Phenquestions
Въведение
SELinux е задължителен модул за контрол на достъпа (MAC), който се намира на ниво ядро на Linux системи. Това е съвместна разработка на Redhat и NSA, издадена около 1998 г. и все още поддържана от ентусиаст. По подразбиране Ubuntu използва AppArmor, а не SeLinux, който е подобен по отношение на производителността, но доста популярен по отношение на простотата. Известно е обаче, че SeLinux е доста сигурна поради участието на държавна агенция. SELinux е приложение с отворен код, което защитава хоста, като изолира всяко приложение и ограничава неговите дейности. По подразбиране процесите са блокирани да извършват каквито и да било дейности, освен ако не е дадено изричното разрешение. Модулът изначално предоставя две правила за управление на глобално ниво: Permissive и Enforcing, които съответно регистрират всяко нарушено правило и отказват достъп до конкретна заявка, изпратена от процес. Този урок демонстрира как да го използвате с лекота на Ubuntu.
Как да инсталирате и активирате
SeLinux е много сложно приложение за инсталиране, тъй като ако не е конфигурирано правилно преди първото рестартиране, това ще направи цялата операционна система нерестартируема, което означава, че всичко от първоначалния екран за стартиране ще бъде практически недостъпно с нормални средства.
Също както беше посочено по-рано, Ubuntu вече има усъвършенствана система за задължителен контрол на достъпа на високо ниво, известна като AppArmor, и поради това трябва да бъде деактивирана преди инсталирането на SeLinux, за да се избегнат конфликти. Използвайте следните инструкции, за да деактивирате AppArmor и Enable SeLinux.
sudo / etc / init.d / apparmor stop apt-get update && upgrade -yuf apt-get install selinux nano / etc / selinux / config 'задайте SELINUX на разрешителен, SELINUXTYPE по подразбиране' рестартирайте
Тази конфигурация на файла може да се отвори с всеки текстов редактор, за да се правят промени. Причината за присвояване на разрешително правило на SETLINUX е да направи операционната система достъпна, като остави SeLinux активиран. Силно се препоръчва да използвате разрешителната опция, тъй като е безпроблемна, но регистрира нарушени правила, зададени в SeLinux.
Налични опции
SELinux е сложен и изчерпателен модул; следователно съдържа много от функциите и опциите. Като се има предвид това, повечето от тези опции може да не са полезни за всички поради тяхната екзотична природа. Следните опции са някои от основните и полезни опции в този модул. Те са повече от достатъчни, за да стартира и работи SELinux.
Проверете състоянието: Състоянието на SELinux може да се провери директно през терминалния прозорец, който показва основната информация като дали SeLinux е активиран, коренната директория на SELinux, зареденото име на политиката, текущия режим и т.н. След рестартиране на системата след инсталиране на SeLinux, използвайте следната команда като root потребител с команда sudo. Ако в раздела за състоянието е посочено, че SeLinux е активиран, това означава, че работи във фонов режим.
[имейл защитен]: / home / dondilanga # sestatus
Променете глобалното ниво на разрешения: Глобалното ниво на разрешение посочва как се държи SELinux, когато се натъкне на правило. По подразбиране SeLinux се настройва за налагане, което ефективно блокира всички заявки, но може да бъде променено на разрешително, което е вид снизходително към потребителя, тъй като позволява достъп, но регистрира всички нарушени правила в своя регистрационен файл.
nano / etc / selinux / config 'задайте SELINUX на разрешителен или налагащ, SELINUXTYPE по подразбиране'
Проверете регистрационния файл: Регистрационният файл, който посочва нарушените правила от всяка заявка. Това поддържа регистрационни файлове само ако е активиран SeLinux.
grep selinux / var / log / audit / audit.дневник
Активиране и деактивиране на политики и какви защити те предлагат: Това е една от най-важните опции в SeLinux, тъй като позволява да се активират и деактивират политики. SeLinux има голям брой предварително изградени политики, които определят дали определената заявка е разрешена или не. Някои от примерите за това са allow_ftpd_full_access, който определя способността на FTP услугата да влиза в локални потребители и да чете запис на всички файлове в системата, allow_ssh_keysign, който позволява ключовете да се използват при влизане в SSH, allow_user_mysql_connect, който позволява на потребителите да се свързват с mysql , httpd_can_sendmail, който определя способността на HTTP услугата да изпраща имейл и т.н ... В следващия пример с код, той инсталира policycoreutils-python-utils, което всъщност помага при изброяване на всяка политика по описателен начин, след това изброява всички налични политики на терминала , накрая той учи как да зададете или изключите политика, allow_ftpd_full_access е името на политиката, както е показано в терминала, върнат от semanage,
apt-get install policycoreutils-python-utils semanage boolean -l setsebool -P allow_ftpd_full_access ON
Разширени опции
Разширените опции са опции, които помагат за разширяване на функционалностите в SELInux. Има огромно количество комбинации поради изчерпателния характер на SeLinux, така че тази статия изброява някои от най-видните и полезни сред тях.
Ролеви контрол на достъпа (RBAC): RBAC позволява на администраторите да преминат към ролеви начин, за да ограничат разрешението на приложенията. Това означава, че на потребител на определена потребителска група е разрешено да изпълнява или изпълнява определени предварително определени действия. Докато потребителят е част от ролята, всичко е наред. Това е същото нещо като преминаването към root, когато инсталирате приложения на Linux с администраторски права.
semanage login -a -s 'myrole' -r 's0-s0: c0.c1023 '
Потребителите могат да превключват ролята си със следната команда.
sudo -r new_role_r -i
Потребителите могат също така отдалечено да се свържат със сървъра чрез SSH с активирана роля при стартиране.
ssh/ [имейл защитен]
Позволете на услуга да слуша нестандартни портове: Това е доста полезно при персонализиране на услуга, например когато FTP порт е променен на нестандартен, за да се избегнат неоторизирани достъпи, SELinux трябва да бъде информиран съответно, за да позволи на тези портове да преминат и да функционират както обикновено. Следващият пример позволява на FTP порта да слуша 992 порт. По същия начин, всяка услуга, върната от семанджийски порт -l може да бъде заменен. Някои от популярните портове са http_port_t, pop_port_t, ssh_port_t.
семанжиращ порт -a -tсеманжиращ порт -a -t ftp_port_t -p tcp 992
Как да деактивирам
Деактивирането на SELinux е по-лесно, тъй като е активирано и инсталирано. По принцип има два начина да го деактивирате. Или временно, или постоянно. Деактивирането на SeLinux временно го прави деактивирано за известно време до следващото зареждане и веднага след като компютърът се включи отново, състоянието се рестартира. От друга страна, постоянното деактивиране на SeLinux го изключва напълно, излагайки го на заплахи там; следователно е разумен избор да се възстанови AppArmor по подразбиране на Ubuntu поне заради сигурността на системата.
Следната команда на терминала го изключва временно:
setenforce 0
За постоянно деактивирано редактиране / etc / selinux / config и задайте SELINUX на деактивиран.
