Selinux på Debian Top 10 Buster
Før du begynner, må du lære følgende konsepter:
Emner: prosesser eller brukere.
Objekter: filer eller filsystemer.
Type håndhevelse: På Selinux har alle fag og objekter en type identifikator som slutter med _T. “Typehåndhevelse er forestillingen om at tilgang i et obligatorisk tilgangskontrollsystem styres gjennom godkjenning basert på et emne-tilgang-objektsett med regler.
I Selinux implementeres typehåndhevelse basert på etikettene til fagene og objektene. Selinux i seg selv har ikke regler som sier /bin/bash kan utføre /bin/ls. I stedet har den regler som ligner på “prosesser med etiketten bruker_t kan utføre vanlige filer merket bin_t.”(Kilde https: // wiki.gentoo.org/wiki/selinux/type_enforcement)
Diskresjonær tilgangskontroll (DAC): DAC er eier- og tillatelsessystemet vi bruker i Linux for å administrere tilgang til objekter som filer eller kataloger. Den skjønnsmessige tilgangskontrollen har ingenting med Selinux å gjøre og er et annet sikkerhetslag. For ytterligere informasjon om DAC -besøk Linux -tillatelser forklart.
Obligatorisk tilgangskontroll (Mac): er en type tilgangskontroll som begrenser forsøkspersoner tilgangsinteraksjon med objekter. I motsetning til DAC med Mac -brukere kan ikke endre retningslinjer.
Emner og objekter har en sikkerhetskontekst (sikkerhetsattributter) overvåket av Selinux og administreres i henhold til sikkerhetspolitikk som er laget av regler som skal håndheves.
Rollebasert tilgangskontroll (RBAC): er en type tilgangskontroll basert på roller, den kan kombineres med både Mac og DAC. RBAC -retningslinjer gjør styring av mange brukere i en organisasjon enkel i motsetning til DAC som kan stamme i individuelle tillatelsesoppgaver, det gjør revisjon, konfigurasjon og policyoppdateringer enklere.
Håndhevingsmodus: Selinux begrenser fagene tilgang til objekter basert på retningslinjer.
Tillatt modus: Selinux logger bare uekte aktivitet.
Selinux -funksjoner inkluderer (Wikipedia -liste):
- Ren separasjon av politikk fra håndhevelse
- Veldefinerte politiske grensesnitt
- Støtte for applikasjoner som spør om policyen og håndhever tilgangskontroll (for eksempel, CROND Kjører jobber i riktig sammenheng)
- Uavhengighet av spesifikke politikker og politiske språk
- Uavhengighet av spesifikke sikkerhetsmerker og innhold
- Individuelle etiketter og kontroller for kjerneobjekter og tjenester
- Støtte for politiske endringer
- Separate tiltak for å beskytte systemintegritet (domenetype) og dataforhold (Multilevel Security)
- Fleksibel politikk
- Kontrollerer over prosessinitialisering og arv, og programutførelse
- Kontrollerer over filsystemer, kataloger, filer og åpne filbeskrivelser
- Kontroller over stikkontakter, meldinger og nettverksgrensesnitt
- Kontrollerer over bruken av "evner"
- Bufret informasjon om tilgangsavgjørelser via Access Vector Cache (AVC)
- Standard-Deny Policy (alt som ikke er eksplisitt spesifisert i policyen, er ikke tillatt).
Kilde: https: // no.Wikipedia.org/wiki/sikkerhetsutviklet_linux#funksjoner
Merk: Brukere er forskjellige på Selinux og Passwd.
Sette opp Selinux på Debian 10 Buster
I mitt tilfelle ble Selinux deaktivert på Debian 10 Buster. Å holde Selinux aktivert er et av de grunnleggende trinnene for å holde en Linux -enhet trygt. For å kjenne statusen til Selinux i enheten din, kjør kommandoen:
/# sestatus
Jeg fant at Selinux var deaktivert, for å aktivere det, må du installere noen pakker før, etter en APT -oppdatering, Kjør kommandoen:
/# Apt Installer Selinux-Basics Selinux-Policy-Default
Hvis du blir bedt om presse Y For å fortsette installasjonsprosessen. Løpe APT -oppdatering Etter å ha fullført installasjonen.
For å aktivere Selinux Kjør følgende kommando:
/# selinux-aktivering
Som du kan se, ble Selinux riktig aktivert. For å bruke alle endringer må du starte systemet på nytt som instruert.
Kommandoen Getenforce kan brukes til å lære Selinux -statusen, hvis den er tillatt eller håndhevende modus:
/# getenforce
Den tillatte modus kan erstattes ved å stille parameteren 1 (tillatt er 0). Du kan også sjekke modus på konfigurasjonsfilen ved å bruke kommandoen mindre:
/# mindre/etc/selinux/config
Produksjon:
Som du kan se konfigurasjonsfilene viser den tillatte modusen. trykk Q å slutte.
For å se en fil eller prosess sikkerhetskontekst kan du bruke flagget -z:
/# ls -z
Etikettformatet er Bruker: Rolle: Type: Nivå.
Semanage - Selinux Policy Management Tool
Semanage er Selinux Policy Management Tool. Det gjør det mulig å administrere booleanere (som gjør det mulig å endre prosessen på kjøret. Semanage gjør det mulig å konfigurere Selinux -retningslinjer uten behov for å samle kilder. Semanage tillater koblingen mellom OS og Selinux -brukere og visse objekter sikkerhetskontekster.
For ytterligere informasjon om Semanage, besøk Man -siden på: https: // linux.dø.nett/mann/8/semanage
Konklusjon og notater
Selinux er en ekstra måte å administrere tilgang fra prosesser til systemressurser som filer, partisjoner, kataloger osv. Det gjør det mulig å håndtere massive privilegier i henhold til rolle, nivå eller type. Å ha det aktivert er et must som sikkerhetstiltak, og når du bruker det er det viktig å huske sikkerhetslaget og å starte systemet på nytt etter å ha aktivert eller deaktivert det (deaktivering anbefales ikke i det hele tatt bortsett fra spesifikke tester). Noen ganger er en filtilgang blokkert til tross for at systemet eller OS -tillatelser er gitt fordi Selinux forbyr det.
Jeg håper du fant denne artikkelen om Selinux nyttig som introduksjon denne sikkerhetsløsningen, fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverk.
Relaterte artikler:
- Selinux på Ubuntu Tutorial
- Hvordan deaktivere Selinux på Centos 7
- Linux sikkerhetsherding sjekkliste
- Apparmor profiler på ubuntu