En måte å forbedre Linux -systemets sikkerhet er ved å legge til et ekstra sikkerhetslag ved hjelp av Selinux. Med sikkerhetsforbedret Linux (Selinux) blir applikasjonene på Linux-systemene dine isolert fra hverandre, og beskytter vertssystemet ditt. Som standard bruker Ubuntu Apparmor, Et obligatorisk tilgangskontrollsystem som forbedrer sikkerheten, men du kan bruke Selinux for å oppnå det samme.
Selinux er gunstig, og i tilfelle et sikkerhetsbrudd på systemet ditt, forhindrer det spredning av bruddet for å beskytte systemet ditt. Videre beskytter verktøyet webserverne avhengig av modus du angir for Selinux. Denne guiden tilbyr en praktisk opplæring om hvordan du deaktiverer apparmen, installerer Selinux, aktiver de forskjellige modusene og deaktiver Selinux.
Komme i gang med Selinux
Merk at før du fortsetter med Selinux, er det en risiko ved å bruke det, spesielt siden det kan gjøre systemet ditt ubrukelig. Så bruk det bare hvis du må og i et slikt aktuelt tilfelle. Dessuten er det alltid tryggere å deaktivere apparmoren før du installerer Selinux.
For å deaktivere apparmoren, kjør følgende kommando:
1 | $ sudo systemctl stopp apparmor |
Når apparmoren stopper, start systemet på nytt.
Hvordan installere Selinux på Ubuntu
Når du er deaktivert eller fjerner apparmoren, åpner du terminalen og kjører følgende kommando for å installere Selinux.
1 2 3 | $ sudo apt oppdatering |
Når installasjonen er vellykket, må du aktivere verktøyet. Du kan gjøre det ved å bruke følgende kommando:
1 | $ sudo selinux-aktivering |
Aktivering av Selinux -modus på Ubuntu
Det er tre forskjellige moduser som du kan bruke med Selinux. Den første er deaktivert, som gjør det samme som navnet. Det deaktiverer ved hjelp av Selinux -tjenesten. Når Selinux er aktivert, kan du stille den til tillatt eller håndhever modus. I den tillatte modus er det bare overvåking av samspillet som gjøres. Imidlertid, hvis du vil filtrere og overvåke interaksjonen, bruk håndhevingsmodus.
La oss starte med å angi håndhevingsmodus. Bruk følgende kommando:
1 | $ sudo selinux-config-håndheving |
Alternativt kan du bruke SETENFORCE -kommandoen til å angi håndhevingsmodus. Kommandoen for dette er som følger:
1 | $ setenforce 1 |
Når du har angitt modus, må du starte systemet på nytt for at det skal tre i kraft.
1 | $ omstart |
Merk at den omløpende prosessen starter under omstarten. Systemet starter på nytt normalt når det er fullført. Under relabelling bør du merke deg en advarsel som i følgende bilde:
Etter en vellykket omstart, kan du kjøre følgende kommando for å sjekke Selinux -statusen. Det skal settes til å håndheve.
1 | $ sestatus |
Håndhevingsmodus er standard satt av Selinux. I denne tilstanden blir de fleste om ikke alle forespørslene blokkert. Løsningen er å velge den tillatte modus, som logger alle krenkede regler. Du kan sjekke loggfilen for detaljer.
For å angi den tillatte modus, bruk følgende kommando:
1 | $ setenforce 0 |
Gå videre og sjekk modusen ved hjelp av setstatus kommando eller bruk getenforce kommando:
1 2 3 4 5 | $ setstatus |
Med Getenforce vil du bare se navnet på gjeldende modus, men SetStatus viser flere detaljer om den for øyeblikket SET -modus.
Merk at du må starte systemet på nytt for å veksle mellom de to modusene. Dessuten kan du se innstillingsmodusene fra /etc/sysconfig/selinux -fil.
Som vi bemerket, er den tillatte modusen mer fleksibel og vil ikke nødvendigvis blokkere alle forespørsler. I stedet holder den en loggfil når reglene blir krenket. For å få tilgang til loggfilen, kan du bruke følgende kommando:
1 | $ grep selinux/var/log/revisjon/revisjon.Logg |
For å angi den tillatte modus, bruk følgende kommando:
1 | $ sudo setenforce 0 |
Hvordan deaktivere Selinux
Vi har sett hvordan vi kan aktivere og angi de forskjellige Selinux -modusene. Men hva med å deaktivere det? Det beste alternativet er å deaktivere det fra konfigurasjonsfilene permanent. For dette, åpne filen ved hjelp av en redaktør som Nano. Endre modus fra å håndheve til deaktivert, som vist i følgende kommando:
1 | $ sudo nano/etc/selinux/config |
Når du er åpnet, må du se etter Selinux = håndhevingslinje og endre den til selinux = deaktivert.
Konklusjon
Apparmen er det ekstra sikkerhetslaget i Ubuntu og andre Linux -systemer. Imidlertid, hvis du foretrekker å bruke Selinux, har vi dekket hvordan du kan installere, aktivere og bruke de forskjellige modusene. Før du installerer Selinux, må du forsikre deg om at du deaktiverer apparmen og starter systemet på nytt. Fortsett også med forsiktighet når du bruker Selinux for å unngå å rote med systemet ditt.