מערכות אבטחה לינוקס

אחת הסיבות להצלחה האדירה של מערכת ההפעלה לינוקס במכשירים מוטבעים, ניידים ושרתים היא מידת האבטחה הגבוהה למדי של הליבה, שירותים ויישומים קשורים. אבל אם תסתכל מקרוב לארכיטקטורה של ליבת לינוקס, אז אי אפשר למצוא בה ריבוע האחראי לאבטחה ככזו. היכן מסתתרת תת-מערכת האבטחה לינוקס וממה היא מורכבת?

רקע על מודולי אבטחה של לינוקס ו-SELinux

אבטחה משופרת לינוקס היא קבוצה של כללים ומנגנוני גישה המבוססים על מודלים חובה ומבוססי תפקידים כדי להגן על מערכות לינוקס מפני איומים פוטנציאליים ולתקן את החסרונות של בקרת גישה שיקול דעת (DAC), מערכת האבטחה המסורתית של יוניקס. מקור הפרויקט במעיה של הסוכנות לביטחון לאומי בארה"ב, והוא פותח ישירות בעיקר על ידי הקבלנים Secure Computing Corporation ו-MITER, וכן מספר מעבדות מחקר.

מודולי אבטחה של לינוקס

Linus Torvalds העיר מספר הערות לגבי פיתוחים חדשים של NSA כדי שיוכלו להיכלל בליבת לינוקס הראשית. הוא תיאר סביבה כללית, עם קבוצה של מיירטים לשליטה בפעולות עם אובייקטים וקבוצה של שדות הגנה מסוימים במבני נתונים של ליבה לאחסון התכונות המתאימות. לאחר מכן ניתן להשתמש בסביבה זו על ידי מודולי ליבה הניתנים לטעינה כדי ליישם כל מודל אבטחה רצוי. LSM נכנס במלואו לגירסת לינוקס 2.6 בשנת 2003.

מסגרת ה-LSM כוללת שדות שמירה במבני נתונים וקריאות לפונקציות יירוט בנקודות קריטיות בקוד הליבה כדי לתמרן אותן ולבצע בקרת גישה. זה גם מוסיף פונקציונליות לרישום מודולי אבטחה. ממשק /sys/kernel/security/lsm מכיל רשימה של מודולים פעילים במערכת. ווים של LSM מאוחסנים ברשימות שנקראות בסדר המצוין ב-CONFIG_LSM. תיעוד מפורט על hooks כלול בקובץ הכותרת include/linux/lsm_hooks.h.

תת-המערכת LSM אפשרה להשלים את האינטגרציה המלאה של SELinux עם אותה גרסה של ליבת לינוקס היציבה v2.6. כמעט מיד, SELinux הפך לתקן דה פקטו עבור סביבת לינוקס מאובטחת ונכלל בהפצות הפופולריות ביותר: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

מילון מונחים של SELinux

• זהות - משתמש SELinux אינו זהה למזהה המשתמש הרגיל של Unix/Linux; הם יכולים להתקיים במקביל על אותה מערכת, אך שונים לחלוטין במהותם. כל חשבון לינוקס סטנדרטי יכול להתאים לאחד או יותר ב-SELinux. זהות ה-SELinux היא חלק מהקשר האבטחה הכולל, שקובע לאילו תחומים אתה יכול ואיזה לא תוכל להצטרף.
• דומיינים - ב-SELinux, תחום הוא ההקשר לביצוע של נושא, כלומר תהליך. הדומיין קובע ישירות את הגישה שיש לתהליך. תחום הוא בעצם רשימה של מה תהליכים יכולים לעשות או מה תהליך יכול לעשות עם סוגים שונים. כמה דוגמאות לדומיינים הם sysadm_t לניהול מערכת, ו-user_t שהוא דומיין משתמש רגיל ללא הרשאות. מערכת init פועלת בדומיין init_t, והתהליך הנקוב פועל בדומיין named_t.
• תפקידים - מה שמשמש כמתווך בין דומיינים ומשתמשי SELinux. תפקידים קובעים לאילו תחומים משתמש יכול להשתייך ולאילו סוגי אובייקטים הם יכולים לגשת. מנגנון בקרת גישה זה מונע את האיום של התקפות הסלמה של הרשאות. תפקידים נכתבים במודל האבטחה של בקרת גישה מבוססת תפקידים (RBAC) המשמש ב-SELinux.
• סוגים - תכונת רשימת אכיפת סוג המוקצה לאובייקט וקובעת מי יכול לגשת אליו. בדומה להגדרת התחום, אלא שהתחום חל על תהליך, והסוג חל על אובייקטים כמו ספריות, קבצים, שקעים וכו'.
• נושאים וחפצים - תהליכים הם נושאים ופועלים בהקשר מסוים, או תחום אבטחה. משאבי מערכת הפעלה: קבצים, ספריות, שקעים וכו', הם אובייקטים שמיוחסים להם סוג מסוים, במילים אחרות, רמת פרטיות.
• מדיניות SELinux - SELinux משתמש במגוון מדיניות כדי להגן על המערכת. מדיניות SELinux מגדירה את הגישה של משתמשים לתפקידים, תפקידים לדומיינים ודומיינים לסוגים. ראשית, המשתמש מורשה לקבל תפקיד, לאחר מכן התפקיד מורשה לגשת לדומיינים. לבסוף, לדומיין יכולה להיות גישה רק לסוגים מסוימים של אובייקטים.

LSM וארכיטקטורת SELinux

למרות השם, LSMs אינם בדרך כלל מודולי לינוקס הניתנים לטעינה. עם זאת, כמו SELinux, הוא משולב ישירות בקרנל. כל שינוי בקוד המקור של LSM מצריך הידור ליבה חדש. יש להפעיל את האפשרות המתאימה בהגדרות הליבה, אחרת קוד ה-LSM לא יופעל לאחר האתחול. אבל גם במקרה זה, ניתן להפעיל אותו על ידי אפשרות טוען האתחול של מערכת ההפעלה.

מחסנית בדיקות LSM

LSM מצויד ב-hooks בפונקציות ליבה שיכולות להיות רלוונטיות לבדיקות. אחת התכונות העיקריות של LSMs היא שהם מוערמים. לפיכך, הבדיקות הסטנדרטיות עדיין מבוצעות, וכל שכבה של LSM רק מוסיפה בקרות ובקרות נוספות. המשמעות היא שלא ניתן לבטל את האיסור. זה מוצג באיור; אם התוצאה של בדיקות DAC שגרתיות היא כשל, אז העניין אפילו לא יגיע לווים של LSM.

SELinux מאמצת את ארכיטקטורת האבטחה Flask של מערכת ההפעלה Fluke Research, במיוחד את עקרון המינימום הזכויות. המהות של מושג זה, כפי שמעיד שמו, היא להעניק למשתמש או לעבד רק את הזכויות הנחוצות לביצוע הפעולות המיועדות. עיקרון זה מיושם באמצעות הקלדת גישה מאולצת, ולכן בקרת הגישה ב-SELinux מבוססת על מודל ה-domain => type.

הודות להקלדת גישה כפויה, ל-SELinux יכולות בקרת גישה גדולות בהרבה מדגם ה-DAC המסורתי המשמש במערכות ההפעלה Unix/Linux. לדוגמה, ניתן להגביל את מספר יציאת הרשת שאליו יתחבר שרת ה-ftp, לאפשר כתיבה ושינוי של קבצים בתיקייה מסוימת, אך לא למחוק אותם.

המרכיבים העיקריים של SELinux הם:

• שרת אכיפת מדיניות - המנגנון העיקרי לארגון בקרת גישה.
• מסד נתונים של מדיניות אבטחת מערכת.
• אינטראקציה עם מיירט אירועי LSM.
• Selinuxfs - Pseudo-FS, זהה ל-/proc ומותקן ב-/sys/fs/selinux. מאוכלס באופן דינמי על ידי ליבת לינוקס בזמן ריצה ומכיל קבצים המכילים מידע סטטוס SELinux.
• גישה ל-Vector Cache - מנגנון עזר להגברת הפריון.

איך SELinux עובד

הכל עובד ככה.

1. נושא מסוים, במונחי SELinux, מבצע פעולה מותרת על אובייקט לאחר בדיקת DAC, כפי שמוצג בתמונה העליונה. בקשה זו לביצוע פעולה עוברת למיירט אירועי LSM.
2. משם, הבקשה, יחד עם הקשר אבטחת הנושא והאובייקט, מועברת למודול SELinux Abstraction and Hook Logic, שאחראי על האינטראקציה עם ה-LSM.
3. סמכות קבלת ההחלטות לגבי הגישה של נושא לאובייקט היא שרת אכיפת המדיניות והוא מקבל נתונים מ-SELinux AnHL.
4. כדי לקבל החלטות לגבי גישה או דחיה, שרת אכיפת המדיניות פונה ל-Access Vector Cache (AVC) המשנה למטמון עבור הכללים הנפוצים ביותר.
5. אם לא נמצא פתרון לכלל המתאים במטמון, הבקשה מועברת למסד הנתונים של מדיניות האבטחה.
6. תוצאת החיפוש ממסד הנתונים וה-AVC מוחזרת לשרת אכיפת המדיניות.
7. אם המדיניות שנמצאה תואמת את הפעולה המבוקשת, הפעולה מותרת. אחרת, הפעולה אסורה.

ניהול הגדרות SELinux

SELinux פועל באחד משלושה מצבים:

• אכיפה - הקפדה על מדיניות אבטחה.
• מתיר - הפרת הגבלות מותרת; הערה מתאימה נרשמת ביומן.
• מושבת - מדיניות האבטחה אינה בתוקף.

אתה יכול לראות באיזה מצב נמצא SELinux עם הפקודה הבאה.

[admin@server ~]$ getenforce
Permissive

שינוי המצב לפני אתחול מחדש, למשל, הגדרתו לאכיפה, או 1. הפרמטר המתיר מתאים לקוד המספרי 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

אתה יכול גם לשנות את המצב על ידי עריכת הקובץ:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=יעד

ההבדל עם setenfoce הוא שכאשר מערכת ההפעלה מאתחלת, מצב ה-SELinux יוגדר בהתאם לערך של הפרמטר SELINUX בקובץ התצורה. בנוסף, שינויים באכיפת <=> מושבתת נכנסים לתוקף רק על ידי עריכת קובץ /etc/selinux/config ולאחר אתחול מחדש.

צפו בדוח מצב קצר:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
כדי להציג תכונות של SELinux, חלק מכלי השירות הסטנדרטיים משתמשים בפרמטר -Z.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

בהשוואה לפלט הרגיל של ls -l, ישנם מספר שדות נוספים בפורמט הבא:

<user>:<role>:<type>:<level>

השדה האחרון מציין משהו כמו סיווג אבטחה ומורכב משילוב של שני אלמנטים:

• s0 - מובהקות, נכתב גם כמרווח נמוך-רמה-גבוהה
• c0, c1… c1023 - קטגוריה.

שינוי תצורת הגישה

השתמש ב-semodule כדי לטעון, להוסיף ולהסיר מודולי SELinux.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

קבוצה ראשונה כניסה של semanage מחבר את משתמש SELinux למשתמש במערכת ההפעלה, השני מציג רשימה. לבסוף, הפקודה האחרונה עם המתג -r מסירה את המיפוי של משתמשי SELinux לחשבונות מערכת ההפעלה. הסבר על התחביר עבור ערכי טווח MLS/MCS נמצא בסעיף הקודם.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

קבוצה משתמש semanage משמש לניהול מיפויים בין משתמשי SELinux ותפקידים.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

פרמטרי פקודה:

• -הוספה של ערך מיפוי תפקידים מותאם אישית;
• -רשימת משתמשים ותפקידים תואמים;
• -d מחיקת ערך מיפוי תפקידי משתמש;
• -R רשימה של תפקידים המצורפים למשתמש;

קבצים, יציאות וערכים בוליאניים

כל מודול SELinux מספק קבוצה של חוקי תיוג קבצים, אבל אתה יכול גם להוסיף כללים משלך במידת הצורך. לדוגמה, אנו רוצים שלשרת האינטרנט יהיו זכויות גישה לתיקיית /srv/www.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

הפקודה הראשונה רושמת כללי סימון חדשים, והשנייה מאפסת, או יותר נכון מגדירה, את סוגי הקבצים בהתאם לכללים הנוכחיים.

כמו כן, יציאות TCP/UDP מסומנות בצורה כזו שרק השירותים המתאימים יכולים להאזין להן. לדוגמה, כדי ששרת האינטרנט יקשיב ביציאה 8080, עליך להפעיל את הפקודה.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

למספר משמעותי של מודולי SELinux יש פרמטרים שיכולים לקחת ערכים בוליאניים. ניתן לראות את כל הרשימה של פרמטרים כאלה באמצעות getsebool -a. אתה יכול לשנות ערכים בוליאניים באמצעות setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

סדנה, קבל גישה לממשק האינטרנט של Pgadmin

בואו נסתכל על דוגמה מעשית: התקנו pgadmin7.6-web ב-RHEL 4 כדי לנהל את מסד הנתונים PostgreSQL. טיילנו קצת חפוש עם ההגדרות של pg_hba.conf, postgresql.conf ו-config_local.py, הגדר הרשאות תיקייה, התקן את מודולי Python החסרים מ-pip. הכל מוכן, אנחנו משיקים ומקבלים 500 שגיאת שרת פנימית.

אנחנו מתחילים עם החשודים הטיפוסיים, בודקים /var/log/httpd/error_log. יש שם כמה ערכים מעניינים.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

בשלב זה, רוב מנהלי לינוקס יתפתו מאוד להריץ setencorce 0, וזה יסתיים. למען האמת, עשיתי בדיוק את זה בפעם הראשונה. זו כמובן גם מוצא, אבל רחוק מלהיות הטוב ביותר.

למרות העיצובים המסורבלים, SELinux יכול להיות ידידותי למשתמש. פשוט התקן את חבילת setroubleshoot והצג את יומן המערכת.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

שים לב שיש להפעיל מחדש את שירות ה-audid באופן זה, ולא באמצעות systemctl, למרות הנוכחות של systemd במערכת ההפעלה. ביומן המערכת יצוין לא רק עובדת החסימה, אלא גם הסיבה ו דרך להתגבר על האיסור.

אנו מבצעים את הפקודות הבאות:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

אנחנו בודקים גישה לדף האינטרנט pgadmin4-web, הכל עובד.

מקור: www.habr.com