🥇লিনাক্স নিরাপত্তা ব্যবস্থা

এমবেডেড, মোবাইল ডিভাইস এবং সার্ভারে লিনাক্স ওএস-এর অসাধারণ সাফল্যের একটি কারণ হল কার্নেল, সম্পর্কিত পরিষেবা এবং অ্যাপ্লিকেশনগুলির মোটামুটি উচ্চ মাত্রার নিরাপত্তা। কিন্তু যদি আপনি সব লিনাক্স কার্নেলের আর্কিটেকচারে, তাহলে এটিতে নিরাপত্তার জন্য দায়ী একটি বর্গক্ষেত্র খুঁজে পাওয়া অসম্ভব। লিনাক্স সিকিউরিটি সাবসিস্টেম কোথায় লুকিয়ে আছে এবং এতে কী আছে?

লিনাক্স নিরাপত্তা মডিউল এবং SELinux-এর পটভূমি

সিকিউরিটি এনহ্যান্সড লিনাক্স হল লিনাক্স সিস্টেমগুলিকে সম্ভাব্য হুমকি থেকে রক্ষা করার জন্য বাধ্যতামূলক এবং ভূমিকা-ভিত্তিক অ্যাক্সেস মডেলের উপর ভিত্তি করে নিয়ম এবং অ্যাক্সেস পদ্ধতির একটি সেট এবং ডিসক্রিশনারি অ্যাক্সেস কন্ট্রোল (DAC), ঐতিহ্যগত ইউনিক্স নিরাপত্তা ব্যবস্থার ত্রুটিগুলি সংশোধন করে। প্রকল্পটি ইউএস ন্যাশনাল সিকিউরিটি এজেন্সির অন্ত্রে উদ্ভূত হয়েছিল এবং এটি সরাসরি মূলত ঠিকাদার সিকিউর কম্পিউটিং কর্পোরেশন এবং MITER, সেইসাথে বেশ কয়েকটি গবেষণা ল্যাবরেটরি দ্বারা তৈরি করা হয়েছিল।

লিনাক্স নিরাপত্তা মডিউল

লিনাস টরভাল্ডস নতুন NSA উন্নয়ন সম্পর্কে অনেক মন্তব্য করেছেন যাতে সেগুলিকে প্রধান লাইন লিনাক্স কার্নেলে অন্তর্ভুক্ত করা যায়। তিনি একটি সাধারণ পরিবেশ বর্ণনা করেছেন, যেখানে বস্তুর সাথে ক্রিয়াকলাপ নিয়ন্ত্রণ করার জন্য ইন্টারসেপ্টরগুলির একটি সেট এবং সংশ্লিষ্ট বৈশিষ্ট্যগুলি সংরক্ষণ করার জন্য কার্নেল ডেটা স্ট্রাকচারে নির্দিষ্ট প্রতিরক্ষামূলক ক্ষেত্রগুলির একটি সেট। এই পরিবেশটি লোডযোগ্য কার্নেল মডিউল দ্বারা পছন্দসই নিরাপত্তা মডেল বাস্তবায়নের জন্য ব্যবহার করা যেতে পারে। LSM সম্পূর্ণরূপে 2.6 সালে Linux কার্নেল v2003 এ প্রবেশ করেছে।

LSM ফ্রেমওয়ার্ক ডাটা স্ট্রাকচারের গার্ড ক্ষেত্র এবং কার্নেল কোডের গুরুত্বপূর্ণ পয়েন্টে ইন্টারসেপশন ফাংশনগুলিকে ম্যানিপুলেট করতে এবং অ্যাক্সেস কন্ট্রোল সম্পাদন করতে কল করে। এটি নিরাপত্তা মডিউল নিবন্ধনের জন্য কার্যকারিতা যোগ করে। /sys/kernel/security/lsm ইন্টারফেসে সিস্টেমের সক্রিয় মডিউলগুলির একটি তালিকা রয়েছে। LSM হুকগুলি তালিকায় সংরক্ষিত থাকে যেগুলিকে CONFIG_LSM-এ নির্দিষ্ট ক্রম অনুসারে ডাকা হয়৷ হুক সম্পর্কে বিস্তারিত ডকুমেন্টেশন শিরোনাম ফাইল অন্তর্ভুক্ত/linux/lsm_hooks.h.

LSM সাবসিস্টেম স্থিতিশীল Linux কার্নেল v2.6-এর একই সংস্করণের সাথে SELinux-এর সম্পূর্ণ ইন্টিগ্রেশন সম্পন্ন করা সম্ভব করেছে। প্রায় অবিলম্বে, SELinux একটি নিরাপদ লিনাক্স পরিবেশের জন্য ডি ফ্যাক্টো স্ট্যান্ডার্ড হয়ে ওঠে এবং সবচেয়ে জনপ্রিয় ডিস্ট্রিবিউশনগুলির মধ্যে অন্তর্ভুক্ত ছিল: RedHat Enterprise Linux, Fedora, Debian, Ubuntu।

SELinux শব্দকোষ

পরিচয় — SELinux ব্যবহারকারী সাধারণ ইউনিক্স/লিনাক্স ব্যবহারকারী আইডির মতো নয়; তারা একই সিস্টেমে সহাবস্থান করতে পারে, কিন্তু সারাংশে সম্পূর্ণ ভিন্ন। প্রতিটি স্ট্যান্ডার্ড লিনাক্স অ্যাকাউন্ট SELinux-এ এক বা একাধিক অ্যাকাউন্টের সাথে সঙ্গতিপূর্ণ হতে পারে। SELinux আইডেন্টিটি হল সামগ্রিক নিরাপত্তা প্রেক্ষাপটের অংশ, যা নির্ধারণ করে আপনি কোন ডোমেনে যোগ দিতে পারবেন এবং কী করতে পারবেন না।
ডোমেনগুলি - SELinux-এ, একটি ডোমেন হল একটি বিষয়ের নির্বাহের প্রসঙ্গ, যেমন একটি প্রক্রিয়া। ডোমেন সরাসরি একটি প্রক্রিয়ার অ্যাক্সেস নির্ধারণ করে। একটি ডোমেইন মূলত কী কী প্রক্রিয়া করতে পারে বা একটি প্রক্রিয়া বিভিন্ন ধরনের সঙ্গে কী করতে পারে তার একটি তালিকা। ডোমেনের কিছু উদাহরণ হল সিস্টেম অ্যাডমিনিস্ট্রেশনের জন্য sysadm_t, এবং user_t যা একটি সাধারণ অ-সুবিধাপ্রাপ্ত ব্যবহারকারী ডোমেন। init সিস্টেমটি init_t ডোমেনে চলে এবং নামযুক্ত প্রক্রিয়াটি নামে-টি ডোমেনে চলে।
ভূমিকা — যা ডোমেইন এবং SELinux ব্যবহারকারীদের মধ্যে মধ্যস্থতাকারী হিসেবে কাজ করে। ভূমিকা নির্ধারণ করে কোন ব্যবহারকারী কোন ডোমেনের অন্তর্গত হতে পারে এবং তারা কোন ধরনের বস্তু অ্যাক্সেস করতে পারে। এই অ্যাক্সেস কন্ট্রোল মেকানিজম বিশেষাধিকার বৃদ্ধির আক্রমণের হুমকি প্রতিরোধ করে। ভূমিকাগুলি SELinux-এ ব্যবহৃত ভূমিকা ভিত্তিক অ্যাক্সেস কন্ট্রোল (RBAC) সুরক্ষা মডেলে লেখা হয়।
ধরনের — একটি টাইপ এনফোর্সমেন্ট লিস্ট অ্যাট্রিবিউট যা একটি অবজেক্টের জন্য বরাদ্দ করা হয় এবং কে এটি অ্যাক্সেস করতে পারে তা নির্ধারণ করে। ডোমেন সংজ্ঞার অনুরূপ, ডোমেনটি একটি প্রক্রিয়ার ক্ষেত্রে প্রযোজ্য এবং টাইপটি ডিরেক্টরি, ফাইল, সকেট ইত্যাদির মতো বস্তুর ক্ষেত্রে প্রযোজ্য।
বিষয় এবং বস্তু - প্রক্রিয়াগুলি বিষয় এবং একটি নির্দিষ্ট প্রসঙ্গে বা নিরাপত্তা ডোমেনে চালিত হয়। অপারেটিং সিস্টেম রিসোর্স: ফাইল, ডিরেক্টরি, সকেট, ইত্যাদি, এমন বস্তু যা একটি নির্দিষ্ট ধরনের বরাদ্দ করা হয়, অন্য কথায়, একটি গোপনীয়তা স্তর।
SELinux নীতি — SELinux সিস্টেম রক্ষা করার জন্য বিভিন্ন নীতি ব্যবহার করে। SELinux নীতি ব্যবহারকারীদের ভূমিকা, ডোমেনে ভূমিকা এবং প্রকারের ডোমেনের অ্যাক্সেসকে সংজ্ঞায়িত করে। প্রথমত, ব্যবহারকারী একটি ভূমিকা পাওয়ার জন্য অনুমোদিত, তারপর ভূমিকাটি ডোমেন অ্যাক্সেস করার জন্য অনুমোদিত। অবশেষে, একটি ডোমেনে শুধুমাত্র নির্দিষ্ট ধরনের বস্তুর অ্যাক্সেস থাকতে পারে।

LSM এবং SELinux আর্কিটেকচার

নাম থাকা সত্ত্বেও, LSMগুলি সাধারণত লোডযোগ্য লিনাক্স মডিউল নয়। যাইহোক, SELinux এর মত, এটি সরাসরি কার্নেলের সাথে একত্রিত হয়। LSM সোর্স কোডের যেকোন পরিবর্তনের জন্য একটি নতুন কার্নেল সংকলন প্রয়োজন। সংশ্লিষ্ট বিকল্পটি কার্নেল সেটিংসে সক্রিয় করা আবশ্যক, অন্যথায় বুট করার পরে LSM কোড সক্রিয় করা হবে না। তবে এই ক্ষেত্রেও, এটি OS বুটলোডার বিকল্প দ্বারা সক্ষম করা যেতে পারে।

LSM চেক স্ট্যাক

LSM মূল কার্নেল ফাংশনে হুক দিয়ে সজ্জিত যা চেকের জন্য প্রাসঙ্গিক হতে পারে। LSM-এর প্রধান বৈশিষ্ট্যগুলির মধ্যে একটি হল তারা স্ট্যাক করা হয়। এইভাবে, স্ট্যান্ডার্ড চেক এখনও সঞ্চালিত হয়, এবং LSM-এর প্রতিটি স্তর শুধুমাত্র অতিরিক্ত নিয়ন্ত্রণ এবং নিয়ন্ত্রণ যোগ করে। এর মানে এই নিষেধাজ্ঞা প্রত্যাহার করা যাবে না। এটি চিত্রে দেখানো হয়েছে; যদি নিয়মিত DAC চেকের ফলাফল ব্যর্থ হয়, তাহলে বিষয়টি LSM হুকের কাছেও পৌঁছাবে না।

SELinux ফ্লুক রিসার্চ অপারেটিং সিস্টেমের ফ্লাস্ক নিরাপত্তা আর্কিটেকচার গ্রহণ করে, বিশেষ করে ন্যূনতম বিশেষাধিকারের নীতি। এই ধারণাটির সারমর্ম, এটির নাম অনুসারে, ব্যবহারকারীকে মঞ্জুর করা বা শুধুমাত্র সেই অধিকারগুলি প্রক্রিয়া করা যা উদ্দেশ্যমূলক ক্রিয়াগুলি সম্পাদন করার জন্য প্রয়োজনীয়। এই নীতিটি জোরপূর্বক অ্যাক্সেস টাইপিং ব্যবহার করে প্রয়োগ করা হয়, এইভাবে SELinux-এ অ্যাক্সেস নিয়ন্ত্রণ ডোমেন => টাইপ মডেলের উপর ভিত্তি করে।

বাধ্যতামূলক অ্যাক্সেস টাইপিংয়ের জন্য ধন্যবাদ, ইউনিক্স/লিনাক্স অপারেটিং সিস্টেমে ব্যবহৃত প্রচলিত DAC মডেলের তুলনায় SELinux-এর অনেক বেশি অ্যাক্সেস নিয়ন্ত্রণ ক্ষমতা রয়েছে। উদাহরণস্বরূপ, আপনি যে নেটওয়ার্ক পোর্ট নম্বরের সাথে এফটিপি সার্ভার সংযোগ করবে তা সীমিত করতে পারেন, একটি নির্দিষ্ট ফোল্ডারে ফাইলগুলি লিখতে এবং পরিবর্তন করার অনুমতি দিতে পারেন, কিন্তু সেগুলি মুছে ফেলতে পারবেন না।

SELinux এর প্রধান উপাদান হল:

পলিসি এনফোর্সমেন্ট সার্ভার - অ্যাক্সেস নিয়ন্ত্রণ সংগঠিত করার জন্য প্রধান প্রক্রিয়া।
সিস্টেম নিরাপত্তা নীতি ডাটাবেস.
LSM ইভেন্ট ইন্টারসেপ্টরের সাথে মিথস্ক্রিয়া।
Selinuxfs - Pseudo-FS, /proc এর মতো এবং /sys/fs/selinux-এ মাউন্ট করা হয়েছে। রানটাইমে লিনাক্স কার্নেল দ্বারা গতিশীলভাবে জনবহুল এবং SELinux স্ট্যাটাস তথ্য ধারণকারী ফাইল ধারণ করে।
ভেক্টর ক্যাশে অ্যাক্সেস করুন - উত্পাদনশীলতা বৃদ্ধির জন্য একটি সহায়ক প্রক্রিয়া।

SELinux কিভাবে কাজ করে

এটা সব এই মত কাজ করে.

একটি নির্দিষ্ট বিষয়, SELinux পরিভাষায়, DAC চেকের পরে একটি বস্তুর উপর একটি অনুমোদিত ক্রিয়া সম্পাদন করে, যেমনটি উপরের ছবিতে দেখানো হয়েছে। অপারেশন করার এই অনুরোধ LSM ইভেন্ট ইন্টারসেপ্টরের কাছে যায়।
সেখান থেকে, বিষয় এবং অবজেক্টের নিরাপত্তা প্রসঙ্গ সহ অনুরোধটি SELinux অ্যাবস্ট্রাকশন এবং হুক লজিক মডিউলে পাঠানো হয়, যা LSM-এর সাথে যোগাযোগের জন্য দায়ী।
একটি বিষয়ের অ্যাক্সেসের বিষয়ে সিদ্ধান্ত গ্রহণকারী কর্তৃপক্ষ হল পলিসি এনফোর্সমেন্ট সার্ভার এবং এটি SELinux AnHL থেকে ডেটা গ্রহণ করে।
অ্যাক্সেস বা অস্বীকৃতি সম্পর্কে সিদ্ধান্ত নিতে, নীতি প্রয়োগকারী সার্ভার সর্বাধিক ব্যবহৃত নিয়মগুলির জন্য অ্যাক্সেস ভেক্টর ক্যাশে (AVC) ক্যাশিং সাবসিস্টেমে পরিণত হয়৷
যদি ক্যাশে সংশ্লিষ্ট নিয়মের জন্য একটি সমাধান পাওয়া না যায়, তাহলে অনুরোধটি নিরাপত্তা নীতি ডাটাবেসে পাঠানো হয়।
ডাটাবেস এবং AVC থেকে অনুসন্ধানের ফলাফল পলিসি এনফোর্সমেন্ট সার্ভারে ফেরত দেওয়া হয়।
যদি পাওয়া নীতি অনুরোধ করা কর্মের সাথে মেলে, তাহলে অপারেশন অনুমোদিত। অন্যথায়, অপারেশন নিষিদ্ধ।

SELinux সেটিংস পরিচালনা করা

SELinux তিনটি মোডের একটিতে কাজ করে:

এনফোর্সিং - নিরাপত্তা নীতির কঠোর আনুগত্য।
অনুমতিমূলক - বিধিনিষেধ লঙ্ঘন অনুমোদিত; জার্নালে একটি সংশ্লিষ্ট নোট তৈরি করা হয়।
অক্ষম-নিরাপত্তা নীতি কার্যকর নয়।

আপনি নিম্নলিখিত কমান্ডের সাহায্যে SELinux কোন মোডে আছে তা দেখতে পারেন।

[admin@server ~]$ getenforce
Permissive

রিবুট করার আগে মোড পরিবর্তন করা, উদাহরণস্বরূপ, এটিকে এনফোর্সিং-এ সেট করা বা 1। অনুমতিমূলক প্যারামিটারটি সংখ্যাসূচক কোড 0-এর সাথে মিলে যায়।

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

আপনি ফাইলটি সম্পাদনা করে মোড পরিবর্তন করতে পারেন:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE=লক্ষ্য

setenfoce এর সাথে পার্থক্য হল যে যখন অপারেটিং সিস্টেম বুট হয়, SELinux মোড কনফিগারেশন ফাইলের SELINUX প্যারামিটারের মান অনুযায়ী সেট করা হবে। উপরন্তু, <=> নিষ্ক্রিয় করার ক্ষেত্রে পরিবর্তনগুলি শুধুমাত্র /etc/selinux/config ফাইল সম্পাদনা করে এবং পুনরায় বুট করার পরে কার্যকর হয়।

একটি সংক্ষিপ্ত অবস্থা রিপোর্ট দেখুন:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
SELinux বৈশিষ্ট্যগুলি দেখতে, কিছু মানক ইউটিলিটি -Z প্যারামিটার ব্যবহার করে।

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l-এর স্বাভাবিক আউটপুটের তুলনায়, নিম্নলিখিত বিন্যাসে বেশ কিছু অতিরিক্ত ক্ষেত্র রয়েছে:

<user>:<role>:<type>:<level>

শেষ ক্ষেত্রটি একটি নিরাপত্তা শ্রেণীবিভাগের মতো কিছু নির্দেশ করে এবং দুটি উপাদানের সমন্বয় নিয়ে গঠিত:

s0 - তাৎপর্য, নিম্নস্তরের-উচ্চস্তরের ব্যবধান হিসাবেও লেখা
c0, c1… c1023 - বিভাগ।

অ্যাক্সেস কনফিগারেশন পরিবর্তন করা হচ্ছে

SELinux মডিউল লোড, যোগ এবং অপসারণ করতে সেমডিউল ব্যবহার করুন।

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

প্রথম দল semanage লগইন SELinux ব্যবহারকারীকে অপারেটিং সিস্টেম ব্যবহারকারীর সাথে সংযুক্ত করে, দ্বিতীয়টি একটি তালিকা প্রদর্শন করে। অবশেষে, -r সুইচ সহ শেষ কমান্ডটি SELinux ব্যবহারকারীদের OS অ্যাকাউন্টে ম্যাপিং সরিয়ে দেয়। MLS/MCS পরিসরের মানের জন্য সিনট্যাক্সের একটি ব্যাখ্যা পূর্ববর্তী বিভাগে রয়েছে।

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
টীম semanage ব্যবহারকারী SELinux ব্যবহারকারী এবং ভূমিকাগুলির মধ্যে ম্যাপিং পরিচালনা করতে ব্যবহৃত হয়।

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

কমান্ড পরামিতি:

- একটি কাস্টম ভূমিকা ম্যাপিং এন্ট্রি যোগ করুন;
-l মেলা ব্যবহারকারী এবং ভূমিকার তালিকা;
-d ব্যবহারকারীর ভূমিকা ম্যাপিং এন্ট্রি মুছে ফেলুন;
- ব্যবহারকারীর সাথে সংযুক্ত ভূমিকার তালিকা;

ফাইল, পোর্ট এবং বুলিয়ান মান

প্রতিটি SELinux মডিউল ফাইল ট্যাগিং নিয়মের একটি সেট প্রদান করে, তবে প্রয়োজনে আপনি নিজের নিয়মও যোগ করতে পারেন। উদাহরণস্বরূপ, আমরা চাই যে ওয়েব সার্ভারের /srv/www ফোল্ডারে অ্যাক্সেসের অধিকার থাকবে।

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

প্রথম কমান্ডটি নতুন চিহ্নিত করার নিয়ম নিবন্ধন করে, এবং দ্বিতীয়টি রিসেট করে, বা বরং বর্তমান নিয়ম অনুসারে ফাইলের ধরনগুলি সেট করে।

একইভাবে, টিসিপি/ইউডিপি পোর্টগুলিকে এমনভাবে চিহ্নিত করা হয়েছে যে শুধুমাত্র উপযুক্ত পরিষেবাগুলি তাদের শুনতে পারে। উদাহরণস্বরূপ, পোর্ট 8080 এ ওয়েব সার্ভার শোনার জন্য, আপনাকে কমান্ডটি চালাতে হবে।

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux মডিউলগুলির একটি উল্লেখযোগ্য সংখ্যক পরামিতি রয়েছে যা বুলিয়ান মান গ্রহণ করতে পারে। এই ধরনের প্যারামিটারের সম্পূর্ণ তালিকা getsebool -a ব্যবহার করে দেখা যেতে পারে। আপনি সেটসেবুল ব্যবহার করে বুলিয়ান মান পরিবর্তন করতে পারেন।

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

কর্মশালা, Pgadmin-ওয়েব ইন্টারফেসে অ্যাক্সেস লাভ করুন

আসুন একটি ব্যবহারিক উদাহরণ দেখি: আমরা পোস্টগ্রেএসকিউএল ডাটাবেস পরিচালনা করতে RHEL 7.6-এ pgadmin4-web ইনস্টল করেছি। আমরা একটু হাঁটলাম খোঁজা pg_hba.conf, postgresql.conf এবং config_local.py এর সেটিংসের সাথে ফোল্ডার অনুমতি সেট করুন, পাইপ থেকে অনুপস্থিত পাইথন মডিউল ইনস্টল করুন। সবকিছু প্রস্তুত, আমরা লঞ্চ এবং গ্রহণ 500 অভ্যন্তরীণ সার্ভার সমস্যা.

আমরা সাধারণ সন্দেহভাজনদের সাথে শুরু করি, /var/log/httpd/error_log পরীক্ষা করে। সেখানে কিছু আকর্ষণীয় এন্ট্রি আছে.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

এই মুহুর্তে, বেশিরভাগ লিনাক্স অ্যাডমিনিস্ট্রেটররা setencorce 0 চালানোর জন্য প্রবলভাবে প্রলুব্ধ হবে, এবং এটিই এর শেষ হবে। সত্যি বলতে কি, আমি প্রথমবার সেটাই করেছি। এটি অবশ্যই একটি উপায় আউট, কিন্তু সেরা থেকে অনেক দূরে.

কষ্টকর ডিজাইন সত্ত্বেও, SELinux ব্যবহারকারী-বান্ধব হতে পারে। শুধু setroubleshoot প্যাকেজটি ইনস্টল করুন এবং সিস্টেম লগটি দেখুন।

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

অনুগ্রহ করে মনে রাখবেন যে অডিটড পরিষেবাটি এইভাবে পুনরায় চালু করতে হবে এবং OS-এ systemd থাকা সত্ত্বেও systemctl ব্যবহার না করা উচিত। সিস্টেম লগে নির্দেশিত হবে শুধু ব্লক করার ঘটনাই নয়, কারণও নিষেধাজ্ঞা কাটিয়ে ওঠার উপায়.

আমরা এই কমান্ডগুলি কার্যকর করি:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1 [admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

আমরা pgadmin4-ওয়েব ওয়েব পৃষ্ঠায় অ্যাক্সেস পরীক্ষা করি, সবকিছু কাজ করে।

উত্স: www.habr.com

লিনাক্স সিকিউরিটি সিস্টেম