लिनक्स सुरक्षा प्रणाली

एम्बेडेड, मोबाइल उपकरणों और सर्वरों पर लिनक्स ओएस की जबरदस्त सफलता का एक कारण कर्नेल, संबंधित सेवाओं और अनुप्रयोगों की सुरक्षा का काफी उच्च स्तर है। लेकिन अगर ज़रा बारीकी से देखें लिनक्स कर्नेल की वास्तुकला के अनुसार, इसमें सुरक्षा के लिए जिम्मेदार वर्ग को ढूंढना असंभव है। लिनक्स सुरक्षा सबसिस्टम कहाँ छिपा है और इसमें क्या शामिल है?

लिनक्स सुरक्षा मॉड्यूल और SELinux पर पृष्ठभूमि

सुरक्षा संवर्धित लिनक्स, लिनक्स सिस्टम को संभावित खतरों से बचाने और पारंपरिक यूनिक्स सुरक्षा प्रणाली विवेकाधीन एक्सेस कंट्रोल (डीएसी) की कमियों को ठीक करने के लिए अनिवार्य और भूमिका-आधारित एक्सेस मॉडल पर आधारित नियमों और एक्सेस तंत्र का एक सेट है। यह परियोजना अमेरिकी राष्ट्रीय सुरक्षा एजेंसी के अंतर्गत उत्पन्न हुई थी, और इसे मुख्य रूप से ठेकेदारों सिक्योर कंप्यूटिंग कॉर्पोरेशन और एमआईटीईआर के साथ-साथ कई अनुसंधान प्रयोगशालाओं द्वारा सीधे विकसित किया गया था।

लिनक्स सुरक्षा मॉड्यूल

लिनस टोरवाल्ड्स ने नए एनएसए विकास के बारे में कई टिप्पणियाँ कीं ताकि उन्हें मेनलाइन लिनक्स कर्नेल में शामिल किया जा सके। उन्होंने एक सामान्य वातावरण का वर्णन किया, जिसमें वस्तुओं के साथ संचालन को नियंत्रित करने के लिए इंटरसेप्टर का एक सेट और संबंधित विशेषताओं को संग्रहीत करने के लिए कर्नेल डेटा संरचनाओं में कुछ सुरक्षात्मक क्षेत्रों का एक सेट शामिल था। इस वातावरण का उपयोग किसी भी वांछित सुरक्षा मॉडल को लागू करने के लिए लोड करने योग्य कर्नेल मॉड्यूल द्वारा किया जा सकता है। एलएसएम ने 2.6 में पूरी तरह से लिनक्स कर्नेल v2003 में प्रवेश किया।

एलएसएम ढांचे में डेटा संरचनाओं में गार्ड फ़ील्ड शामिल हैं और कर्नेल कोड में महत्वपूर्ण बिंदुओं पर अवरोधन कार्यों को कॉल करके उनमें हेरफेर किया जाता है और पहुंच नियंत्रण किया जाता है। यह सुरक्षा मॉड्यूल पंजीकृत करने के लिए कार्यक्षमता भी जोड़ता है। /sys/kernel/security/lsm इंटरफ़ेस में सिस्टम पर सक्रिय मॉड्यूल की एक सूची होती है। LSM हुक उन सूचियों में संग्रहीत होते हैं जिन्हें CONFIG_LSM में निर्दिष्ट क्रम में बुलाया जाता है। हुक पर विस्तृत दस्तावेज़ हेडर फ़ाइल include/linux/lsm_hooks.h में शामिल है।

एलएसएम सबसिस्टम ने स्थिर लिनक्स कर्नेल v2.6 के समान संस्करण के साथ SELinux के पूर्ण एकीकरण को पूरा करना संभव बना दिया। लगभग तुरंत ही, SELinux एक सुरक्षित लिनक्स वातावरण के लिए वास्तविक मानक बन गया और इसे सबसे लोकप्रिय वितरणों में शामिल किया गया: रेडहैट एंटरप्राइज लिनक्स, फेडोरा, डेबियन, उबंटू।

SELinux शब्दावली

• पहचान — SELinux उपयोगकर्ता सामान्य Unix/Linux उपयोगकर्ता आईडी के समान नहीं है; वे एक ही सिस्टम पर सह-अस्तित्व में रह सकते हैं, लेकिन मूल रूप से पूरी तरह से अलग हैं। प्रत्येक मानक लिनक्स खाता SELinux में एक या अधिक से मेल खा सकता है। SELinux पहचान समग्र सुरक्षा संदर्भ का हिस्सा है, जो यह निर्धारित करती है कि आप किन डोमेन से जुड़ सकते हैं और कौन से नहीं।
• डोमेन - SELinux में, एक डोमेन एक विषय का निष्पादन संदर्भ है, यानी एक प्रक्रिया। डोमेन सीधे उस पहुंच को निर्धारित करता है जो एक प्रक्रिया के पास है। एक डोमेन मूल रूप से एक सूची है कि प्रक्रियाएँ क्या कर सकती हैं या एक प्रक्रिया विभिन्न प्रकारों के साथ क्या कर सकती है। डोमेन के कुछ उदाहरण सिस्टम प्रशासन के लिए sysadm_t हैं, और user_t जो एक सामान्य गैर-विशेषाधिकार प्राप्त उपयोगकर्ता डोमेन है। Init सिस्टम init_t डोमेन में चलता है, और नामित प्रक्रिया नामांकित_t डोमेन में चलती है।
• भूमिका — जो डोमेन और SELinux उपयोगकर्ताओं के बीच मध्यस्थ के रूप में कार्य करता है। भूमिकाएँ यह निर्धारित करती हैं कि उपयोगकर्ता किस डोमेन से संबंधित हो सकता है और किस प्रकार की वस्तुओं तक पहुँच सकता है। यह अभिगम नियंत्रण तंत्र विशेषाधिकार वृद्धि हमलों के खतरे को रोकता है। भूमिकाएँ SELinux में प्रयुक्त रोल बेस्ड एक्सेस कंट्रोल (RBAC) सुरक्षा मॉडल में लिखी जाती हैं।
• प्रकार - एक प्रकार प्रवर्तन सूची विशेषता जो किसी ऑब्जेक्ट को सौंपी गई है और यह निर्धारित करती है कि इसे कौन एक्सेस कर सकता है। डोमेन परिभाषा के समान, सिवाय इसके कि डोमेन एक प्रक्रिया पर लागू होता है, और प्रकार निर्देशिकाओं, फ़ाइलों, सॉकेट आदि जैसी वस्तुओं पर लागू होता है।
• विषय और वस्तुएँ - प्रक्रियाएं विषय हैं और एक विशिष्ट संदर्भ, या सुरक्षा डोमेन में चलती हैं। ऑपरेटिंग सिस्टम संसाधन: फ़ाइलें, निर्देशिकाएं, सॉकेट इत्यादि, ऐसी वस्तुएं हैं जिन्हें एक निश्चित प्रकार, दूसरे शब्दों में, गोपनीयता स्तर निर्दिष्ट किया जाता है।
• SELinux नीतियाँ — SELinux सिस्टम की सुरक्षा के लिए विभिन्न प्रकार की नीतियों का उपयोग करता है। SELinux नीति उपयोगकर्ताओं की भूमिकाओं, भूमिकाओं से डोमेन और डोमेन से प्रकारों तक पहुंच को परिभाषित करती है। सबसे पहले, उपयोगकर्ता को भूमिका प्राप्त करने के लिए अधिकृत किया जाता है, फिर भूमिका को डोमेन तक पहुंचने के लिए अधिकृत किया जाता है। अंततः, एक डोमेन की पहुंच केवल कुछ विशेष प्रकार की वस्तुओं तक ही हो सकती है।

एलएसएम और SELinux आर्किटेक्चर

नाम के बावजूद, एलएसएम आम तौर पर लोड करने योग्य लिनक्स मॉड्यूल नहीं होते हैं। हालाँकि, SELinux की तरह, यह सीधे कर्नेल में एकीकृत होता है। एलएसएम स्रोत कोड में किसी भी बदलाव के लिए एक नए कर्नेल संकलन की आवश्यकता होती है। संबंधित विकल्प को कर्नेल सेटिंग्स में सक्षम किया जाना चाहिए, अन्यथा बूट के बाद एलएसएम कोड सक्रिय नहीं होगा। लेकिन इस स्थिति में भी, इसे OS बूटलोडर विकल्प द्वारा सक्षम किया जा सकता है।

एलएसएम चेक स्टैक

एलएसएम कोर कर्नेल फ़ंक्शंस में हुक से सुसज्जित है जो चेक के लिए प्रासंगिक हो सकता है। एलएसएम की मुख्य विशेषताओं में से एक यह है कि वे स्टैक्ड होते हैं। इस प्रकार, मानक जांच अभी भी की जाती है, और एलएसएम की प्रत्येक परत केवल अतिरिक्त नियंत्रण और नियंत्रण जोड़ती है। इसका मतलब यह है कि प्रतिबंध वापस नहीं लिया जा सकता. यह चित्र में दिखाया गया है; यदि नियमित डीएसी जांच का परिणाम विफल रहता है, तो मामला एलएसएम हुक तक भी नहीं पहुंचेगा।

SELinux फ़्लूक रिसर्च ऑपरेटिंग सिस्टम के फ्लास्क सुरक्षा आर्किटेक्चर को अपनाता है, विशेष रूप से कम से कम विशेषाधिकार के सिद्धांत को। इस अवधारणा का सार, जैसा कि इसके नाम से पता चलता है, उपयोगकर्ता या प्रक्रिया को केवल वे अधिकार प्रदान करना है जो इच्छित कार्यों को पूरा करने के लिए आवश्यक हैं। यह सिद्धांत फोर्स्ड एक्सेस टाइपिंग का उपयोग करके कार्यान्वित किया जाता है, इस प्रकार SELinux में एक्सेस नियंत्रण डोमेन => प्रकार मॉडल पर आधारित होता है।

फोर्स्ड एक्सेस टाइपिंग के लिए धन्यवाद, SELinux में यूनिक्स/लिनक्स ऑपरेटिंग सिस्टम में उपयोग किए जाने वाले पारंपरिक DAC मॉडल की तुलना में बहुत अधिक एक्सेस नियंत्रण क्षमताएं हैं। उदाहरण के लिए, आप उस नेटवर्क पोर्ट संख्या को सीमित कर सकते हैं जिससे एफ़टीपी सर्वर कनेक्ट होगा, एक निश्चित फ़ोल्डर में फ़ाइलों को लिखने और बदलने की अनुमति दे सकते हैं, लेकिन उन्हें हटा नहीं सकते।

SELinux के मुख्य घटक हैं:

• नीति प्रवर्तन सर्वर — अभिगम नियंत्रण के आयोजन के लिए मुख्य तंत्र।
• सिस्टम सुरक्षा नीति डेटाबेस.
• एलएसएम इवेंट इंटरसेप्टर के साथ इंटरेक्शन।
• सेलिनक्सफ़्स - छद्म-एफएस, /proc के समान और /sys/fs/selinux में आरूढ़। रनटाइम पर लिनक्स कर्नेल द्वारा गतिशील रूप से पॉप्युलेट किया गया और इसमें SELinux स्थिति की जानकारी वाली फ़ाइलें शामिल हैं।
• वेक्टर कैश तक पहुंचें - उत्पादकता बढ़ाने के लिए एक सहायक तंत्र।

SELinux कैसे काम करता है

यह सब इसी तरह काम करता है.

1. एक निश्चित विषय, SELinux शब्दों में, DAC जांच के बाद किसी ऑब्जेक्ट पर एक अनुमत कार्रवाई करता है, जैसा कि शीर्ष चित्र में दिखाया गया है। किसी ऑपरेशन को करने का यह अनुरोध एलएसएम इवेंट इंटरसेप्टर को जाता है।
2. वहां से, अनुरोध, विषय और वस्तु सुरक्षा संदर्भ के साथ, SELinux Abstraction और Hook Logic मॉड्यूल को भेज दिया जाता है, जो LSM के साथ इंटरैक्ट करने के लिए जिम्मेदार है।
3. किसी विषय तक किसी वस्तु की पहुंच पर निर्णय लेने वाला प्राधिकारी नीति प्रवर्तन सर्वर है और यह SELinux AnHL से डेटा प्राप्त करता है।
4. पहुंच या अस्वीकृति के बारे में निर्णय लेने के लिए, नीति प्रवर्तन सर्वर सबसे अधिक उपयोग किए जाने वाले नियमों के लिए एक्सेस वेक्टर कैश (एवीसी) कैशिंग सबसिस्टम में बदल जाता है।
5. यदि कैश में संबंधित नियम का समाधान नहीं मिलता है, तो अनुरोध सुरक्षा नीति डेटाबेस को भेज दिया जाता है।
6. डेटाबेस और AVC से खोज परिणाम नीति प्रवर्तन सर्वर पर वापस कर दिया जाता है।
7. यदि पाई गई नीति अनुरोधित कार्रवाई से मेल खाती है, तो ऑपरेशन की अनुमति है। अन्यथा, ऑपरेशन निषिद्ध है.

SELinux सेटिंग्स प्रबंधित करना

SELinux तीन मोड में से एक में काम करता है:

• प्रवर्तन - सुरक्षा नीतियों का कड़ाई से पालन।
• अनुज्ञेय - प्रतिबंधों के उल्लंघन की अनुमति है; जर्नल में एक संबंधित नोट बनाया गया है।
• विकलांग-सुरक्षा नीतियां प्रभावी नहीं हैं।

आप निम्न आदेश से देख सकते हैं कि SELinux किस मोड में है।

[admin@server ~]$ getenforce
Permissive

रीबूट करने से पहले मोड बदलना, उदाहरण के लिए, इसे लागू करने के लिए सेट करना, या 1. अनुमेय पैरामीटर संख्यात्मक कोड 0 से मेल खाता है।

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

आप फ़ाइल को संपादित करके भी मोड बदल सकते हैं:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=लक्ष्य

सेटेनफोस के साथ अंतर यह है कि जब ऑपरेटिंग सिस्टम बूट होता है, तो SELinux मोड कॉन्फ़िगरेशन फ़ाइल में SELINUX पैरामीटर के मान के अनुसार सेट किया जाएगा। इसके अलावा, <=> अक्षम को लागू करने में परिवर्तन केवल /etc/selinux/config फ़ाइल को संपादित करने और रिबूट के बाद प्रभावी होते हैं।

एक संक्षिप्त स्थिति रिपोर्ट देखें:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux विशेषताओं को देखने के लिए, कुछ मानक उपयोगिताएँ -Z पैरामीटर का उपयोग करती हैं।

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l के सामान्य आउटपुट की तुलना में, निम्नलिखित प्रारूप में कई अतिरिक्त फ़ील्ड हैं:

<user>:<role>:<type>:<level>

अंतिम फ़ील्ड सुरक्षा वर्गीकरण जैसा कुछ दर्शाता है और इसमें दो तत्वों का संयोजन होता है:

• s0 - महत्व, जिसे निम्नस्तर-उच्चस्तर अंतराल के रूप में भी लिखा जाता है
• सी0, सी1… सी1023 - श्रेणी।

एक्सेस कॉन्फ़िगरेशन बदल रहा है

SELinux मॉड्यूल को लोड करने, जोड़ने और हटाने के लिए सेमॉड्यूल का उपयोग करें।

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

प्रथम दल सेमैनेज लॉगिन SELinux उपयोगकर्ता को ऑपरेटिंग सिस्टम उपयोगकर्ता से जोड़ता है, दूसरा एक सूची प्रदर्शित करता है। अंत में, -r स्विच के साथ अंतिम कमांड SELinux उपयोगकर्ताओं की मैपिंग को OS खातों से हटा देता है। एमएलएस/एमसीएस रेंज मानों के लिए सिंटैक्स की व्याख्या पिछले अनुभाग में है।

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

टीम सेमैनेज उपयोगकर्ता SELinux उपयोगकर्ताओं और भूमिकाओं के बीच मैपिंग प्रबंधित करने के लिए उपयोग किया जाता है।

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

कमांड पैरामीटर:

• -एक कस्टम रोल मैपिंग प्रविष्टि जोड़ें;
• -l मेल खाने वाले उपयोगकर्ताओं और भूमिकाओं की सूची;
• -d उपयोगकर्ता भूमिका मानचित्रण प्रविष्टि हटाएं;
• -R उपयोगकर्ता से जुड़ी भूमिकाओं की सूची;

फ़ाइलें, पोर्ट और बूलियन मान

प्रत्येक SELinux मॉड्यूल फ़ाइल टैगिंग नियमों का एक सेट प्रदान करता है, लेकिन यदि आवश्यक हो तो आप अपने स्वयं के नियम भी जोड़ सकते हैं। उदाहरण के लिए, हम चाहते हैं कि वेब सर्वर के पास /srv/www फ़ोल्डर तक पहुंच अधिकार हो।

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

पहला कमांड नए अंकन नियमों को पंजीकृत करता है, और दूसरा मौजूदा नियमों के अनुसार फ़ाइल प्रकारों को रीसेट करता है, या बल्कि सेट करता है।

इसी तरह, टीसीपी/यूडीपी पोर्ट को इस तरह से चिह्नित किया जाता है कि केवल उपयुक्त सेवाएं ही उन पर सुन सकें। उदाहरण के लिए, वेब सर्वर को पोर्ट 8080 पर सुनने के लिए, आपको कमांड चलाने की आवश्यकता है।

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

बड़ी संख्या में SELinux मॉड्यूल में ऐसे पैरामीटर होते हैं जो बूलियन मान ले सकते हैं। ऐसे मापदंडों की पूरी सूची getebool -a का उपयोग करके देखी जा सकती है। आप सेटसेबूल का उपयोग करके बूलियन मान बदल सकते हैं।

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

कार्यशाला, Pgadmin-वेब इंटरफ़ेस तक पहुंच प्राप्त करें

आइए एक व्यावहारिक उदाहरण देखें: हमने PostgreSQL डेटाबेस को प्रशासित करने के लिए RHEL 7.6 पर pgadmin4-web स्थापित किया। हम थोड़ा पैदल चले खोज pg_hba.conf, postgresql.conf और config_local.py की सेटिंग्स के साथ, फ़ोल्डर अनुमतियाँ सेट करें, पिप से लापता पायथन मॉड्यूल स्थापित करें। सब कुछ तैयार है, हम लॉन्च करते हैं और प्राप्त करते हैं 500 आंतरिक सर्वर त्रुटि.

हम सामान्य संदिग्धों से शुरुआत करते हैं, /var/log/httpd/error_log की जाँच करते हैं। वहाँ कुछ दिलचस्प प्रविष्टियाँ हैं।

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

इस बिंदु पर, अधिकांश Linux प्रशासकों को setencorce 0 चलाने के लिए दृढ़ता से लुभाया जाएगा, और यही इसका अंत होगा। सच कहूँ तो, मैंने पहली बार ऐसा ही किया था। निःसंदेह यह भी एक रास्ता है, लेकिन सर्वोत्तम से कोसों दूर।

बोझिल डिज़ाइन के बावजूद, SELinux उपयोगकर्ता के अनुकूल हो सकता है। बस सेटट्रबलशूट पैकेज इंस्टॉल करें और सिस्टम लॉग देखें।

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

कृपया ध्यान दें कि OS में systemd की मौजूदगी के बावजूद, ऑडिट सेवा को इस तरह से पुनरारंभ किया जाना चाहिए, और systemctl का उपयोग नहीं करना चाहिए। सिस्टम लॉग में इंगित किया जाएगा न केवल अवरुद्ध करने का तथ्य, बल्कि कारण भी प्रतिबंध से उबरने का तरीका.

हम इन आदेशों को निष्पादित करते हैं:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

हम pgadmin4-वेब वेब पेज तक पहुंच की जांच करते हैं, सब कुछ काम करता है।

स्रोत: www.habr.com