અભ્યાસક્રમના વિદ્યાર્થીઓ માટે તૈયાર કરેલ લેખનો અનુવાદ "લિનક્સ સુરક્ષા"

SELinux અથવા સુરક્ષા ઉન્નત Linux એ દૂષિત ઘૂસણખોરીને રોકવા માટે યુએસ નેશનલ સિક્યુરિટી એજન્સી (NSA) દ્વારા વિકસાવવામાં આવેલ ઉન્નત એક્સેસ કંટ્રોલ મિકેનિઝમ છે. તે ફરજિયાત (અથવા ફરજિયાત) એક્સેસ કંટ્રોલ મોડલ (અંગ્રેજી ફરજિયાત એક્સેસ કંટ્રોલ, MAC) હાલના વિવેકાધીન (અથવા પસંદગીયુક્ત) મોડલ (અંગ્રેજી ડિસ્ક્રિશનરી એક્સેસ કંટ્રોલ, DAC) ની ટોચ પર લાગુ કરે છે, એટલે કે વાંચવા, લખવા, ચલાવવાની પરવાનગીઓ.

SELinux માં ત્રણ મોડ છે:

અમલ - નીતિ નિયમોના આધારે ઍક્સેસ નકાર.
અનુમતિ આપનારું - નીતિનું ઉલ્લંઘન કરતી ક્રિયાઓનો લોગ રાખવો, જે અમલીકરણ મોડમાં પ્રતિબંધિત હશે.
અપંગ - SELinux નું સંપૂર્ણ નિષ્ક્રિય.

મૂળભૂત રીતે સેટિંગ્સમાં છે /etc/selinux/config

SELinux મોડ્સ બદલી રહ્યા છીએ

વર્તમાન મોડ શોધવા માટે, ચલાવો

$ getenforce

મોડને પરવાનગીમાં બદલવા માટે નીચેનો આદેશ ચલાવો

$ setenforce 0

અથવા, થી મોડ બદલવા માટે અનુમતિ પર અમલ, ચલાવો

$ setenforce 1

જો તમારે SELinux ને સંપૂર્ણપણે નિષ્ક્રિય કરવાની જરૂર હોય, તો આ ફક્ત રૂપરેખાંકન ફાઇલ દ્વારા જ કરી શકાય છે

$ vi /etc/selinux/config

અક્ષમ કરવા માટે, નીચે પ્રમાણે SELINUX પરિમાણ બદલો:

SELINUX=disabled

SELinux સેટ કરી રહ્યું છે

દરેક ફાઇલ અને પ્રક્રિયાને SELinux સંદર્ભ સાથે ચિહ્નિત કરવામાં આવે છે, જેમાં વધારાની માહિતી જેમ કે વપરાશકર્તા, ભૂમિકા, પ્રકાર વગેરેનો સમાવેશ થાય છે. જો આ તમારી પ્રથમ વખત SELinux સક્રિય કરી રહ્યા હોય, તો તમારે પહેલા સંદર્ભ અને લેબલ્સ રૂપરેખાંકિત કરવાની જરૂર પડશે. લેબલ્સ અને સંદર્ભ સોંપવાની પ્રક્રિયાને ટેગિંગ તરીકે ઓળખવામાં આવે છે. માર્કિંગ શરૂ કરવા માટે, રૂપરેખાંકન ફાઇલમાં અમે મોડને આમાં બદલીએ છીએ અનુમતિ.

$ vi /etc/selinux/config
SELINUX=permissive

મોડ સેટ કર્યા પછી અનુમતિ, નામ સાથે રૂટમાં ખાલી છુપાયેલ ફાઇલ બનાવો autorelabel

$ touch /.autorelabel

અને કોમ્પ્યુટર રીસ્ટાર્ટ કરો

$ init 6

નોંધ: અમે મોડનો ઉપયોગ કરીએ છીએ અનુમતિ માર્કિંગ માટે, મોડના ઉપયોગથી અમલ રીબૂટ દરમિયાન સિસ્ટમ ક્રેશ થવાનું કારણ બની શકે છે.

જો ડાઉનલોડ કેટલીક ફાઇલ પર અટકી જાય તો ચિંતા કરશો નહીં, માર્કિંગમાં થોડો સમય લાગે છે. એકવાર માર્કિંગ પૂર્ણ થઈ જાય અને તમારી સિસ્ટમ બુટ થઈ જાય, તમે રૂપરેખાંકન ફાઈલ પર જઈને મોડ સેટ કરી શકો છો અમલઅને ચલાવો:

$ setenforce 1

તમે હવે તમારા કમ્પ્યુટર પર SELinux સફળતાપૂર્વક સક્ષમ કર્યું છે.

લોગ મોનીટરીંગ

માર્કિંગ દરમિયાન અથવા સિસ્ટમ ચાલી રહી હોય ત્યારે તમને કેટલીક ભૂલો આવી હશે. તમારું SELinux યોગ્ય રીતે કામ કરી રહ્યું છે કે કેમ તે ચકાસવા માટે અને જો તે કોઈપણ પોર્ટ, એપ્લિકેશન, વગેરેની ઍક્સેસને અવરોધિત કરતું નથી, તો તમારે લોગ જોવાની જરૂર છે. SELinux લોગમાં સ્થિત છે /var/log/audit/audit.log, પરંતુ તમારે ભૂલો શોધવા માટે આખી વસ્તુ વાંચવાની જરૂર નથી. તમે ભૂલો શોધવા માટે audit2why ઉપયોગિતાનો ઉપયોગ કરી શકો છો. નીચેનો આદેશ ચલાવો:

$ audit2why < /var/log/audit/audit.log

પરિણામે, તમને ભૂલોની સૂચિ પ્રાપ્ત થશે. જો લોગમાં કોઈ ભૂલો ન હતી, તો પછી કોઈ સંદેશા પ્રદર્શિત થશે નહીં.

SELinux નીતિ રૂપરેખાંકિત કરી રહ્યા છીએ

SELinux પોલિસી એ નિયમોનો સમૂહ છે જે SELinux સુરક્ષા મિકેનિઝમને સંચાલિત કરે છે. નીતિ ચોક્કસ પર્યાવરણ માટે નિયમોના સમૂહને વ્યાખ્યાયિત કરે છે. હવે આપણે શીખીશું કે પ્રતિબંધિત સેવાઓને ઍક્સેસ કરવાની મંજૂરી આપવા માટે નીતિઓને કેવી રીતે ગોઠવવી.

1. તાર્કિક મૂલ્યો (સ્વિચ)

સ્વિચ (બૂલિયન્સ) તમને નવી નીતિઓ બનાવ્યા વિના, રનટાઇમ સમયે નીતિના ભાગો બદલવાની મંજૂરી આપે છે. તેઓ તમને SELinux નીતિઓને રીબૂટ કર્યા વિના અથવા પુનઃકમ્પાઈલ કર્યા વિના ફેરફારો કરવાની પરવાનગી આપે છે.

ઉદાહરણ:
ચાલો કહીએ કે અમે FTP રીડ/રાઇટ દ્વારા વપરાશકર્તાની હોમ ડિરેક્ટરી શેર કરવા માંગીએ છીએ, અને અમે તેને પહેલેથી જ શેર કરી દીધું છે, પરંતુ જ્યારે અમે તેને ઍક્સેસ કરવાનો પ્રયાસ કરીએ છીએ, ત્યારે અમને કંઈ દેખાતું નથી. આ એટલા માટે છે કારણ કે SELinux નીતિ FTP સર્વરને વપરાશકર્તાની હોમ ડિરેક્ટરીમાં વાંચવા અને લખવાથી અટકાવે છે. અમારે પોલિસી બદલવાની જરૂર છે જેથી કરીને FTP સર્વર હોમ ડિરેક્ટરીઓ ઍક્સેસ કરી શકે. ચાલો જોઈએ કે શું આ માટે કોઈ સ્વીચો છે

$ semanage boolean -l

આ આદેશ ઉપલબ્ધ સ્વીચોને તેમની વર્તમાન સ્થિતિ (ચાલુ અથવા બંધ) અને વર્ણન સાથે સૂચિબદ્ધ કરશે. તમે ફક્ત ftp-ફક્ત પરિણામો શોધવા માટે grep ઉમેરીને તમારી શોધને સુધારી શકો છો:

$ semanage boolean -l | grep ftp

અને તમને નીચેના મળશે

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

આ સ્વીચ અક્ષમ છે, તેથી અમે તેને સક્ષમ કરીશું setsebool $ setsebool ftp_home_dir on

હવે અમારું ftp ડિમન વપરાશકર્તાની હોમ ડિરેક્ટરીને એક્સેસ કરવામાં સક્ષમ હશે.
નોંધ: તમે વર્ણન વિના ઉપલબ્ધ સ્વીચોની યાદી પણ મેળવી શકો છો getsebool -a

2. લેબલ્સ અને સંદર્ભ

SELinux નીતિ અમલમાં મૂકવાની આ સૌથી સામાન્ય રીત છે. દરેક ફાઇલ, ફોલ્ડર, પ્રક્રિયા અને પોર્ટ SELinux સંદર્ભ સાથે ચિહ્નિત થયેલ છે:

ફાઇલો અને ફોલ્ડર્સ માટે, લેબલ્સ ફાઇલ સિસ્ટમ પર વિસ્તૃત વિશેષતાઓ તરીકે સંગ્રહિત થાય છે અને નીચેના આદેશ સાથે જોઈ શકાય છે:
```
$ ls -Z /etc/httpd
```
પ્રક્રિયાઓ અને પોર્ટ્સ માટે, લેબલીંગ કર્નલ દ્વારા સંચાલિત થાય છે, અને તમે આ લેબલોને નીચે પ્રમાણે જોઈ શકો છો:

પ્રક્રિયા

$ ps –auxZ | grep httpd

બંદર

$ netstat -anpZ | grep httpd

ઉદાહરણ:
હવે લેબલ અને સંદર્ભને વધુ સારી રીતે સમજવા માટે એક ઉદાહરણ જોઈએ. ચાલો કહીએ કે અમારી પાસે એક વેબ સર્વર છે જે ડિરેક્ટરીને બદલે /var/www/html/ использует /home/dan/html/. SELinux આને નીતિનું ઉલ્લંઘન ગણશે અને તમે તમારા વેબ પૃષ્ઠોને જોઈ શકશો નહીં. આ એટલા માટે છે કારણ કે અમે HTML ફાઇલો સાથે સંકળાયેલ સુરક્ષા સંદર્ભ સેટ કર્યો નથી. ડિફૉલ્ટ સુરક્ષા સંદર્ભ જોવા માટે, નીચેના આદેશનો ઉપયોગ કરો:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

અહીં અમને મળ્યું httpd_sys_content_t html ફાઇલો માટે સંદર્ભ તરીકે. અમારે અમારી વર્તમાન ડિરેક્ટરી માટે આ સુરક્ષા સંદર્ભ સેટ કરવાની જરૂર છે, જેમાં હાલમાં નીચેનો સંદર્ભ છે:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ફાઇલ અથવા ડિરેક્ટરીના સુરક્ષા સંદર્ભને તપાસવા માટે વૈકલ્પિક આદેશ:

$ semanage fcontext -l | grep '/var/www'

એકવાર અમને યોગ્ય સુરક્ષા સંદર્ભ મળી જાય પછી અમે સંદર્ભ બદલવા માટે પણ સેમેનેજનો ઉપયોગ કરીશું. /home/dan/html ના સંદર્ભને બદલવા માટે, નીચેના આદેશો ચલાવો:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

સેમેનેજનો ઉપયોગ કરીને સંદર્ભ બદલાયા પછી, રીસ્ટોરકોન આદેશ ફાઇલો અને ડિરેક્ટરીઓ માટે ડિફોલ્ટ સંદર્ભ લોડ કરશે. અમારું વેબ સર્વર હવે ફોલ્ડરમાંથી ફાઇલો વાંચી શકશે /home/dan/htmlકારણ કે આ ફોલ્ડર માટે સુરક્ષા સંદર્ભમાં બદલાઈ ગયો છે httpd_sys_content_t.

3. સ્થાનિક નીતિઓ બનાવો

એવી પરિસ્થિતિઓ હોઈ શકે છે કે જ્યાં ઉપરોક્ત પદ્ધતિઓ તમારા માટે કોઈ કામની નથી અને તમને audit.log માં ભૂલો (avc/denial) મળે છે. જ્યારે આવું થાય, ત્યારે તમારે સ્થાનિક નીતિ બનાવવાની જરૂર છે. તમે ઉપર વર્ણવ્યા મુજબ, audit2why નો ઉપયોગ કરીને બધી ભૂલો શોધી શકો છો.

તમે ભૂલોને ઉકેલવા માટે સ્થાનિક નીતિ બનાવી શકો છો. ઉદાહરણ તરીકે, અમને httpd (apache) અથવા smbd (સામ્બા) થી સંબંધિત ભૂલ મળે છે, અમે ભૂલોને પકડીએ છીએ અને તેના માટે એક નીતિ બનાવીએ છીએ:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

તે http_policy и smb_policy અમે બનાવેલી સ્થાનિક નીતિઓના નામ છે. હવે આપણે આ બનાવેલી સ્થાનિક નીતિઓને વર્તમાન SELinux નીતિમાં લોડ કરવાની જરૂર છે. આ નીચે પ્રમાણે કરી શકાય છે:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

અમારી સ્થાનિક નીતિઓ ડાઉનલોડ કરવામાં આવી છે અને અમને હવે audit.log માં કોઈપણ avc અથવા denail પ્રાપ્ત થવી જોઈએ નહીં.

SELinux ને સમજવામાં મદદ કરવાનો આ મારો પ્રયાસ હતો. હું આશા રાખું છું કે આ લેખ વાંચ્યા પછી તમે SELinux સાથે વધુ આરામદાયક અનુભવશો.

સોર્સ: www.habr.com

SELinux માટે પ્રારંભિક માર્ગદર્શિકા