Hvordan sette en policy på Selinux

Jørgen Christiansen
Hvordan sette en policy på Selinux
En av hovedårsakene til at folk velger Linux er sikkerheten den tilbyr. Det er grunnen til at du finner Linux på servere og profesjonelle arbeidsstasjoner. Selinux er en slik sikkerhetsfunksjon i Linux. Det har vært en del av standard Linux -kjernen i ganske lang tid, og enhver moderne distro har Selinux -støtte.

Det er flere forskjellige måter Selinux kan operere. Dette er definert av Selinux -policyen. I denne guiden vil du lære mer om Selinux -policyer og hvordan du kan sette en policy i Selinux.

Selinux Policy Oversikt

La oss ha en rask oversikt over Selinux og dens politikk. Selinux er et forkortelse for “Security-Enhanced Linux.”Det består av en serie sikkerhetsoppdateringer til Linux -kjernen. Selinux ble opprinnelig utviklet av National Security Agency (NSA) og løslatt til Open Source Development Community i 2000 under GPL-lisensen. Den ble slått sammen med hovedlinjen Linux -kjernen i 2003.

Selinux gir Mac (obligatorisk tilgangskontroll) i stedet for standard DAC (skjønnsmessig tilgangskontroll). Dette gir mulighet for implementering av noen sikkerhetspolitikker som ikke vil være mulig å implementere noe annet.

Selinux -policyer er regler som leder Selinux Security Engine. En policy definerer typer for filobjekter og domener for prosesser. Roller brukes for å begrense tilgangen til domener. Brukeridentiteter bestemmer hvilke roller som kan oppnås.
Det er to Selinux -retningslinjer tilgjengelig:

  • Målrettet: Standard policy. Implementerer tilgangskontroll til målrettede prosesser. Prosessene kjøres i et begrenset domene der prosessen har begrenset tilgang til filer. Hvis en innesperret prosess blir kompromittert, reduseres skaden. Når det gjelder tjenester, er det bare spesifikke tjenester plassert i disse domenene.
  • MLS: står for sikkerhet på flere nivåer. Sjekk ut Red Hat -dokumentasjonen på Selinux MLS -policyen.

Prosesser som ikke er målrettet vil kjøre i et ukonfinert domene. Prosesser som kjører i ukonfinerte domener, liker nesten fullstendig tilgang. Hvis en slik prosess er kompromittert, tilbyr Selinux ingen avbøtning. Angriperen kan få tilgang til hele systemet og ressursene. Imidlertid gjelder DAC -regler fortsatt for de ukonfinerte domenene.
Følgende er en kort liste over eksempler på ukonfinerte domener:

  • initrc_t domene: init -programmer
  • Kernel_T -domene: Kernelprosesser
  • Unconfined_t Domain: Brukere logget inn på Linux -systemet

Endring av Selinux -policy

Følgende eksempler utføres i Centos 8. Alle kommandoene i denne artikkelen kjøres som rotbrukeren. For andre distros, vennligst sjekk ut riktig opplæring om hvordan du aktiverer Selinux.
For å endre en policy i Selinux, start med å sjekke Selinux -statusen. Standardstatusen skal være Selinux aktivert i "håndheving" -modus med "målrettet" policy.

$ sestatus


For å endre Selinux -policyen, åpner du Selinux -konfigurasjonsfilen i din favoritt tekstredigerer.

$ vim/etc/selinux/config


Her er vårt mål "SelinuxType" -variabelen som definerer Selinux -policyen. Som du ser er standardverdien “målrettet.”

Alle trinn demonstrert i dette eksemplet utføres i CentOS 8. Når det gjelder centos, kommer ikke MLS -policyen installert som standard. Dette vil sannsynligvis også være tilfelle i andre distros. Lær hvordan du konfigurerer Selinux på Ubuntu her. Sørg for å installere programmet først. Når det.”

$ dnf installer selinux-policy-mls


I dette tilfellet vil vi bytte policy til MLS. Endre verdien av variabelen deretter.

$ SelinuxType = mls

Lagre filen og gå ut av redaktøren. For å sette disse endringene i kraft, må du starte systemet på nytt.

$ omstart

Bekreft endringen ved å utstede følgende.

$ sestatus

Endre Selinux -modus

Selinux kan operere i tre forskjellige moduser. Disse modusene bestemmer hvordan policyen håndheves.

  • Håndhevet: Enhver handling mot policyen er blokkert og rapportert i revisjonsloggen.
  • Tillatende: Enhver handling mot policyen rapporteres bare i revisjonsloggen.
  • Deaktivert: Selinux er deaktivert.

For å endre modus midlertidig i Selinux, bruk SETENFORCE -kommandoen. Hvis systemet startes på nytt, vil systemet gå tilbake til standardinnstillingen.

$ setenforce håndhever
$ setenforced tillatt


For å endre modus permanent i Selinux, må du finjustere Selinux -konfigurasjonsfilen.

$ vim/etc/selinux/config


Lagre og lukk redaktøren. Start systemet på nytt for å sette endringene i kraft.
Du kan bekrefte endringen ved hjelp av Sestatus -kommandoen.

$ sestatus

Konklusjon

Selinux er en kraftig mekanisme for å håndheve sikkerhet. Forhåpentligvis hjalp denne guiden deg til å lære å konfigurere og administrere oppførselen til Selinux.
Glad databehandling!

Kraftskall
Hvordan bruke kommandoen “Get-Command” i PowerShell
Cmdlet “Get-Command” får en liste over kommandoer tilgjengelig på datamaskinen. Dessuten kan det imp...
Lars Solberg
C ++
C ++ program for å konvertere desimal til binær
For å konvertere et desimaltall til binær i C ++, del desimaltallet med 2 til desimaltallet blir 0. ...
Elias Krogh Svendsen
Bash -programmering
Hvordan trekke ut en del av en streng ved hjelp av bash kutt og delte kommandoer
Bash gir flere metoder for å trekke ut en del av en streng, inkludert kutt- og delte kommandoer. Les...
Alexander Sørlie
Python
Python skriv streng til fil
Elias Aalerud Aasen
Python
Hvordan bruke Xrange i Python
Simen Stensrud
Docker
Hva er formålet med en Docker-komponering.YML -fil i Docker?
Elias Krogh Svendsen
Aws
Hva er AWS Guardduty og hvorfor det brukes?
Erik Røed
Oracle Linux
Hva er forskjellene mellom Oracle Linux og Ubuntu Linux?
Oskar Fossum
C ++
Forskjell mellom+= og =+operatører i C ++
Elias Krogh Svendsen
Golang
Hvordan trimme en streng i Golang
Anders Fjeld Moe
C ++
Hva er mens du er sløyfe i C++?
Daniel Johnsen
C skarp
Hva betyr PLUS-Equals-operatøren i C#?
Elias Aalerud Aasen
Git
Hva er trinnene for å gi nytt navn til en fil i git?
Erik Røed