🥇 SELinux-এ সিস্টেম অ্যাডমিনিস্ট্রেটরদের জন্য চিট শীট: গুরুত্বপূর্ণ প্রশ্নের 42টি উত্তর

নিবন্ধটির অনুবাদটি কোর্সের শিক্ষার্থীদের জন্য বিশেষভাবে প্রস্তুত করা হয়েছিল "লিনাক্স প্রশাসক".

এখানে আপনি জীবন, মহাবিশ্ব এবং লিনাক্সের সবকিছু সম্পর্কে উন্নত নিরাপত্তার সাথে গুরুত্বপূর্ণ প্রশ্নের উত্তর পাবেন।

"গুরুত্বপূর্ণ সত্য যে জিনিসগুলি সবসময় যা মনে হয় তা হয় না সাধারণ জ্ঞান..."

-ডগলাস অ্যাডামস, The Hitchhiker's Guide to the Galaxy

নিরাপত্তা বর্ধিত নির্ভরযোগ্যতা। চিঠিপত্র। নীতি. Apocalypse sysadmin এর চার ঘোড়সওয়ার. আমাদের দৈনন্দিন কাজগুলি ছাড়াও - পর্যবেক্ষণ, ব্যাকআপ, বাস্তবায়ন, কনফিগারেশন, আপডেট করা ইত্যাদি - আমরা আমাদের সিস্টেমের নিরাপত্তার জন্যও দায়ী৷ এমনকি সেই সিস্টেমগুলি যেখানে তৃতীয় পক্ষের প্রদানকারী সুপারিশ করে যে আমরা উন্নত নিরাপত্তা অক্ষম করি। এটা কাজের মত মনে হয় ইথান হান্ট "মিশন: ইম্পসিবল" থেকে

এই দ্বিধা সম্মুখীন, কিছু সিস্টেম প্রশাসক গ্রহণ করার সিদ্ধান্ত নিয়েছে নীল বড়ি, কারণ তারা মনে করে তারা কখনই জীবন, মহাবিশ্ব এবং এই সমস্ত কিছুর বড় প্রশ্নের উত্তর জানতে পারবে না। এবং আমরা সবাই জানি, উত্তর হল 42।

The Hitchhiker's Guide to the Galaxy-এর চেতনায়, এখানে নিয়ন্ত্রণ এবং ব্যবহার সম্পর্কে গুরুত্বপূর্ণ প্রশ্নের 42টি উত্তর রয়েছে৷ SELinux- র আপনার সিস্টেমে।

1. SELinux হল একটি বাধ্যতামূলক অ্যাক্সেস কন্ট্রোল সিস্টেম, যার মানে প্রতিটি প্রক্রিয়ার একটি লেবেল রয়েছে। প্রতিটি ফাইল, ডিরেক্টরি এবং সিস্টেম অবজেক্টেরও লেবেল রয়েছে। নীতি নিয়ম ট্যাগ করা প্রক্রিয়া এবং বস্তুর মধ্যে অ্যাক্সেস নিয়ন্ত্রণ করে। কার্নেল এই নিয়মগুলি প্রয়োগ করে।

2. দুটি সবচেয়ে গুরুত্বপূর্ণ ধারণা হল: লেবেল — চিহ্নিতকরণ (ফাইল, প্রক্রিয়া, পোর্ট, ইত্যাদি) এবং প্রয়োগের ধরন (যা প্রকারের উপর ভিত্তি করে একে অপরের থেকে প্রক্রিয়াগুলিকে বিচ্ছিন্ন করে)।

3. সঠিক লেবেল বিন্যাস user:role:type:level (ঐচ্ছিক)।

4. বহু-স্তরের নিরাপত্তা প্রদানের উদ্দেশ্য (মাল্টি-লেভেল সিকিউরিটি - এমএলএস) হল তারা যে ডেটা ব্যবহার করবে তার নিরাপত্তার স্তরের উপর ভিত্তি করে প্রক্রিয়াগুলি (ডোমেন) পরিচালনা করা। উদাহরণস্বরূপ, একটি গোপন প্রক্রিয়া শীর্ষ গোপন তথ্য পড়তে পারে না।

5. বহু-বিভাগের নিরাপত্তা নিশ্চিত করা (মাল্টি-ক্যাটাগরি সিকিউরিটি - এমসিএস) একে অপরের থেকে অনুরূপ প্রক্রিয়াগুলিকে রক্ষা করে (উদাহরণস্বরূপ, ভার্চুয়াল মেশিন, ওপেনশিফট ইঞ্জিন, SELinux স্যান্ডবক্স, কন্টেনার, ইত্যাদি)।

6. বুটে SELinux মোড পরিবর্তন করার জন্য কার্নেল বিকল্প:

autorelabel=1 → সিস্টেমকে রিবেলিং চালানোর কারণ করে
selinux=0 → কার্নেল SELinux পরিকাঠামো লোড করে না
enforcing=0 → পারমিসিভ মোডে লোড হচ্ছে

7. আপনি যদি পুরো সিস্টেমটি পুনরায় লেবেল করতে চান:

# touch /.autorelabel #reboot

যদি সিস্টেম চিহ্নিতকরণে প্রচুর পরিমাণে ত্রুটি থাকে, তাহলে আপনাকে সফল হওয়ার জন্য মন্তব্য করার জন্য অনুমতিমূলক মোডে বুট করতে হতে পারে।

8. SELinux সক্ষম কিনা তা পরীক্ষা করতে: # getenforce

9. সাময়িকভাবে SELinux সক্ষম/অক্ষম করতে: # setenforce [1|0]

10. SELinux স্থিতি পরীক্ষা করা হচ্ছে: # sestatus

11. কনফিগারেশন ফাইল: /etc/selinux/config

12. SELinux কিভাবে কাজ করে? এখানে Apache ওয়েব সার্ভারের জন্য একটি উদাহরণ চিহ্নিত করা হল:

বাইনারি উপস্থাপনা: /usr/sbin/httpd→httpd_exec_t
কনফিগারেশন ডিরেক্টরি: /etc/httpd→httpd_config_t
লগ ফাইল ডিরেক্টরি: /var/log/httpd → httpd_log_t
বিষয়বস্তু ডিরেক্টরি: /var/www/html → httpd_sys_content_t
স্ক্রিপ্ট লঞ্চ করুন: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
প্রক্রিয়া: /usr/sbin/httpd -DFOREGROUND → httpd_t
বন্দর: 80/tcp, 443/tcp → httpd_t, http_port_t

প্রেক্ষাপটে প্রক্রিয়া চলছে httpd_t, একটি লেবেলযুক্ত বস্তুর সাথে যোগাযোগ করতে পারে httpd_something_t.

13. অনেক কমান্ড একটি যুক্তি গ্রহণ করে -Z প্রসঙ্গ দেখতে, তৈরি করতে এবং পরিবর্তন করতে:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

প্রসঙ্গগুলি প্রতিষ্ঠিত হয় যখন ফাইলগুলি তাদের মূল ডিরেক্টরির প্রসঙ্গের উপর ভিত্তি করে তৈরি করা হয় (কিছু ব্যতিক্রম সহ)। RPMগুলি ইনস্টলেশনের সময় প্রসঙ্গ স্থাপন করতে পারে।

14. SELinux ত্রুটির চারটি প্রধান কারণ রয়েছে, যা নীচের 15-21 পয়েন্টে আরও বিশদে বর্ণনা করা হয়েছে:

লেবেলিং সমস্যা
SELinux কে জানতে হবে এমন কিছুর কারণে
SELinux নীতি/অ্যাপ্লিকেশানে ত্রুটি
আপনার তথ্য আপস করা হতে পারে

15. লেবেল সমস্যা: যদি আপনার ফাইলগুলি থাকে /srv/myweb ভুলভাবে চিহ্নিত করা হয়েছে, অ্যাক্সেস অস্বীকার করা যেতে পারে। এখানে এটি ঠিক করার কিছু উপায় আছে:

আপনি যদি লেবেল জানেন:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
আপনি যদি সমতুল্য চিহ্ন সহ একটি ফাইল জানেন:
# semanage fcontext -a -e /srv/myweb /var/www
প্রসঙ্গ পুনরুদ্ধার করা হচ্ছে (উভয় ক্ষেত্রেই):
# restorecon -vR /srv/myweb

16. লেবেল সমস্যা: আপনি যদি ফাইলটিকে অনুলিপি করার পরিবর্তে সরান, ফাইলটি তার মূল প্রসঙ্গ ধরে রাখবে। এই সমস্যাটি সমাধান করতে:

লেবেল সহ প্রসঙ্গ কমান্ড পরিবর্তন করুন:
# chcon -t httpd_system_content_t /var/www/html/index.html
লিঙ্ক লেবেল সহ প্রসঙ্গ কমান্ড পরিবর্তন করুন:
# chcon --reference /var/www/html/ /var/www/html/index.html
প্রসঙ্গ পুনরুদ্ধার করুন (উভয় ক্ষেত্রেই): # restorecon -vR /var/www/html/

17. যদি SELinux আপনাকে জানতে হবেযে HTTPD পোর্ট 8585 এ শুনছে, SELinux কে বলুন:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux আপনাকে জানতে হবে বুলিয়ান মান যা SELinux নীতির অংশগুলিকে SELinux নীতির ওভাররাইট করার জ্ঞান ছাড়াই রানটাইমে পরিবর্তন করার অনুমতি দেয়। উদাহরণস্বরূপ, আপনি যদি httpd ইমেল পাঠাতে চান তবে লিখুন: # setsebool -P httpd_can_sendmail 1

19. SELinux আপনাকে জানতে হবে SELinux সেটিংস সক্রিয়/অক্ষম করার জন্য যৌক্তিক মান:

সমস্ত বুলিয়ান মান দেখতে: # getsebool -a
প্রতিটির একটি বিবরণ দেখতে: # semanage boolean -l
একটি বুলিয়ান মান সেট করতে: # setsebool [_boolean_] [1|0]
একটি স্থায়ী ইনস্টলেশনের জন্য, যোগ করুন -P। উদাহরণস্বরূপ: # setsebool httpd_enable_ftp_server 1 -P

20. SELinux নীতি/অ্যাপ্লিকেশানে ত্রুটি থাকতে পারে, যার মধ্যে রয়েছে:

অস্বাভাবিক কোড পাথ
কনফিগারেশন
stdout পুনঃনির্দেশ করা হচ্ছে
ফাইল বর্ণনাকারী ফাঁস
এক্সিকিউটেবল মেমরি
দুর্বলভাবে নির্মিত লাইব্রেরি

টিকিট খুলুন (বাগজিলায় রিপোর্ট জমা দেবেন না; বাগজিলার কোনো SLA নেই)।

21. আপনার তথ্য আপস করা হতে পারেআপনার যদি সীমাবদ্ধ ডোমেন থাকে যা করার চেষ্টা করছেন:

কার্নেল মডিউল লোড করুন
প্রয়োগকৃত SELinux মোড অক্ষম করুন
লিখুন etc_t/shadow_t
iptables নিয়ম পরিবর্তন করুন

22. নীতি মডিউল উন্নয়নের জন্য SELinux টুল:

# yum -y install setroubleshoot setroubleshoot-server

রিবুট বা রিস্টার্ট করুন auditd ইনস্টলেশনের পরে।

23. ব্যবহার

journalctl

সাথে যুক্ত সমস্ত লগের একটি তালিকা প্রদর্শন করতে setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ব্যবহার journalctl একটি নির্দিষ্ট SELinux ট্যাগের সাথে যুক্ত সমস্ত লগ তালিকাভুক্ত করতে। উদাহরণ স্বরূপ:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. SELinux ত্রুটি দেখা দিলে, লগ ব্যবহার করুন setroubleshoot বিভিন্ন সম্ভাব্য সমাধান প্রস্তাব.
উদাহরণস্বরূপ, থেকে journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. লগিং: SELinux অনেক জায়গায় তথ্য রেকর্ড করে:

প্রথমেই / var / log /? বার্তা
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. লগিং: অডিট লগে SELinux ত্রুটির জন্য অনুসন্ধান করা হচ্ছে:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. একটি নির্দিষ্ট পরিষেবার জন্য SELinux অ্যাক্সেস ভেক্টর ক্যাশে (AVC) বার্তাগুলি খুঁজে পেতে:

# ausearch -m avc -c httpd

29. ইউটিলিটি audit2allow নিষিদ্ধ ক্রিয়াকলাপের লগ থেকে তথ্য সংগ্রহ করে এবং তারপর SELinux অনুমতি নীতির নিয়ম তৈরি করে। উদাহরণ স্বরূপ:

কেন অ্যাক্সেস অস্বীকার করা হয়েছে তার একটি মানব-পাঠযোগ্য বর্ণনা তৈরি করতে: # audit2allow -w -a
প্রবেশাধিকার অস্বীকার করার অনুমতি দেয় এমন একটি টাইপ প্রয়োগকারী নিয়ম দেখতে: # audit2allow -a
একটি কাস্টম মডিউল তৈরি করতে: # audit2allow -a -M mypolicy
বিকল্প -M নির্দিষ্ট নামের সাথে একটি টাইপ এনফোর্সমেন্ট ফাইল (.te) তৈরি করে এবং নিয়মটিকে একটি নীতি প্যাকেজে (.pp) কম্পাইল করে: mypolicy.pp mypolicy.te
একটি কাস্টম মডিউল ইনস্টল করতে: # semodule -i mypolicy.pp

30. অনুমতিমূলক মোডে কাজ করার জন্য একটি পৃথক প্রক্রিয়া (ডোমেন) কনফিগার করতে: # semanage permissive -a httpd_t

31. আপনি যদি আর ডোমেনটিকে অনুমতিমূলক হতে না চান: # semanage permissive -d httpd_t

32. সমস্ত অনুমতিমূলক ডোমেন নিষ্ক্রিয় করতে: # semodule -d permissivedomains

33. MLS SELinux নীতি সক্রিয় করা হচ্ছে: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

নিশ্চিত করুন যে SELinux অনুমতিমূলক মোডে চলছে: # setenforce 0
একটি স্ক্রিপ্ট ব্যবহার করুন fixfilesপরবর্তী রিবুটে ফাইলগুলি পুনরায় লেবেল করা হয়েছে তা নিশ্চিত করতে:

# fixfiles -F onboot # reboot

34. একটি নির্দিষ্ট MLS পরিসর সহ একটি ব্যবহারকারী তৈরি করুন: # useradd -Z staff_u john

কমান্ড ব্যবহার করে useradd, নতুন ব্যবহারকারীকে একটি বিদ্যমান SELinux ব্যবহারকারীর সাথে ম্যাপ করুন (এই ক্ষেত্রে, staff_u).

35. SELinux এবং Linux ব্যবহারকারীদের মধ্যে ম্যাপিং দেখতে: # semanage login -l

36. ব্যবহারকারীর জন্য একটি নির্দিষ্ট পরিসর সংজ্ঞায়িত করুন: # semanage login --modify --range s2:c100 john

37. ব্যবহারকারীর হোম ডিরেক্টরি লেবেল সংশোধন করতে (যদি প্রয়োজন হয়): # chcon -R -l s2:c100 /home/john

38. বর্তমান বিভাগ দেখতে: # chcat -L

39. বিভাগগুলি পরিবর্তন করতে বা আপনার নিজের তৈরি করা শুরু করতে, ফাইলটি নিম্নরূপ সম্পাদনা করুন:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. একটি নির্দিষ্ট ফাইল, ভূমিকা এবং ব্যবহারকারী প্রসঙ্গে একটি কমান্ড বা স্ক্রিপ্ট চালানোর জন্য:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t ফাইল প্রসঙ্গ
-r ভূমিকা প্রসঙ্গ
-u ব্যবহারকারীর প্রসঙ্গ

41. SELinux অক্ষম সহ চলমান পাত্র:

পডম্যান: # podman run --security-opt label=disable …
ডক-শ্রমিক: # docker run --security-opt label=disable …

42. আপনার যদি কন্টেইনারটিকে সিস্টেমে সম্পূর্ণ অ্যাক্সেস দিতে হয়:

পডম্যান: # podman run --privileged …
ডক-শ্রমিক: # docker run --privileged …

এবং এখন আপনি ইতিমধ্যে উত্তর জানেন। তাই অনুগ্রহ করে: আতঙ্কিত হবেন না এবং SELinux সক্রিয় করুন।

রেফারেন্স:

উত্স: www.habr.com

সিস্টেম অ্যাডমিনিস্ট্রেটরদের জন্য SELinux চিট শীট: গুরুত্বপূর্ণ প্রশ্নের 42টি উত্তর

রেফারেন্স:

একটি মন্তব্য জুড়ুন উত্তর বাতিল