কোর্স ছাত্রদের জন্য প্রস্তুত নিবন্ধের অনুবাদ "লিনাক্স নিরাপত্তা"

SELinux বা সিকিউরিটি এনহ্যান্সড লিনাক্স হল একটি বর্ধিত অ্যাক্সেস কন্ট্রোল মেকানিজম যা ইউএস ন্যাশনাল সিকিউরিটি এজেন্সি (NSA) দ্বারা দূষিত অনুপ্রবেশ রোধ করার জন্য তৈরি করা হয়েছে। এটি একটি বাধ্যতামূলক (বা বাধ্যতামূলক) অ্যাক্সেস কন্ট্রোল মডেল (ইংরেজি বাধ্যতামূলক অ্যাক্সেস কন্ট্রোল, MAC) বিদ্যমান ডিসক্রিশনারি (বা সিলেক্টিভ) মডেলের (ইংলিশ ডিসক্রিশনারি অ্যাকসেস কন্ট্রোল, DAC) উপরে প্রয়োগ করে, অর্থাৎ পড়ার, লেখার, চালানোর অনুমতি।

SELinux তিনটি মোড আছে:

প্রয়োগ - নীতির নিয়মের উপর ভিত্তি করে অ্যাক্সেস অস্বীকার।
অনুমিত — নীতি লঙ্ঘন করে এমন ক্রিয়াগুলির একটি লগ রাখা, যা প্রয়োগকারী মোডে নিষিদ্ধ করা হবে।
অক্ষম - SELinux সম্পূর্ণ নিষ্ক্রিয় করা।

ডিফল্টরূপে সেটিংস আছে /etc/selinux/config

SELinux মোড পরিবর্তন করা হচ্ছে

বর্তমান মোড খুঁজে বের করতে, চালান

$ getenforce

মোডকে পারমিসিভে পরিবর্তন করতে নিম্নলিখিত কমান্ডটি চালান

$ setenforce 0

অথবা, থেকে মোড পরিবর্তন করতে অনুমতিসূচক উপর প্রয়োগ, এক্সিকিউট

$ setenforce 1

আপনার যদি SELinux সম্পূর্ণরূপে নিষ্ক্রিয় করতে হয়, তবে এটি শুধুমাত্র কনফিগারেশন ফাইলের মাধ্যমে করা যেতে পারে

$ vi /etc/selinux/config

নিষ্ক্রিয় করতে, নিম্নরূপ SELINUX প্যারামিটার পরিবর্তন করুন:

SELINUX=disabled

SELinux সেট আপ করা হচ্ছে

প্রতিটি ফাইল এবং প্রক্রিয়া একটি SELinux প্রসঙ্গ দ্বারা চিহ্নিত করা হয়, যাতে অতিরিক্ত তথ্য যেমন ব্যবহারকারী, ভূমিকা, প্রকার ইত্যাদি থাকে। আপনি যদি প্রথমবার SELinux সক্রিয় করেন, তাহলে আপনাকে প্রথমে প্রসঙ্গ এবং লেবেল কনফিগার করতে হবে। লেবেল এবং প্রসঙ্গ বরাদ্দ করার প্রক্রিয়াটি ট্যাগিং নামে পরিচিত। চিহ্নিতকরণ শুরু করতে, কনফিগারেশন ফাইলে আমরা মোড পরিবর্তন করি অনুমতিসূচক.

$ vi /etc/selinux/config
SELINUX=permissive

মোড সেট করার পর অনুমতিসূচক, নামের সাথে রুটে একটি খালি লুকানো ফাইল তৈরি করুন autorelabel

$ touch /.autorelabel

এবং কম্পিউটার পুনরায় চালু করুন

$ init 6

দ্রষ্টব্য: আমরা মোড ব্যবহার করি অনুমতিসূচক চিহ্নিত করার জন্য, মোড ব্যবহার করার পর থেকে প্রয়োগ রিবুট করার সময় সিস্টেম ক্র্যাশ হতে পারে।

কোনো ফাইলে ডাউনলোড আটকে গেলে চিন্তা করবেন না, চিহ্নিত করতে একটু সময় লাগে। একবার চিহ্নিতকরণ সম্পূর্ণ হলে এবং আপনার সিস্টেম বুট হয়ে গেলে, আপনি কনফিগারেশন ফাইলে গিয়ে মোড সেট করতে পারেন প্রয়োগএবং চালান:

$ setenforce 1

আপনি এখন সফলভাবে আপনার কম্পিউটারে SELinux সক্রিয় করেছেন।

লগ নিরীক্ষণ

চিহ্নিত করার সময় বা সিস্টেম চলাকালীন আপনি কিছু ত্রুটির সম্মুখীন হতে পারেন। আপনার SELinux সঠিকভাবে কাজ করছে কিনা এবং এটি কোনো পোর্ট, অ্যাপ্লিকেশন ইত্যাদির অ্যাক্সেস ব্লক করছে কিনা তা পরীক্ষা করতে, আপনাকে লগগুলি দেখতে হবে। SELinux লগটি অবস্থিত /var/log/audit/audit.log, কিন্তু ত্রুটি খুঁজে পেতে আপনাকে পুরো জিনিসটি পড়তে হবে না। আপনি ত্রুটি খুঁজে পেতে audit2why ইউটিলিটি ব্যবহার করতে পারেন। নিম্নলিখিত কমান্ড চালান:

$ audit2why < /var/log/audit/audit.log

ফলস্বরূপ, আপনি ত্রুটির একটি তালিকা পাবেন। লগে কোন ত্রুটি না থাকলে, কোন বার্তা প্রদর্শিত হবে না।

SELinux নীতি কনফিগার করা হচ্ছে

একটি SELinux নীতি হল নিয়মের একটি সেট যা SELinux নিরাপত্তা ব্যবস্থাকে নিয়ন্ত্রণ করে। একটি নীতি একটি নির্দিষ্ট পরিবেশের জন্য নিয়মের একটি সেট সংজ্ঞায়িত করে। এখন আমরা শিখব কীভাবে নিষিদ্ধ পরিষেবাগুলিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য নীতিগুলি কনফিগার করতে হয়৷

1. যৌক্তিক মান (সুইচ)

সুইচ (বুলিয়ান) আপনাকে নতুন নীতি তৈরি না করেই রানটাইমে একটি নীতির অংশ পরিবর্তন করতে দেয়। তারা আপনাকে SELinux পলিসি রিবুট বা পুনরায় কম্পাইল না করে পরিবর্তন করার অনুমতি দেয়।

উদাহরণ
ধরা যাক আমরা FTP রিড/রাইটের মাধ্যমে একজন ব্যবহারকারীর হোম ডিরেক্টরি ভাগ করতে চাই এবং আমরা ইতিমধ্যেই এটি ভাগ করেছি, কিন্তু যখন আমরা এটি অ্যাক্সেস করার চেষ্টা করি তখন আমরা কিছুই দেখতে পাই না। এর কারণ হল SELinux নীতি FTP সার্ভারকে ব্যবহারকারীর হোম ডিরেক্টরিতে পড়তে এবং লিখতে বাধা দেয়। আমাদের নীতি পরিবর্তন করতে হবে যাতে FTP সার্ভার হোম ডিরেক্টরি অ্যাক্সেস করতে পারে। এর জন্য কোন সুইচ আছে কি করে দেখা যাক

$ semanage boolean -l

এই কমান্ডটি উপলব্ধ সুইচগুলিকে তাদের বর্তমান অবস্থা (চালু বা বন্ধ) এবং বিবরণ সহ তালিকাভুক্ত করবে। আপনি শুধুমাত্র এফটিপি-র ফলাফল খুঁজে পেতে grep যোগ করে আপনার অনুসন্ধান পরিমার্জন করতে পারেন:

$ semanage boolean -l | grep ftp

এবং আপনি নিম্নলিখিত পাবেন

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

এই সুইচটি নিষ্ক্রিয় করা হয়েছে, তাই আমরা এটিকে সক্ষম করব setsebool $ setsebool ftp_home_dir on

এখন আমাদের এফটিপি ডেমন ব্যবহারকারীর হোম ডিরেক্টরি অ্যাক্সেস করতে সক্ষম হবে।
দ্রষ্টব্য: আপনি বর্ণনা ছাড়াই উপলব্ধ সুইচগুলির একটি তালিকাও পেতে পারেন getsebool -a

2. লেবেল এবং প্রসঙ্গ

এটি SELinux নীতি বাস্তবায়নের সবচেয়ে সাধারণ উপায়। প্রতিটি ফাইল, ফোল্ডার, প্রক্রিয়া এবং পোর্ট SELinux প্রসঙ্গ দ্বারা চিহ্নিত করা হয়েছে:

ফাইল এবং ফোল্ডারগুলির জন্য, লেবেলগুলি ফাইল সিস্টেমে বর্ধিত বৈশিষ্ট্য হিসাবে সংরক্ষণ করা হয় এবং নিম্নলিখিত কমান্ডের সাথে দেখা যেতে পারে:
```
$ ls -Z /etc/httpd
```
প্রসেস এবং পোর্টের জন্য, লেবেলিং কার্নেল দ্বারা পরিচালিত হয় এবং আপনি এই লেবেলগুলিকে নিম্নরূপ দেখতে পারেন:

প্রক্রিয়া

$ ps –auxZ | grep httpd

বন্দর

$ netstat -anpZ | grep httpd

উদাহরণ
লেবেল এবং প্রসঙ্গ ভালোভাবে বোঝার জন্য এখন একটি উদাহরণ দেখি। ধরা যাক আমরা একটি ওয়েব সার্ভার আছে যে, পরিবর্তে একটি ডিরেক্টরি /var/www/html/ использует /home/dan/html/. SELinux এটিকে নীতির লঙ্ঘন বলে বিবেচনা করবে এবং আপনি আপনার ওয়েব পৃষ্ঠাগুলি দেখতে পারবেন না। এর কারণ হল আমরা HTML ফাইলগুলির সাথে সম্পর্কিত নিরাপত্তা প্রসঙ্গ সেট করিনি৷ ডিফল্ট নিরাপত্তা প্রসঙ্গ দেখতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

এখানে আমরা পেয়েছিলাম httpd_sys_content_t html ফাইলের প্রসঙ্গ হিসাবে। আমাদের বর্তমান ডিরেক্টরির জন্য এই নিরাপত্তা প্রসঙ্গ সেট করতে হবে, যার বর্তমানে নিম্নলিখিত প্রসঙ্গ রয়েছে:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

একটি ফাইল বা ডিরেক্টরির নিরাপত্তা প্রসঙ্গ পরীক্ষা করার জন্য একটি বিকল্প কমান্ড:

$ semanage fcontext -l | grep '/var/www'

আমরা সঠিক নিরাপত্তা প্রসঙ্গ খুঁজে পেলে প্রসঙ্গ পরিবর্তন করতে semanage ব্যবহার করব। /home/dan/html এর প্রসঙ্গ পরিবর্তন করতে, নিম্নলিখিত কমান্ডগুলি চালান:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

semanage ব্যবহার করে প্রসঙ্গ পরিবর্তন করার পরে, restorecon কমান্ড ফাইল এবং ডিরেক্টরিগুলির জন্য ডিফল্ট প্রসঙ্গ লোড করবে। আমাদের ওয়েব সার্ভার এখন ফোল্ডার থেকে ফাইল পড়তে সক্ষম হবে /home/dan/htmlকারণ এই ফোল্ডারের নিরাপত্তা প্রসঙ্গে পরিবর্তন করা হয়েছে httpd_sys_content_t.

3. স্থানীয় নীতি তৈরি করুন

এমন পরিস্থিতি হতে পারে যেখানে উপরের পদ্ধতিগুলি আপনার কাজে লাগে না এবং আপনি audit.log-এ ত্রুটি (avc/denial) পান। যখন এটি ঘটবে, আপনাকে একটি স্থানীয় নীতি তৈরি করতে হবে। আপনি উপরে বর্ণিত হিসাবে audit2why ব্যবহার করে সমস্ত ত্রুটি খুঁজে পেতে পারেন।

আপনি ত্রুটিগুলি সমাধান করার জন্য একটি স্থানীয় নীতি তৈরি করতে পারেন। উদাহরণস্বরূপ, আমরা httpd (apache) বা smbd (samba) সম্পর্কিত একটি ত্রুটি পাই, আমরা ত্রুটিগুলি গ্রেপ করি এবং তাদের জন্য একটি নীতি তৈরি করি:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

এটা হল http_policy и smb_policy আমাদের তৈরি করা স্থানীয় নীতিগুলির নাম। এখন আমাদের এই তৈরি করা স্থানীয় নীতিগুলিকে বর্তমান SELinux নীতিতে লোড করতে হবে। ইহা এভাবে করা যাবে:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

আমাদের স্থানীয় নীতিগুলি ডাউনলোড করা হয়েছে এবং আমাদের আর audit.log-এ কোনো avc বা denail পাওয়া উচিত নয়৷

এটি আপনাকে SELinux বুঝতে সাহায্য করার জন্য আমার প্রচেষ্টা ছিল। আমি আশা করি এই নিবন্ধটি পড়ার পরে আপনি SELinux এর সাথে আরও স্বাচ্ছন্দ্য বোধ করবেন।

উত্স: www.habr.com

SELinux-এর জন্য একটি শিক্ষানবিস গাইড