תרגום המאמר שהוכן לתלמידי הקורס "אבטחת לינוקס"

SELinux או Security Enhanced Linux הוא מנגנון בקרת גישה משופר שפותח על ידי הסוכנות לביטחון לאומי של ארה"ב (NSA) כדי למנוע חדירות זדוניות. היא מיישמת מודל בקרת גישה מאולצת (או חובה) (English Mandatory Access Control, MAC) על גבי המודל הקיים (או סלקטיבי) הקיים (English Discretionary Access Control, DAC), כלומר, הרשאות קריאה, כתיבה, ביצוע.

ל-SELinux יש שלושה מצבים:

1. אכיפה - מניעת גישה בהתבסס על כללי מדיניות.
2. מַתִיר - ניהול יומן של פעולות שמפרות את המדיניות, אשר יהיו אסורות במצב האכיפה.
3. לנכים - השבתה מלאה של SELinux.

כברירת מחדל, ההגדרות נמצאות /etc/selinux/config

שינוי מצבי SELinux

כדי לברר את המצב הנוכחי, הפעל

$ getenforce

כדי לשנות את המצב למתירני הפעל את הפקודה הבאה

$ setenforce 0

או, כדי לשנות את המצב מתירני על אכיפה, לבצע

$ setenforce 1

אם אתה צריך להשבית לחלוטין את SELinux, אז זה יכול להיעשות רק דרך קובץ התצורה

$ vi /etc/selinux/config

כדי להשבית, שנה את הפרמטר SELINUX באופן הבא:

SELINUX=disabled

הגדרת SELinux

כל קובץ ותהליך מסומנים בהקשר של SELinux, המכיל מידע נוסף כגון משתמש, תפקיד, סוג וכו'. אם זו הפעם הראשונה שאתה מפעיל את SELinux, תחילה תצטרך להגדיר את ההקשר והתוויות. תהליך הקצאת תוויות והקשר ידוע כתיוג. כדי להתחיל לסמן, בקובץ התצורה אנו משנים את המצב ל מתירני.

$ vi /etc/selinux/config
SELINUX=permissive

לאחר הגדרת המצב מתירני, צור קובץ נסתר ריק בשורש עם השם autorelabel

$ touch /.autorelabel

והפעל מחדש את המחשב

$ init 6

הערה: אנו משתמשים במצב מתירני לסימון, מאז השימוש במצב אכיפה עלול לגרום למערכת לקרוס במהלך אתחול מחדש.

אל תדאג אם ההורדה נתקעת בקובץ כלשהו, ​​הסימון לוקח זמן מה. לאחר השלמת הסימון והמערכת שלך מופעלת, אתה יכול ללכת לקובץ התצורה ולהגדיר את המצב אכיפהוגם להריץ:

$ setenforce 1

הפעלת בהצלחה את SELinux במחשב שלך.

ניטור היומנים

ייתכן שנתקלת בשגיאות מסוימות במהלך הסימון או בזמן שהמערכת פועלת. כדי לבדוק אם ה-SELinux שלך פועל כהלכה ואם הוא לא חוסם גישה לשום יציאה, אפליקציה וכו', עליך להסתכל ביומנים. יומן ה-SELinux נמצא ב /var/log/audit/audit.log, אבל אתה לא צריך לקרוא את כולו כדי למצוא שגיאות. אתה יכול להשתמש בכלי השירות audit2why כדי למצוא שגיאות. הפעל את הפקודה הבאה:

$ audit2why < /var/log/audit/audit.log

כתוצאה מכך, תקבל רשימה של שגיאות. אם לא היו שגיאות ביומן, לא יוצגו הודעות.

הגדרת מדיניות SELinux

מדיניות SELinux היא מערכת כללים השולטת במנגנון האבטחה של SELinux. מדיניות מגדירה מערכת כללים עבור סביבה ספציפית. כעת נלמד כיצד להגדיר מדיניות כדי לאפשר גישה לשירותים אסורים.

1. ערכים לוגיים (מתגים)

מתגים (בוליאנים) מאפשרים לך לשנות חלקים של מדיניות בזמן ריצה, מבלי ליצור מדיניות חדשה. הם מאפשרים לך לבצע שינויים מבלי לבצע אתחול מחדש או הידור מחדש של מדיניות SELinux.

דוגמה
נניח שאנחנו רוצים לשתף את ספריית הבית של משתמש דרך קריאה/כתיבה FTP, וכבר שיתפנו אותה, אבל כשאנחנו מנסים לגשת אליה, אנחנו לא רואים כלום. הסיבה לכך היא שמדיניות SELinux מונעת משרת ה-FTP לקרוא ולכתוב לספריית הבית של המשתמש. עלינו לשנות את המדיניות כך ששרת ה-FTP יוכל לגשת לספריות הביתיות. בוא נראה אם ​​יש מתגים לזה על ידי ביצוע

$ semanage boolean -l

פקודה זו תפרט את המתגים הזמינים עם מצבם הנוכחי (מופעל או כבוי) ותיאור. אתה יכול לצמצם את החיפוש שלך על ידי הוספת grep כדי למצוא תוצאות ftp בלבד:

$ semanage boolean -l | grep ftp

ותמצא את הדברים הבאים

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

מתג זה מושבת, אז נפעיל אותו עם setsebool $ setsebool ftp_home_dir on

כעת דמון ה-ftp שלנו יוכל לגשת לספריית הבית של המשתמש.
הערה: אתה יכול גם לקבל רשימה של מתגים זמינים ללא תיאור על ידי ביצוע getsebool -a

2. תוויות והקשר

זוהי הדרך הנפוצה ביותר ליישם את מדיניות SELinux. כל קובץ, תיקיה, תהליך ויציאה מסומנים בהקשר של SELinux:

• עבור קבצים ותיקיות, התוויות מאוחסנות כתכונות מורחבות במערכת הקבצים וניתן לצפות בהן באמצעות הפקודה הבאה:

  $ ls -Z /etc/httpd

• עבור תהליכים ויציאות, התווית מנוהלת על ידי הליבה, ותוכל להציג את התוויות האלה באופן הבא:

תהליך

$ ps –auxZ | grep httpd

הנמל

$ netstat -anpZ | grep httpd

דוגמה
כעת נסתכל על דוגמה כדי להבין טוב יותר את התוויות וההקשר. נניח שיש לנו שרת אינטרנט, במקום ספרייה /var/www/html/ использует /home/dan/html/. SELinux תראה בכך הפרה של מדיניות ולא תוכל לצפות בדפי האינטרנט שלך. הסיבה לכך היא שלא קבענו את הקשר האבטחה המשויך לקובצי HTML. כדי להציג את הקשר האבטחה המוגדר כברירת מחדל, השתמש בפקודה הבאה:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

הנה הגענו httpd_sys_content_t כהקשר עבור קבצי HTML. עלינו להגדיר את הקשר האבטחה הזה עבור הספרייה הנוכחית שלנו, שכרגע יש לה את ההקשר הבא:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

פקודה חלופית לבדיקת הקשר האבטחה של קובץ או ספריה:

$ semanage fcontext -l | grep '/var/www'

נשתמש גם ב-semanage כדי לשנות את ההקשר לאחר שמצאנו את הקשר האבטחה הנכון. כדי לשנות את ההקשר של /home/dan/html, הפעל את הפקודות הבאות:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

לאחר שינוי ההקשר באמצעות Semanage, הפקודה restorecon תטען את הקשר ברירת המחדל עבור קבצים וספריות. שרת האינטרנט שלנו יוכל כעת לקרוא קבצים מהתיקייה /home/dan/htmlמכיוון שהקשר האבטחה עבור תיקיה זו השתנה ל httpd_sys_content_t.

3. צור מדיניות מקומית

ייתכנו מצבים שבהם השיטות הנ"ל לא מועילות לך ואתה מקבל שגיאות (avc/denial) ב-audit.log. כאשר זה קורה, עליך ליצור מדיניות מקומית. אתה יכול למצוא את כל השגיאות באמצעות audit2why, כמתואר לעיל.

אתה יכול ליצור מדיניות מקומית כדי לפתור שגיאות. לדוגמה, אנו מקבלים שגיאה הקשורה ל-httpd (apache) או smbd (samba), אנו מבצעים grep של השגיאות ויוצרים עבורן מדיניות:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

כאן http_policy и smb_policy הם שמות המדיניות המקומית שיצרנו. כעת עלינו לטעון את המדיניות המקומית שנוצרה למדיניות ה-SELinux הנוכחית. ניתן לעשות זאת באופן הבא:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

המדיניות המקומית שלנו הורדה ואנו לא אמורים לקבל עוד AVC או דנייל ב-audit.log.

זה היה הניסיון שלי לעזור לך להבין את SELinux. אני מקווה שאחרי קריאת מאמר זה תרגישו יותר בנוח עם SELinux.

מקור: www.habr.com