Linuxセキュリティシステム

組み込み、モバイル デバイス、サーバー上で Linux OS が大きな成功を収めた理由の XNUMX つは、カーネル、関連サービス、およびアプリケーションのセキュリティがかなり高いことです。 しかし、もし もっとよく見なさい Linux カーネルのアーキテクチャを考慮すると、その中にセキュリティそのものを担当する領域を見つけることは不可能です。 Linux セキュリティ サブシステムはどこに隠されており、その構成は何ですか?

Linux セキュリティ モジュールと SELinux の背景

Security Enhanced Linux は、潜在的な脅威から Linux システムを保護し、従来の Unix セキュリティ システムである随意アクセス制御 (DAC) の欠点を修正する、必須およびロールベースのアクセス モデルに基づく一連のルールとアクセス メカニズムです。 このプロジェクトは米国国家安全保障局の内部で始まり、主に請負業者の Secure Computing Corporation と MITRE、および多数の研究機関によって直接開発されました。

Linux セキュリティ モジュール

Linus Torvalds は、NSA の新しい開発がメインラインの Linux カーネルに組み込まれるように、それらについて多くのコメントを残しました。 彼は、オブジェクトの操作を制御する一連のインターセプターと、対応する属性を格納するためのカーネル データ構造内の特定の保護フィールドのセットを備えた一般的な環境について説明しました。 この環境は、ロード可能なカーネル モジュールによって使用され、必要なセキュリティ モデルを実装できます。 LSM は 2.6 年に Linux カーネル v2003 に完全に参入しました。

LSM フレームワークには、データ構造内のガード フィールドと、カーネル コードの重要なポイントでインターセプト関数を呼び出して、インターセプト関数を操作してアクセス制御を実行する機能が含まれています。 また、セキュリティモジュールを登録する機能も追加されます。 /sys/kernel/security/lsm インターフェイスには、システム上のアクティブなモジュールのリストが含まれています。 LSM フックは、CONFIG_LSM で指定された順序で呼び出されるリストに格納されます。 フックに関する詳細なドキュメントは、ヘッダー ファイル include/linux/lsm_hooks.h に含まれています。

LSM サブシステムにより、SELinux と安定した Linux カーネル v2.6 の同じバージョンとの完全な統合が可能になりました。 ほぼ即座に、SELinux は安全な Linux 環境の事実上の標準となり、最も人気のあるディストリビューション (RedHat Enterprise Linux、Fedora、Debian、Ubuntu) に組み込まれました。

SELinux用語集

• アイデンティティ — SELinux ユーザーは通常の Unix/Linux ユーザー ID と同じではなく、同じシステム上に共存できますが、本質的にはまったく異なります。 各標準 Linux アカウントは、SELinux の XNUMX つ以上に対応できます。 SELinux ID はセキュリティ コンテキスト全体の一部であり、参加できるドメインと参加できないドメインを決定します。
• ドメイン - SELinux では、ドメインはサブジェクト、つまりプロセスの実行コンテキストです。 ドメインは、プロセスが持つアクセス権を直接決定します。 ドメインは基本的に、プロセスが実行できること、またはプロセスがさまざまなタイプで実行できることのリストです。 ドメインの例としては、システム管理用の sysadm_t や、通常の非特権ユーザー ドメインである user_t などがあります。 init システムは init_t ドメインで実行され、指定されたプロセスはnamed_t ドメインで実行されます。
• 役割 — ドメインと SELinux ユーザーの間の仲介者として機能するもの。 ロールによって、ユーザーが所属できるドメインとアクセスできるオブジェクトの種類が決まります。 このアクセス制御メカニズムは、権限昇格攻撃の脅威を防ぎます。 ロールは、SELinux で使用されるロールベースのアクセス制御 (RBAC) セキュリティ モデルに書き込まれます。
• タイプ — オブジェクトに割り当てられ、オブジェクトにアクセスできるユーザーを決定するタイプ強制リスト属性。 ドメイン定義と似ていますが、ドメインはプロセスに適用され、タイプはディレクトリ、ファイル、ソケットなどのオブジェクトに適用されます。
• 主題とオブジェクト - プロセスはサブジェクトであり、特定のコンテキストまたはセキュリティ ドメインで実行されます。 オペレーティング システム リソース: ファイル、ディレクトリ、ソケットなどは、特定のタイプ、つまりプライバシー レベルが割り当てられたオブジェクトです。
• SELinux ポリシー — SELinux は、システムを保護するためにさまざまなポリシーを使用します。 SELinux ポリシーは、ユーザーのロールへのアクセス、ロールからドメインへのアクセス、およびドメインからタイプへのアクセスを定義します。 まず、ユーザーにロールを取得する権限が与えられ、次にそのロールがドメインにアクセスする権限を与えられます。 最後に、ドメインは特定の種類のオブジェクトにのみアクセスできます。

LSM と SELinux のアーキテクチャ

その名前にもかかわらず、LSM は通常、ロード可能な Linux モジュールではありません。 ただし、SELinux と同様に、カーネルに直接統合されます。 LSM ソース コードを変更するには、新しいカーネル コンパイルが必要です。 カーネル設定で対応するオプションを有効にする必要があります。有効にしないと、ブート後に LSM コードがアクティブになりません。 ただし、この場合でも、OS ブートローダー オプションによって有効にすることができます。

LSMチェックスタック

LSM には、チェックに関連するコア カーネル関数のフックが装備されています。 LSM の主な特徴の XNUMX つは、LSM がスタックされていることです。 したがって、標準チェックは引き続き実行され、LSM の各層は追加の制御と制御を追加するだけです。 これは、禁止を元に戻すことができないことを意味します。 これは図に示されており、ルーチンの DAC チェックの結果が失敗の場合、問題は LSM フックにさえ到達しません。

SELinux は、Fluke 研究オペレーティング システムの Flask セキュリティ アーキテクチャ、特に最小特権の原則を採用しています。 この概念の本質は、その名前が示すように、意図したアクションを実行するために必要な権限のみをユーザーまたはプロセスに付与することです。 この原則は、強制的なアクセス タイピングを使用して実装されているため、SELinux のアクセス制御はドメイン => タイプ モデルに基づいています。

強制アクセス タイピングのおかげで、SELinux は、Unix/Linux オペレーティング システムで使用されている従来の DAC モデルよりもはるかに優れたアクセス制御機能を備えています。 たとえば、FTP サーバーが接続するネットワーク ポート番号を制限したり、特定のフォルダーへのファイルの書き込みと変更は許可しますが、削除は禁止したりすることができます。

SELinux の主なコンポーネントは次のとおりです。

• ポリシー施行サーバー — アクセス制御を組織化するための主要なメカニズム。
• システムセキュリティポリシーデータベース。
• LSM イベント インターセプターとの対話。
• セリナックス - 擬似 FS。/proc と同じで、/sys/fs/selinux にマウントされます。 実行時に Linux カーネルによって動的に設定され、SELinux ステータス情報を含むファイルが含まれます。
• ベクターキャッシュへのアクセス — 生産性を向上させるための補助的なメカニズム。

SELinux の仕組み

すべてはこのように機能します。

1. 上の図に示すように、SELinux 用語で特定のサブジェクトは、DAC チェック後にオブジェクトに対して許可されたアクションを実行します。 この操作を実行するリクエストは、LSM イベント インターセプタに送られます。
2. そこから、リクエストは、サブジェクトおよびオブジェクトのセキュリティ コンテキストとともに、LSM との対話を担当する SELinux 抽象化およびフック ロジック モジュールに渡されます。
3. サブジェクトのオブジェクトへのアクセスに関する意思決定権限は Policy Enforcement Server であり、SELinux AnHL からデータを受け取ります。
4. アクセスまたは拒否を決定するために、Policy Enforcement Server は、最も使用されるルールの Access Vector Cache (AVC) キャッシュ サブシステムを利用します。
5. 対応するルールのソリューションがキャッシュ内に見つからない場合、リクエストはセキュリティ ポリシー データベースに渡されます。
6. データベースと AVC からの検索結果が Policy Enforcement Server に返されます。
7. 見つかったポリシーが要求されたアクションと一致する場合、操作は許可されます。 それ以外の場合は操作を禁止します。

SELinux設定の管理

SELinux は、次の XNUMX つのモードのいずれかで動作します。

• 強制 - セキュリティ ポリシーを厳守します。
• Permissive - 制限の違反は許可されており、対応するメモがジャーナルに作成されます。
• 無効 - セキュリティ ポリシーは有効ではありません。

次のコマンドを使用して、SELinux がどのモードにあるかを確認できます。

[admin@server ~]$ getenforce
Permissive

再起動する前にモードを変更します。たとえば、強制または 1 に設定します。permissive パラメータは数値コード 0 に対応します。

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

ファイルを編集してモードを変更することもできます。

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=ターゲット

setenfoce との違いは、オペレーティング システムの起動時に、構成ファイルの SELINUX パラメータの値に従って SELinux モードが設定されることです。 さらに、<=> を無効にする変更は、/etc/selinux/config ファイルを編集し、再起動した後にのみ有効になります。

簡単なステータス レポートを表示します。

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux 属性を表示するには、一部の標準ユーティリティでは -Z パラメータを使用します。

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l の通常の出力と比較すると、次の形式の追加フィールドがいくつかあります。

<user>:<role>:<type>:<level>

最後のフィールドはセキュリティ分類のようなものを示し、次の XNUMX つの要素の組み合わせで構成されます。

• s0 - 重要度、低レベルと高レベルの間隔とも表記されます。
• c0、c1… c1023 - カテゴリ。

アクセス構成の変更

semodule を使用して、SELinux モジュールをロード、追加、削除します。

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

一軍 ログインを管理する SELinux ユーザーをオペレーティング システム ユーザーに接続し、XNUMX つ目はリストを表示します。 最後に、-r スイッチを指定した最後のコマンドは、SELinux ユーザーの OS アカウントへのマッピングを削除します。 MLS/MCS 範囲値の構文の説明は前のセクションにあります。

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

チーム ユーザーを管理する SELinux ユーザーとロール間のマッピングを管理するために使用されます。

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

コマンドパラメータ:

• -a カスタム ロール マッピング エントリを追加します。
• -l 一致するユーザーとロールのリスト。
• -d ユーザー ロール マッピング エントリを削除します。
• -R ユーザーにアタッチされているロールのリスト。

ファイル、ポート、およびブール値

各 SELinux モジュールはファイルのタグ付けルールのセットを提供しますが、必要に応じて独自のルールを追加することもできます。 たとえば、Web サーバーに /srv/www フォルダーへのアクセス権を持たせたいとします。

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

最初のコマンドは新しいマーキング ルールを登録し、XNUMX 番目のコマンドは現在のルールに従ってファイル タイプをリセット、または設定します。

同様に、TCP/UDP ポートは、適切なサービスのみがポートをリッスンできるようにマークされます。 たとえば、Web サーバーがポート 8080 でリッスンするには、次のコマンドを実行する必要があります。

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

かなりの数の SELinux モジュールには、ブール値を受け取ることができるパラメーターがあります。 このようなパラメーターのリスト全体は、getsebool -a を使用して表示できます。 setsebool を使用してブール値を変更できます。

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

ワークショップ、Pgadmin-Web インターフェイスへのアクセスを取得します。

実際の例を見てみましょう。PostgreSQL データベースを管理するために、RHEL 7.6 に pgadmin4-web をインストールしました。 私たちは少し歩きました クエスト pg_hba.conf、postgresql.conf、config_local.py の設定を使用して、フォルダーのアクセス許可を設定し、不足している Python モジュールを pip からインストールします。 すべての準備が整いました。起動して受け取ります 500内部サーバーエラー.

まず、典型的な疑わしいものから始めて、/var/log/httpd/error_log をチェックします。 そこにはいくつかの興味深いエントリがあります。

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

この時点で、ほとんどの Linux 管理者は setencorce 0 を実行したくなるでしょうが、それで終わりです。 率直に言って、私は初めてそれをしました。 もちろんこれも解決策ではありますが、最善とは程遠いです。

SELinux は、設計が煩雑であるにもかかわらず、ユーザーフレンドリーです。 setroubleshoot パッケージをインストールし、システム ログを表示するだけです。

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

OS に systemd が存在する場合でも、auditd サービスは systemctl を使用せずにこの方法で再起動する必要があることに注意してください。 システムログ内 表示されます ブロックした事実だけでなく、その理由や 禁止を克服する方法.

次のコマンドを実行します。

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

pgadmin4-web Web ページへのアクセスを確認すると、すべてが機能します。

出所： habr.com