Linux સુરક્ષા સિસ્ટમો

એમ્બેડેડ, મોબાઇલ ઉપકરણો અને સર્વર્સ પર Linux OS ની જબરદસ્ત સફળતા માટેનું એક કારણ કર્નલ, સંબંધિત સેવાઓ અને એપ્લિકેશન્સની એકદમ ઉચ્ચ ડિગ્રી સુરક્ષા છે. પરંતુ જો નજીકથી જુઓ Linux કર્નલના આર્કિટેક્ચર માટે, પછી તેમાં સુરક્ષા માટે જવાબદાર ચોરસ શોધવાનું અશક્ય છે. Linux સુરક્ષા સબસિસ્ટમ ક્યાં છુપાયેલું છે અને તે શું સમાવે છે?

Linux સુરક્ષા મોડ્યુલો અને SELinux પર પૃષ્ઠભૂમિ

સિક્યોરિટી એન્હાન્સ્ડ લિનક્સ એ લિનક્સ સિસ્ટમ્સને સંભવિત જોખમોથી બચાવવા અને પરંપરાગત યુનિક્સ સુરક્ષા સિસ્ટમ, ડિસ્ક્રિશનરી એક્સેસ કંટ્રોલ (ડીએસી) ની ખામીઓને સુધારવા માટે ફરજિયાત અને રોલ-આધારિત એક્સેસ મોડલ્સ પર આધારિત નિયમો અને ઍક્સેસ મિકેનિઝમ્સનો સમૂહ છે. આ પ્રોજેક્ટ યુએસ નેશનલ સિક્યોરિટી એજન્સીના આંતરડામાં ઉદ્દભવ્યો હતો, અને તે મુખ્યત્વે કોન્ટ્રાક્ટરો સિક્યોર કોમ્પ્યુટિંગ કોર્પોરેશન અને MITER, તેમજ સંખ્યાબંધ સંશોધન પ્રયોગશાળાઓ દ્વારા વિકસાવવામાં આવ્યો હતો.

Linux સુરક્ષા મોડ્યુલ્સ

લિનસ ટોરવાલ્ડ્સે નવા NSA વિકાસ વિશે ઘણી ટિપ્પણીઓ કરી જેથી તેઓને મુખ્ય લાઇન લિનક્સ કર્નલમાં સમાવી શકાય. તેમણે એક સામાન્ય વાતાવરણનું વર્ણન કર્યું, જેમાં ઑબ્જેક્ટ્સ સાથેની કામગીરીને નિયંત્રિત કરવા માટે ઇન્ટરસેપ્ટર્સનો સમૂહ અને સંબંધિત વિશેષતાઓને સંગ્રહિત કરવા માટે કર્નલ ડેટા સ્ટ્રક્ચર્સમાં ચોક્કસ રક્ષણાત્મક ક્ષેત્રોનો સમૂહ. આ પર્યાવરણ પછી લોડ કરી શકાય તેવા કર્નલ મોડ્યુલો દ્વારા કોઈપણ ઇચ્છિત સુરક્ષા મોડલને અમલમાં મૂકવા માટે વાપરી શકાય છે. LSM એ 2.6 માં Linux કર્નલ v2003 માં સંપૂર્ણપણે પ્રવેશ કર્યો.

એલએસએમ ફ્રેમવર્કમાં ડેટા સ્ટ્રક્ચર્સમાં ગાર્ડ ફીલ્ડ્સ અને કર્નલ કોડમાં નિર્ણાયક બિંદુઓ પર ઇન્ટરસેપ્શન ફંક્શન્સનો સમાવેશ થાય છે અને તેને ચાલાકી અને એક્સેસ કંટ્રોલ કરવા માટે કૉલ કરે છે. તે સુરક્ષા મોડ્યુલોની નોંધણી માટે કાર્યક્ષમતા પણ ઉમેરે છે. /sys/kernel/security/lsm ઈન્ટરફેસ સિસ્ટમ પર સક્રિય મોડ્યુલોની યાદી સમાવે છે. LSM હુક્સ સૂચિઓમાં સંગ્રહિત થાય છે જેને CONFIG_LSM માં ઉલ્લેખિત ક્રમમાં બોલાવવામાં આવે છે. હુક્સ પર વિગતવાર દસ્તાવેજીકરણ હેડર ફાઈલમાં શામેલ છે include/linux/lsm_hooks.h.

LSM સબસિસ્ટમ એ સ્થિર Linux કર્નલ v2.6 ની સમાન આવૃત્તિ સાથે SELinux ના સંપૂર્ણ એકીકરણને પૂર્ણ કરવાનું શક્ય બનાવ્યું. લગભગ તરત જ, SELinux એ સુરક્ષિત Linux પર્યાવરણ માટે વાસ્તવિક ધોરણ બની ગયું અને સૌથી વધુ લોકપ્રિય વિતરણોમાં સમાવિષ્ટ થયું: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

SELinux ગ્લોસરી

• ઓળખ — SELinux વપરાશકર્તા સામાન્ય Unix/Linux વપરાશકર્તા id જેવા જ નથી; તેઓ એક જ સિસ્ટમ પર એક સાથે રહી શકે છે, પરંતુ સારમાં સંપૂર્ણપણે અલગ છે. દરેક પ્રમાણભૂત Linux એકાઉન્ટ SELinux માં એક અથવા વધુને અનુરૂપ હોઈ શકે છે. SELinux ઓળખ એ એકંદર સુરક્ષા સંદર્ભનો એક ભાગ છે, જે નક્કી કરે છે કે તમે કયા ડોમેન્સ સાથે જોડાઈ શકો અને નહીં.
• ડોમેન્સ - SELinux માં, ડોમેન એ વિષયના અમલીકરણ સંદર્ભ છે, એટલે કે પ્રક્રિયા. ડોમેન સીધું જ પ્રક્રિયાની ઍક્સેસ નક્કી કરે છે. ડોમેન એ મૂળભૂત રીતે શું પ્રક્રિયાઓ કરી શકે છે અથવા પ્રક્રિયા વિવિધ પ્રકારો સાથે શું કરી શકે છે તેની સૂચિ છે. ડોમેન્સના કેટલાક ઉદાહરણો સિસ્ટમ એડમિનિસ્ટ્રેશન માટે sysadm_t છે, અને user_t જે સામાન્ય બિન-વિશેષાધિકૃત વપરાશકર્તા ડોમેન છે. init સિસ્ટમ init_t ડોમેનમાં ચાલે છે, અને નામવાળી પ્રક્રિયા name_t ડોમેનમાં ચાલે છે.
• ભૂમિકાઓ — ડોમેન્સ અને SELinux વપરાશકર્તાઓ વચ્ચે મધ્યસ્થી તરીકે શું કામ કરે છે. ભૂમિકાઓ નિર્ધારિત કરે છે કે વપરાશકર્તા કયા ડોમેન્સનો છે અને તેઓ કયા પ્રકારનાં ઑબ્જેક્ટ્સને ઍક્સેસ કરી શકે છે. આ એક્સેસ કંટ્રોલ મિકેનિઝમ વિશેષાધિકાર એસ્કેલેશન હુમલાના જોખમને અટકાવે છે. SELinux માં ઉપયોગમાં લેવાતા રોલ બેઝ્ડ એક્સેસ કંટ્રોલ (RBAC) સિક્યુરિટી મોડલમાં ભૂમિકાઓ લખવામાં આવે છે.
• પ્રકારો — એક પ્રકાર અમલીકરણ સૂચિ વિશેષતા કે જે ઑબ્જેક્ટને સોંપેલ છે અને તે નક્કી કરે છે કે કોણ તેને ઍક્સેસ કરી શકે છે. ડોમેન વ્યાખ્યાની જેમ જ, સિવાય કે ડોમેન પ્રક્રિયાને લાગુ પડે છે, અને પ્રકાર ડિરેક્ટરીઓ, ફાઇલો, સોકેટ્સ વગેરે જેવા ઑબ્જેક્ટ પર લાગુ થાય છે.
• વિષયો અને વસ્તુઓ - પ્રક્રિયાઓ વિષયો છે અને ચોક્કસ સંદર્ભમાં અથવા સુરક્ષા ડોમેનમાં ચલાવવામાં આવે છે. ઑપરેટિંગ સિસ્ટમ સંસાધનો: ફાઇલો, ડિરેક્ટરીઓ, સૉકેટ્સ, વગેરે, ઑબ્જેક્ટ્સ છે જે ચોક્કસ પ્રકારને સોંપવામાં આવે છે, બીજા શબ્દોમાં, ગોપનીયતા સ્તર.
• SELinux નીતિઓ — SELinux સિસ્ટમને સુરક્ષિત કરવા માટે વિવિધ નીતિઓનો ઉપયોગ કરે છે. SELinux નીતિ વપરાશકર્તાઓની ભૂમિકાઓ, ડોમેન્સ માટે ભૂમિકાઓ અને ડોમેન્સથી પ્રકારો સુધીની ઍક્સેસને વ્યાખ્યાયિત કરે છે. પ્રથમ, વપરાશકર્તા ભૂમિકા મેળવવા માટે અધિકૃત છે, પછી ભૂમિકા ડોમેન્સ ઍક્સેસ કરવા માટે અધિકૃત છે. છેવટે, ડોમેનને અમુક ચોક્કસ પ્રકારના ઑબ્જેક્ટ્સની ઍક્સેસ હોઈ શકે છે.

LSM અને SELinux આર્કિટેક્ચર

નામ હોવા છતાં, LSM એ સામાન્ય રીતે લોડ કરી શકાય તેવા Linux મોડ્યુલો નથી. જો કે, SELinux ની જેમ, તે સીધું કર્નલમાં એકીકૃત થયેલ છે. LSM સ્ત્રોત કોડમાં કોઈપણ ફેરફાર માટે નવા કર્નલ સંકલનની જરૂર છે. અનુરૂપ વિકલ્પ કર્નલ સેટિંગ્સમાં સક્રિય થયેલ હોવો જોઈએ, અન્યથા LSM કોડ બુટ થયા પછી સક્રિય થશે નહીં. પરંતુ આ કિસ્સામાં પણ, તેને OS બુટલોડર વિકલ્પ દ્વારા સક્ષમ કરી શકાય છે.

LSM ચેક સ્ટેક

LSM કોર કર્નલ ફંક્શન્સમાં હુક્સથી સજ્જ છે જે ચેક માટે સંબંધિત હોઈ શકે છે. LSM ની મુખ્ય વિશેષતાઓમાંની એક એ છે કે તેઓ સ્ટેક કરેલા છે. આમ, પ્રમાણભૂત તપાસ હજુ પણ કરવામાં આવે છે, અને LSM નું દરેક સ્તર માત્ર વધારાના નિયંત્રણો અને નિયંત્રણો ઉમેરે છે. આનો અર્થ એ થયો કે પ્રતિબંધ પાછો ખેંચી શકાશે નહીં. આ આકૃતિમાં દર્શાવવામાં આવ્યું છે; જો નિયમિત DAC તપાસનું પરિણામ નિષ્ફળ જાય, તો પછી મામલો LSM હુક્સ સુધી પણ પહોંચશે નહીં.

SELinux ફ્લુક રિસર્ચ ઓપરેટિંગ સિસ્ટમના ફ્લાસ્ક સુરક્ષા આર્કિટેક્ચરને અપનાવે છે, ખાસ કરીને ઓછામાં ઓછા વિશેષાધિકારનો સિદ્ધાંત. આ ખ્યાલનો સાર, તેનું નામ સૂચવે છે તેમ, વપરાશકર્તાને ફક્ત તે જ અધિકારો આપવા અથવા પ્રક્રિયા કરવા માટે છે જે હેતુપૂર્વકની ક્રિયાઓ કરવા માટે જરૂરી છે. આ સિદ્ધાંત ફરજિયાત એક્સેસ ટાઇપિંગનો ઉપયોગ કરીને અમલમાં મૂકવામાં આવે છે, આમ SELinux માં એક્સેસ કંટ્રોલ ડોમેન => પ્રકાર મોડેલ પર આધારિત છે.

ફરજિયાત એક્સેસ ટાઈપિંગ માટે આભાર, SELinux પાસે યુનિક્સ/લિનક્સ ઓપરેટિંગ સિસ્ટમ્સમાં વપરાતા પરંપરાગત DAC મોડલ કરતાં ઘણી વધારે એક્સેસ કંટ્રોલ ક્ષમતાઓ છે. ઉદાહરણ તરીકે, તમે નેટવર્ક પોર્ટ નંબરને મર્યાદિત કરી શકો છો કે જેનાથી ftp સર્વર કનેક્ટ થશે, ચોક્કસ ફોલ્ડરમાં ફાઇલોને લખવા અને બદલવાની મંજૂરી આપી શકો છો, પરંતુ તેને કાઢી નાખશો નહીં.

SELinux ના મુખ્ય ઘટકો છે:

• નીતિ અમલીકરણ સર્વર - એક્સેસ કંટ્રોલ ગોઠવવા માટેની મુખ્ય પદ્ધતિ.
• સિસ્ટમ સુરક્ષા નીતિ ડેટાબેઝ.
• LSM ઇવેન્ટ ઇન્ટરસેપ્ટર સાથે ક્રિયાપ્રતિક્રિયા.
• સેલિનક્સએફ - સ્યુડો-એફએસ, /proc જેવું જ છે અને /sys/fs/selinux માં માઉન્ટ થયેલ છે. રનટાઇમ પર Linux કર્નલ દ્વારા ગતિશીલ રીતે રચાયેલ છે અને SELinux સ્થિતિ માહિતી ધરાવતી ફાઇલો ધરાવે છે.
• વેક્ટર કેશ ઍક્સેસ કરો - ઉત્પાદકતા વધારવા માટે સહાયક પદ્ધતિ.

SELinux કેવી રીતે કામ કરે છે

તે બધું આની જેમ કામ કરે છે.

1. ચોક્કસ વિષય, SELinux શબ્દોમાં, DAC તપાસ પછી ઑબ્જેક્ટ પર અનુમતિ પ્રાપ્ત ક્રિયા કરે છે, જેમ કે ટોચના ચિત્રમાં બતાવ્યા પ્રમાણે. ઓપરેશન કરવા માટેની આ વિનંતી LSM ઇવેન્ટ ઇન્ટરસેપ્ટરને જાય છે.
2. ત્યાંથી, વિનંતિ, વિષય અને ઑબ્જેક્ટ સુરક્ષા સંદર્ભ સાથે, SELinux એબ્સ્ટ્રેક્શન અને હૂક લોજિક મોડ્યુલમાં મોકલવામાં આવે છે, જે LSM સાથે ક્રિયાપ્રતિક્રિયા કરવા માટે જવાબદાર છે.
3. વિષયની ઑબ્જેક્ટની ઍક્સેસ પર નિર્ણય લેવાની સત્તા એ પોલિસી એન્ફોર્સમેન્ટ સર્વર છે અને તે SELinux AnHL પાસેથી ડેટા મેળવે છે.
4. ઍક્સેસ અથવા નકાર વિશે નિર્ણયો લેવા માટે, પોલિસી એન્ફોર્સમેન્ટ સર્વર સૌથી વધુ ઉપયોગમાં લેવાતા નિયમો માટે એક્સેસ વેક્ટર કેશ (AVC) કેશિંગ સબસિસ્ટમ તરફ વળે છે.
5. જો કેશમાં અનુરૂપ નિયમનો ઉકેલ ન મળે, તો વિનંતી સુરક્ષા નીતિ ડેટાબેઝને મોકલવામાં આવે છે.
6. ડેટાબેઝ અને AVCમાંથી શોધ પરિણામ પોલિસી એન્ફોર્સમેન્ટ સર્વર પર પરત કરવામાં આવે છે.
7. જો મળેલી નીતિ વિનંતી કરેલ ક્રિયા સાથે મેળ ખાય છે, તો ઓપરેશનની મંજૂરી છે. નહિંતર, ઓપરેશન પ્રતિબંધિત છે.

SELinux સેટિંગ્સનું સંચાલન

SELinux ત્રણમાંથી એક મોડમાં કાર્ય કરે છે:

• અમલીકરણ - સુરક્ષા નીતિઓનું કડક પાલન.
• અનુમતિશીલ - પ્રતિબંધોના ઉલ્લંઘનની મંજૂરી છે; જર્નલમાં અનુરૂપ નોંધ બનાવવામાં આવે છે.
• અક્ષમ-સુરક્ષા નીતિઓ અમલમાં નથી.

તમે નીચેના આદેશ સાથે SELinux કયા મોડમાં છે તે જોઈ શકો છો.

[admin@server ~]$ getenforce
Permissive

રીબૂટ કરતા પહેલા મોડને બદલવો, ઉદાહરણ તરીકે, તેને અમલીકરણ પર સેટ કરવું, અથવા 1. અનુમતિશીલ પરિમાણ આંકડાકીય કોડ 0 ને અનુરૂપ છે.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

તમે ફાઇલને સંપાદિત કરીને મોડ પણ બદલી શકો છો:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=લક્ષ્ય

setenfoce સાથેનો તફાવત એ છે કે જ્યારે ઓપરેટિંગ સિસ્ટમ બુટ થાય છે, ત્યારે SELinux મોડ રૂપરેખાંકન ફાઇલમાં SELINUX પરિમાણની કિંમત અનુસાર સેટ કરવામાં આવશે. વધુમાં, અમલીકરણ <=> નિષ્ક્રિયમાં ફેરફારો માત્ર /etc/selinux/config ફાઇલને સંપાદિત કરીને અને રીબૂટ પછી અસર કરે છે.

સંક્ષિપ્ત સ્થિતિ અહેવાલ જુઓ:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux લક્ષણો જોવા માટે, કેટલીક પ્રમાણભૂત ઉપયોગિતાઓ -Z પરિમાણનો ઉપયોગ કરે છે.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l ના સામાન્ય આઉટપુટની તુલનામાં, નીચેના ફોર્મેટમાં ઘણા વધારાના ક્ષેત્રો છે:

<user>:<role>:<type>:<level>

છેલ્લું ક્ષેત્ર સુરક્ષા વર્ગીકરણ જેવું કંઈક સૂચવે છે અને તેમાં બે ઘટકોના સંયોજનનો સમાવેશ થાય છે:

• s0 - મહત્વ, નિમ્ન સ્તર-ઉચ્ચ સ્તરના અંતરાલ તરીકે પણ લખાયેલ છે
• c0, c1… c1023 - શ્રેણી.

ઍક્સેસ ગોઠવણી બદલવી

SELinux મોડ્યુલો લોડ કરવા, ઉમેરવા અને દૂર કરવા માટે સેમોડ્યુલનો ઉપયોગ કરો.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

પ્રથમ ટીમ semanage લૉગિન SELinux વપરાશકર્તાને ઓપરેટિંગ સિસ્ટમ વપરાશકર્તા સાથે જોડે છે, બીજું યાદી દર્શાવે છે. છેલ્લે, -r સ્વીચ સાથેનો છેલ્લો આદેશ SELinux વપરાશકર્તાઓના OS એકાઉન્ટ્સમાં મેપિંગને દૂર કરે છે. MLS/MCS શ્રેણી મૂલ્યો માટે વાક્યરચનાનું સમજૂતી અગાઉના વિભાગમાં છે.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

ટીમ semanage વપરાશકર્તા SELinux વપરાશકર્તાઓ અને ભૂમિકાઓ વચ્ચે મેપિંગનું સંચાલન કરવા માટે વપરાય છે.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

આદેશ પરિમાણો:

• -એક કસ્ટમ રોલ મેપિંગ એન્ટ્રી ઉમેરો;
• -l મેળ ખાતા વપરાશકર્તાઓ અને ભૂમિકાઓની સૂચિ;
• -d વપરાશકર્તા ભૂમિકા મેપિંગ એન્ટ્રી કાઢી નાખો;
• વપરાશકર્તા સાથે જોડાયેલ ભૂમિકાઓની -R સૂચિ;

ફાઇલો, બંદરો અને બુલિયન મૂલ્યો

દરેક SELinux મોડ્યુલ ફાઈલ ટેગીંગ નિયમોનો સમૂહ પૂરો પાડે છે, પરંતુ જો જરૂરી હોય તો તમે તમારા પોતાના નિયમો પણ ઉમેરી શકો છો. ઉદાહરણ તરીકે, અમે ઇચ્છીએ છીએ કે વેબ સર્વરને /srv/www ફોલ્ડરનો ઍક્સેસ અધિકારો હોય.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

પ્રથમ આદેશ નવા માર્કિંગ નિયમોની નોંધણી કરે છે, અને બીજો રીસેટ કરે છે, અથવા તેના બદલે, વર્તમાન નિયમો અનુસાર ફાઇલ પ્રકારો સેટ કરે છે.

તેવી જ રીતે, TCP/UDP પોર્ટને એવી રીતે ચિહ્નિત કરવામાં આવે છે કે માત્ર યોગ્ય સેવાઓ જ તેમના પર સાંભળી શકે. ઉદાહરણ તરીકે, વેબ સર્વરને પોર્ટ 8080 પર સાંભળવા માટે, તમારે આદેશ ચલાવવાની જરૂર છે.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux મોડ્યુલોની નોંધપાત્ર સંખ્યામાં એવા પરિમાણો છે જે બુલિયન મૂલ્યો લઈ શકે છે. આવા પરિમાણોની સંપૂર્ણ સૂચિ getsebool -a નો ઉપયોગ કરીને જોઈ શકાય છે. તમે setsebool નો ઉપયોગ કરીને બુલિયન મૂલ્યો બદલી શકો છો.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

વર્કશોપ, Pgadmin-વેબ ઇન્ટરફેસની ઍક્સેસ મેળવો

ચાલો વ્યવહારુ ઉદાહરણ જોઈએ: PostgreSQL ડેટાબેઝનું સંચાલન કરવા માટે અમે RHEL 7.6 પર pgadmin4-web ઇન્સ્ટોલ કર્યું છે. અમે થોડા ચાલ્યા શોધ pg_hba.conf, postgresql.conf અને config_local.py ના સેટિંગ્સ સાથે, ફોલ્ડર પરવાનગીઓ સેટ કરો, pip માંથી ગુમ થયેલ Python મોડ્યુલો સ્થાપિત કરો. બધું તૈયાર છે, અમે લોન્ચ કરીએ છીએ અને પ્રાપ્ત કરીએ છીએ 500 આંતરિક સર્વર ભૂલ.

અમે લાક્ષણિક શંકાસ્પદ સાથે શરૂ કરીએ છીએ, /var/log/httpd/error_log તપાસીએ છીએ. ત્યાં કેટલીક રસપ્રદ એન્ટ્રીઓ છે.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

આ બિંદુએ, મોટાભાગના Linux સંચાલકો setencorce 0 ચલાવવા માટે સખત લલચાશે, અને તે તેનો અંત હશે. સાચું કહું તો, મેં પહેલી વાર આવું જ કર્યું. અલબત્ત, આ પણ એક માર્ગ છે, પરંતુ શ્રેષ્ઠથી દૂર છે.

બોજારૂપ ડિઝાઇન હોવા છતાં, SELinux વપરાશકર્તા મૈત્રીપૂર્ણ હોઈ શકે છે. ફક્ત સેટરબલશૂટ પેકેજ ઇન્સ્ટોલ કરો અને સિસ્ટમ લોગ જુઓ.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

મહેરબાની કરીને નોંધ કરો કે auditd સેવા આ રીતે પુનઃપ્રારંભ થવી જોઈએ, અને OS માં systemd ની હાજરી હોવા છતાં, systemctl નો ઉપયોગ ન કરવો. સિસ્ટમ લોગમાં સૂચવવામાં આવશે માત્ર અવરોધિત કરવાની હકીકત જ નહીં, પણ કારણ અને પ્રતિબંધને દૂર કરવાની રીત.

અમે આ આદેશો ચલાવીએ છીએ:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

અમે pgadmin4-વેબ વેબ પેજની ઍક્સેસ તપાસીએ છીએ, બધું કામ કરે છે.

સોર્સ: www.habr.com