SELinux

SELinux på Ubuntu-vejledning

SELinux på Ubuntu-vejledning

Introduktion

SELinux er et obligatorisk adgangskontrolmodul (MAC), der findes i kerneniveauet i linux-systemer. Det er en fælles udvikling af Redhat og NSA, der blev udgivet omkring 1998 og stadig vedligeholdes af et entusiastisk samfund. Som standard bruger Ubuntu AppArmor og ikke SeLinux, hvilket er ens med hensyn til ydeevne, men ret populært med hensyn til enkelhed. Imidlertid er SeLinux kendt for at være ret sikker på grund af inddragelse af et regeringsorgan. SELinux er en open source-applikation, der beskytter værten ved at isolere hver applikation og begrænse dens aktiviteter. Som standard er processer blokeret fra aktiviteter, medmindre den udtrykkelige tilladelse er givet. Modulet indeholder indbygget to globale styringsregler: Tilladende og håndhævelse, der henholdsvis logger hver overtrådt regel og nægter adgang til en bestemt anmodning sendt fra en proces. Denne vejledning viser, hvordan du nemt bruger det på Ubuntu.

Sådan installeres og aktiveres

SeLinux er et meget vanskeligt program at installere, for hvis det ikke er korrekt konfigureret før den første genstart, vil det gøre hele operativsystemet ustartbart, hvilket betyder, at alt ud over den oprindelige opstartsskærm næsten ikke kan nås på normal måde.

Som tidligere nævnt har Ubuntu allerede et sofistikeret obligatorisk adgangskontrolsystem på højt niveau kendt som AppArmor, og det skal derfor deaktiveres inden installation af SeLinux for at undgå konflikter. Brug følgende instruktioner til at deaktivere AppArmor og Aktivere SeLinux.

sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'sæt SELINUX til tilladende, SELINUXTYPE til standard' genstart

Denne filkonfiguration kan åbnes med en hvilken som helst teksteditor for at foretage ændringer. Årsagen til at tildele tilladelig regel til SETLINUX er at gøre operativsystemet tilgængeligt, mens SeLinux er aktiveret. Det anbefales stærkt at bruge den tilladelige mulighed, da det er problemfrit, men det logger overtrådte regler i SeLinux.

Tilgængelige muligheder

SELinux er et komplekst og omfattende modul; derfor indeholder den mange funktioner og muligheder. Når det er sagt, er de fleste af disse muligheder muligvis ikke nyttige for alle på grund af deres eksotiske natur. Følgende muligheder er nogle af de grundlæggende og nyttige muligheder i dette modul. De er mere end nok til at få SELinux i gang.

Kontroller status:  Status for SELinux kan kontrolleres direkte gennem terminalvinduet, der viser de grundlæggende oplysninger, som om SeLinux er aktiveret, SELinux rodkatalog, indlæst politiknavn, nuværende tilstand osv.  Efter genstart af systemet efter installation af SeLinux skal du bruge følgende kommando som rodbruger med sudo-kommando. Hvis det står, at SeLinux er aktiveret i statusafsnittet, betyder det, at det er i gang i baggrunden.

[e-mail-beskyttet]: / home / dondilanga # sestatus

Skift det globale tilladelsesniveau: Det globale tilladelsesniveau angiver, hvordan SELinux opfører sig, når det snubler over en regel. Som standard indstiller SeLinux sig til at håndhæve, hvilket effektivt blokerer alle anmodninger, men det kan ændres til tilladende, hvilket er en smule mild mod brugeren, da det giver adgang, men logger eventuelle overtrædte regler i sin logfil.

nano / etc / selinux / config 'sæt SELINUX til tilladende eller håndhævende, SELINUXTYPE til standard'

Tjek logfilen: Logfilen, der angiver de overtrådte regler ved hver anmodning.  Dette fører kun logfiler, hvis SeLinux er aktiveret.

grep selinux / var / log / audit / audit.log

Aktiver og deaktiver politikker, og hvilken beskyttelse de tilbyder: Dette er en af ​​de vigtigste muligheder i SeLinux, da det gør det muligt at aktivere og deaktivere politikker. SeLinux har et stort antal forudbyggede politikker, der bestemmer, om den angivne anmodning er tilladt eller ej. Nogle af eksemplerne på dette er allow_ftpd_full_access, som bestemmer FTP-tjenestens evne til at logge ind på lokale brugere og læse skrive alle filer på systemet, allow_ssh_keysign, der gør det muligt at bruge nøgler, når de logger ind på SSH, allow_user_mysql_connect, som giver brugerne mulighed for at oprette forbindelse til mysql , httpd_can_sendmail, der bestemmer HTTP-tjenestens evne til at sende en e-mail osv ... I det følgende kodeeksempel installerer den policycoreutils-python-utils, som faktisk hjælper med at liste hver politik på en beskrivende måde, næste viser den alle tilgængelige politikker til terminal , endelig lærer det, hvordan man indstiller en politik til eller fra, allow_ftpd_full_access er politiknavnet som vist i terminalen returneret af semanage,

apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON

Avancerede indstillinger

De avancerede muligheder er muligheder, der hjælper med at udvide funktionerne i SELInux. Der er en enorm mængde af kombinationer derude på grund af den omfattende karakter af SeLinux, så denne artikel viser nogle af de fremtrædende og nyttige blandt dem.

Rollebaseret adgangskontrol (RBAC): RBAC giver administratorer mulighed for at skifte til en rollebaseret måde at begrænse applikationernes tilladelse på. Hvad det betyder er, at en bruger af en bestemt brugergruppe har lov til at udføre eller udføre bestemte foruddefinerede handlinger. Så længe brugeren er en del af rollen, er det okay. Dette er den samme ting som at skifte til root, når du installerer applikationer på Linux med administrative rettigheder.

semanage login -a -s 'myrole' -r 's0-s0: c0.c1023 '

Brugere kan skifte deres rolle med følgende kommando.

sudo -r new_role_r -i

Brugere kan også oprette forbindelse eksternt til serveren via SSH med rollen aktiveret ved opstart.

ssh / [e-mail beskyttet]

Tillad en tjeneste at lytte til en ikke-standardport: Dette er ret nyttigt til at tilpasse en tjeneste, for eksempel når en FTP-port ændres til en ikke-standard for at undgå uautoriseret adgang, skal SELinux informeres i overensstemmelse hermed for at lade sådanne porte passere og fungere som sædvanlig. I det følgende eksempel kan FTP-porten lytte til 992-porten. Ligeledes enhver tjeneste returneret af semanageport -l kan udskiftes.  Nogle af de populære porte er http_port_t, pop_port_t, ssh_port_t.

semanageport -a -t    semanageport -a -t ftp_port_t -p tcp 992

Sådan deaktiveres

Deaktivering af SELinux er lettere, da det er aktiveret og installeret. Dybest set er der to måder at deaktivere det på. Enten midlertidigt eller permanent. Deaktivering af SeLinux midlertidig gør det deaktiveret et stykke tid indtil næste opstart, og så snart computeren er tændt igen, genstartes tilstanden. På den anden side lukker den permanente deaktivering af SeLinux det helt og udsætter det for trusler derude; derfor er det et klogt valg at gendanne Ubuntus standard AppArmor i det mindste af hensyn til systemets sikkerhed.

Følgende kommando på terminalen slukker den midlertidigt:

setenforce 0

Til permanent deaktiveret redigering / etc / selinux / config og indstil SELINUX til deaktiveret.

Spil Top 5 spiloptagelseskort
Top 5 spiloptagelseskort
Vi har alle set og elsket streaming af gameplay på YouTube. PewDiePie, Jakesepticye og Markiplier er kun nogle af de bedste spillere, der har tjent mi...
Spil Sådan udvikler du et spil på Linux
Sådan udvikler du et spil på Linux
For et årti siden ville ikke mange Linux-brugere forudsige, at deres foretrukne operativsystem en dag ville være en populær spilplatform til kommercie...
Spil Open Source-porte med kommercielle spilmotorer
Open Source-porte med kommercielle spilmotorer
Gratis, open source og cross-platform spilmotorgendringer kan bruges til at spille gamle såvel som nogle af de temmelig nylige spiltitler. Denne artik...