Hvordan sette en policy på Selinux

Jørgen Christiansen
Hvordan sette en policy på Selinux
En av hovedårsakene til at folk velger Linux er sikkerheten den tilbyr. Det er grunnen til at du finner Linux på servere og profesjonelle arbeidsstasjoner. Selinux er en slik sikkerhetsfunksjon i Linux. Det har vært en del av standard Linux -kjernen i ganske lang tid, og enhver moderne distro har Selinux -støtte.

Det er flere forskjellige måter Selinux kan operere. Dette er definert av Selinux -policyen. I denne guiden vil du lære mer om Selinux -policyer og hvordan du kan sette en policy i Selinux.

Selinux Policy Oversikt

La oss ha en rask oversikt over Selinux og dens politikk. Selinux er et forkortelse for “Security-Enhanced Linux.”Det består av en serie sikkerhetsoppdateringer til Linux -kjernen. Selinux ble opprinnelig utviklet av National Security Agency (NSA) og løslatt til Open Source Development Community i 2000 under GPL-lisensen. Den ble slått sammen med hovedlinjen Linux -kjernen i 2003.

Selinux gir Mac (obligatorisk tilgangskontroll) i stedet for standard DAC (skjønnsmessig tilgangskontroll). Dette gir mulighet for implementering av noen sikkerhetspolitikker som ikke vil være mulig å implementere noe annet.

Selinux -policyer er regler som leder Selinux Security Engine. En policy definerer typer for filobjekter og domener for prosesser. Roller brukes for å begrense tilgangen til domener. Brukeridentiteter bestemmer hvilke roller som kan oppnås.
Det er to Selinux -retningslinjer tilgjengelig:

  • Målrettet: Standard policy. Implementerer tilgangskontroll til målrettede prosesser. Prosessene kjøres i et begrenset domene der prosessen har begrenset tilgang til filer. Hvis en innesperret prosess blir kompromittert, reduseres skaden. Når det gjelder tjenester, er det bare spesifikke tjenester plassert i disse domenene.
  • MLS: står for sikkerhet på flere nivåer. Sjekk ut Red Hat -dokumentasjonen på Selinux MLS -policyen.

Prosesser som ikke er målrettet vil kjøre i et ukonfinert domene. Prosesser som kjører i ukonfinerte domener, liker nesten fullstendig tilgang. Hvis en slik prosess er kompromittert, tilbyr Selinux ingen avbøtning. Angriperen kan få tilgang til hele systemet og ressursene. Imidlertid gjelder DAC -regler fortsatt for de ukonfinerte domenene.
Følgende er en kort liste over eksempler på ukonfinerte domener:

  • initrc_t domene: init -programmer
  • Kernel_T -domene: Kernelprosesser
  • Unconfined_t Domain: Brukere logget inn på Linux -systemet

Endring av Selinux -policy

Følgende eksempler utføres i Centos 8. Alle kommandoene i denne artikkelen kjøres som rotbrukeren. For andre distros, vennligst sjekk ut riktig opplæring om hvordan du aktiverer Selinux.
For å endre en policy i Selinux, start med å sjekke Selinux -statusen. Standardstatusen skal være Selinux aktivert i "håndheving" -modus med "målrettet" policy.

$ sestatus


For å endre Selinux -policyen, åpner du Selinux -konfigurasjonsfilen i din favoritt tekstredigerer.

$ vim/etc/selinux/config


Her er vårt mål "SelinuxType" -variabelen som definerer Selinux -policyen. Som du ser er standardverdien “målrettet.”

Alle trinn demonstrert i dette eksemplet utføres i CentOS 8. Når det gjelder centos, kommer ikke MLS -policyen installert som standard. Dette vil sannsynligvis også være tilfelle i andre distros. Lær hvordan du konfigurerer Selinux på Ubuntu her. Sørg for å installere programmet først. Når det.”

$ dnf installer selinux-policy-mls


I dette tilfellet vil vi bytte policy til MLS. Endre verdien av variabelen deretter.

$ SelinuxType = mls

Lagre filen og gå ut av redaktøren. For å sette disse endringene i kraft, må du starte systemet på nytt.

$ omstart

Bekreft endringen ved å utstede følgende.

$ sestatus

Endre Selinux -modus

Selinux kan operere i tre forskjellige moduser. Disse modusene bestemmer hvordan policyen håndheves.

  • Håndhevet: Enhver handling mot policyen er blokkert og rapportert i revisjonsloggen.
  • Tillatende: Enhver handling mot policyen rapporteres bare i revisjonsloggen.
  • Deaktivert: Selinux er deaktivert.

For å endre modus midlertidig i Selinux, bruk SETENFORCE -kommandoen. Hvis systemet startes på nytt, vil systemet gå tilbake til standardinnstillingen.

$ setenforce håndhever
$ setenforced tillatt


For å endre modus permanent i Selinux, må du finjustere Selinux -konfigurasjonsfilen.

$ vim/etc/selinux/config


Lagre og lukk redaktøren. Start systemet på nytt for å sette endringene i kraft.
Du kan bekrefte endringen ved hjelp av Sestatus -kommandoen.

$ sestatus

Konklusjon

Selinux er en kraftig mekanisme for å håndheve sikkerhet. Forhåpentligvis hjalp denne guiden deg til å lære å konfigurere og administrere oppførselen til Selinux.
Glad databehandling!

Sqlite
Hva er sqlite brukt til? Er det bedre enn SQL?
SQLite er en filbasert database som er selvstendig, serverløs og ikke krever noen egen installasjon....
Anders Fjeld Moe
Linux -kommandoer
IPerf3 -kommandoer
Praktisk opplæring om de grunnleggende kommandoene for iPerf3, hvordan installere den i Linux, og hv...
Oskar Fossum
Kraftskall
Get-ChildItem listefiler, register og sertifikater
Cmdlet “Get-Childitem” får varer og barnegjenstander fra en eller flere spesifiserte steder. Dessute...
Martin Berge
Python
Python skriv streng til fil
Elias Aalerud Aasen
Python
Konverter streng til å stille python
Alexander Sørlie
Python
Pandas read_csv multiprocessing
Daniel Berntsen
Docker
Hva er forskjellen mellom Docker og Podman?
Daniel Johnsen
C skarp
Hva er system.Io navneområde i C#
Daniel Berntsen
Sqlite
Hvordan bruke SQLite Viewer Web App
Alexander Sørlie
Aws
Hvilke AWS -verktøy og DevOps er nødvendig for å utvikle en webapp?
Erik Røed
Aws
En sammenligning mellom CloudTrail og Guarduty
Jørgen Christiansen
PHP
Hvordan legge til en matrise i PHP?
Alexander Sørlie
C skarp
Hva er forskjellen mellom int og dobbelt i C#
Alexander Sørlie