Linux системи за сигурност

Една от причините за огромния успех на Linux OS на вградени, мобилни устройства и сървъри е сравнително високата степен на сигурност на ядрото, свързаните услуги и приложения. Но ако погледни отблизо към архитектурата на ядрото на Linux, тогава е невъзможно да се намери квадрат в него, отговорен за сигурността, като такъв. Къде се крие подсистемата за сигурност на Linux и от какво се състои?

Предистория на модулите за сигурност на Linux и SELinux

Security Enhanced Linux е набор от правила и механизъм за достъп, базиран на задължителни и ролеви модели за достъп, за защита на Linux системите от потенциални заплахи и коригиране на слабостите на дискреционния контрол на достъпа (DAC), традиционната Unix система за сигурност. Проектът се заражда в недрата на Агенцията за национална сигурност на САЩ, а в разработката са пряко ангажирани изпълнителите Secure Computing Corporation и MITER, както и редица изследователски лаборатории.

Модули за сигурност на Linux

Линус Торвалдс допринесе с редица бележки за нови разработки на NSA, така че те да могат да бъдат включени в основния клон на ядрото на Linux. Той описва обща среда с набор от прехващачи за управление на операции върху обекти и набор от някои защитни полета в структурите на данни на ядрото за съхраняване на съответните атрибути. След това тази среда може да се използва от зареждаеми модули на ядрото за прилагане на всеки желан модел на сигурност. LSM напълно влезе в ядрото на Linux v2.6 през 2003 г.

Рамката LSM включва защитни полета в структурите на данни и извиквания на функции за прихващане в критични точки в кода на ядрото, за да ги управлява и да извършва контрол на достъпа. Той също така добавя функционалност за регистриране на модули за сигурност. Интерфейсът /sys/kernel/security/lsm съдържа списък с активни модули в системата. LSM куките се съхраняват в списъци, които се извикват в реда, определен в CONFIG_LSM. Подробна документация за кука е включена в заглавния файл include/linux/lsm_hooks.h.

Подсистемата LSM направи възможно пълното интегриране на SELinux на същата версия на стабилното Linux ядро ​​v2.6. Буквално веднага SELinux стана де факто стандарт за защитена Linux среда и стана част от най-популярните дистрибуции: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

Терминологичен речник

• идентичност - Потребителят на SELinux не е същият като обичайния потребителски идентификатор на Unix / Linux, те могат да съществуват едновременно в една и съща система, но са напълно различни по същество. Всеки стандартен Linux акаунт може да съответства на един или повече в SELinux. Самоличността на SELinux е част от цялостния контекст на сигурността, който определя към кои домейни можете и към кои не можете да се присъедините.
• домейни - В SELinux домейнът е контекстът на изпълнение на субекта, т.е. процеса. Домейнът директно определя достъпа, който има даден процес. Домейнът е основно списък на това, което процесите могат да правят или какви действия може да извършва процес с различни типове. Някои примери за домейни са sysadm_t за системна администрация и user_t, който е обикновен непривилегирован потребителски домейн. Системата init работи в домейна init_t, а посоченият процес се изпълнява в домейна named_t.
• роля - Нещо, което служи като посредник между домейни и потребители на SELinux. Ролите определят към какви домейни може да принадлежи даден потребител и до какви типове обекти потребителят има достъп. Такъв механизъм за контрол на достъпа предотвратява заплахата от атака с ескалация на привилегии. Ролите се записват в модела за защита на базирания на роли контрол на достъпа (RBAC), използван в SELinux.
• Видове — Тип атрибут на списъка за изпълнение, който е присвоен на обект и определя кой ще има достъп до него. Подобно на дефинирането на домейн, с изключение на това, че домейнът се прилага към процеса, докато типът се прилага към обекти като директории, файлове, сокети и т.н.
• Субекти и обекти - Процесите са субекти и се изпълняват в определен контекст или защитен домейн. Ресурсите на операционната система: файлове, директории, сокети и т.н. са обекти, на които е присвоен определен тип, с други думи, ниво на секретност.
• Правила на SELinux - SELinux използва различни политики за защита на системата. Политиката на SELinux дефинира потребителския достъп до роли, ролите до домейни и домейните до типове. Първо, потребителят е упълномощен да получи роля, след това ролята е упълномощена за достъп до домейни. И накрая, домейн може да има достъп само до определени типове обекти.

LSM и SELinux архитектура

Въпреки името, LSM обикновено не са зареждаеми Linux модули. Въпреки това, точно като SELinux, той е директно интегриран в ядрото. Всяка промяна в изходния код на LSM изисква нова компилация на ядрото. Съответната опция трябва да бъде активирана в настройките на ядрото, в противен случай LSM кодът няма да бъде активиран след зареждане. Но дори и в този случай, той може да бъде активиран от опцията за зареждане на OS.

Купчина LSM проверки

LSM е оборудван с кукички в основните функции на ядрото, които могат да бъдат подходящи за проверки. Една от основните характеристики на LSM е, че те са базирани на стек. По този начин стандартните проверки все още се извършват и всеки LSM слой добавя само допълнителни контроли и контроли. Това означава, че забраната не може да бъде отменена. Това е показано на фигурата, ако резултатът от рутинните DAC проверки е повреда, тогава той дори няма да достигне LSM куките.

SELinux възприе архитектурата за сигурност Flask на изследователската операционна система Fluke, по-специално принципа на най-малко привилегии. Същността на тази концепция, както подсказва името им, е да предостави на потребителя или на процеса само тези права, които са необходими за изпълнението на предвидените действия. Този принцип се прилага чрез въвеждане на принудителен достъп, така че контролът на достъпа на SELinux се основава на модела домейн => тип.

Чрез принудително въвеждане на достъп SELinux има много по-големи възможности за контрол на достъпа от традиционния DAC модел, използван в операционните системи Unix/Linux. Например, можете да ограничите номера на мрежовия порт, който ще се случи на ftp сървъра, да разрешите писане и промяна на файлове в определена папка, но не и изтриването им.

Основните компоненти на SELinux са:

• Сървър за прилагане на правила - Основният механизъм за организиране на контрол на достъпа.
• База данни с политики за сигурност на системата.
• Взаимодействие с LSM слушателя на събития.
• Selinuxfs - Псевдо-FS, същият като /proc и монтиран в /sys/fs/selinux. Попълва се динамично от ядрото на Linux по време на изпълнение и съдържа файлове, съдържащи информация за състоянието на SELinux.
• Достъп до векторния кеш - Допълнителен механизъм за подобряване на производителността.

Как работи SELinux

Всичко това работи по следния начин.

1. Субект, в термините на SELinux, извършва позволено действие върху обект след проверка на DAC, както е показано на горната снимка. Тази заявка за операция отива към слушателя на LSM събития.
2. Оттам заявката, заедно с контекста на сигурността на субекта и обекта, се предава на SELinux Abstraction и модула Hook Logic, отговорен за взаимодействието с LSM.
3. Сървърът за прилагане на правила е органът за вземане на решения относно достъпа на субекта до обекта и той получава данни от SELinux AnHL.
4. За да вземе решение за достъп или забрана, Policy Enforcement Server се позовава на кеширащата подсистема на най-използваните правила за Access Vector Cache (AVC).
5. Ако решението за съответното правило не бъде намерено в кеша, тогава заявката се предава към базата данни на правилата за сигурност.
6. Резултатът от търсенето от базата данни и AVC се връща към сървъра за прилагане на правила.
7. Ако намерената политика е в съответствие с исканото действие, тогава операцията е разрешена. В противен случай операцията е забранена.

Управление на настройките на SELinux

SELinux работи в един от трите режима:

• Налагане - Стриктно прилагане на политиките за сигурност.
• Разрешително - Разрешено е нарушение на ограниченията, съответният знак се прави в дневника.
• Деактивирано - Политиките за сигурност не са в сила.

Можете да видите в какъв режим е SELinux със следната команда.

[admin@server ~]$ getenforce
Permissive

Промяна на режима преди рестартиране, например, задайте го на прилагане или 1. Разрешителният параметър съответства на цифровия код 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

Можете също да промените режима, като редактирате файла:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=цел

Разликата със setenfoce е, че когато операционната система се стартира, режимът SELinux ще бъде зададен в съответствие със стойността на параметъра SELINUX в ​​конфигурационния файл. В допълнение, налагането на <=> забранени промени влиза в сила само чрез редактиране на файла /etc/selinux/config и след рестартиране.

Вижте обобщения отчет за състоянието:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
За да видите атрибутите на SELinux, някои стокови помощни програми използват опцията -Z.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

В сравнение с нормалния изход ls -l, има няколко допълнителни полета в следния формат:

<user>:<role>:<type>:<level>

Последното поле означава нещо като печат за сигурност и се състои от комбинация от два елемента:

• s0 - значимост, също записана в интервала ниско ниво-високо ниво
• c0, c1… c1023 е категорията.

Промяна на конфигурацията за достъп

Използвайте semodule, за да заредите SELinux модули, да ги добавите и премахнете.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

Първи отбор влизане в semanage асоциира потребител на SELinux с потребител на операционна система, вторият го изброява. И накрая, последната команда с превключвателя -r премахва картографирането на потребители на SELinux към акаунти на OS. Обяснение на синтаксиса за стойностите на MLS/MCS Range се намира в предишния раздел.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

Отбор потребител на semanage използвани за управление на съпоставянията между потребители и роли на SELinux.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

Параметри на командата:

• -a добавяне на персонализиран запис за съпоставяне на роли;
• -l списък на съответстващи потребители и роли;
• -d премахва персонализиран запис за съпоставяне на роли;
• -R списък с роли, прикрепени към потребителя;

Файлове, портове и булеви стойности

Всеки SELinux модул предоставя набор от правила за маркиране на файлове, но можете също да добавите свои собствени правила, ако е необходимо. Например искаме уеб сървърът да има права за достъп до папката /srv/www.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

Първата команда регистрира нови правила за маркиране, а втората нулира, или по-скоро излага типове файлове в съответствие с текущите правила.

По същия начин TCP/UDP портовете са маркирани по такъв начин, че само подходящите услуги да могат да ги слушат. Например, за да може уеб сървър да слуша на порт 8080, трябва да изпълните команда.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

Значителен брой SELinux модули имат параметри, които могат да приемат булеви стойности. Целият списък с такива опции може да се види с getsebool -a. Булевите стойности могат да се променят с помощта на setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

Практикум, достъп до уеб интерфейса на Pgadmin

Помислете за пример от практиката, инсталирахме pgadmin7.6-web на RHEL 4 за администриране на базата данни на PostgreSQL. Подминахме малък Търсене с настройка на pg_hba.conf, postgresql.conf и config_local.py, задаване на правата за папките, инсталиране на липсващите Python модули от pip. Всичко е готово, тичай и вземи 500 Вътрешна грешка на сървъра.

Започваме с типичните заподозрени, проверете /var/log/httpd/error_log. Има някои интересни записи там.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

В този момент повечето Linux администратори ще бъдат силно изкушени да стартират setencorce 0 и да приключат с него. Честно казано, за първи път го правя. Това, разбира се, също е изход, но далеч не е най-добрият.

Въпреки тромавия дизайн, SELinux може да бъде удобен за потребителя. Просто инсталирайте пакета за отстраняване на проблеми и прегледайте системния регистър.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

Обърнете внимание, че услугата auditd трябва да се рестартира по този начин, а не с systemctl, въпреки наличието на systemd в операционната система. В системния дневник ще бъде посочено не само фактът на блокиране, но и причината и начин за преодоляване на забраната.

Ние изпълняваме тези команди:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

Проверяваме достъпа до уеб страницата pgadmin4-web, всичко работи.

Източник: www.habr.com