklusion

SELinux er en kraftfuld mekanisme til håndhævelse af sikkerhed. Forhåbentlig hjalp denne guide dig med at lære, hvordan du konfigurerer og styrer SELinux's opførsel.
Glad computing!