კურსის სტუდენტებისთვის მომზადებული სტატიის თარგმანი "Linux Security"

SELinux ან Security Enhanced Linux არის წვდომის კონტროლის გაუმჯობესებული მექანიზმი, რომელიც შემუშავებულია აშშ-ს ეროვნული უსაფრთხოების სააგენტოს (NSA) მიერ მავნე შეღწევების თავიდან ასაცილებლად. ის ახორციელებს იძულებითი (ან სავალდებულო) წვდომის კონტროლის მოდელს (ინგლისური სავალდებულო წვდომის კონტროლი, MAC) არსებული დისკრეციული (ან შერჩევითი) მოდელის თავზე (ინგლისური დისკრეციული წვდომის კონტროლი, DAC), ანუ წაკითხვის, ჩაწერის, შესრულების ნებართვები.

SELinux-ს აქვს სამი რეჟიმი:

1. აღსრულება — წვდომის უარყოფა პოლიტიკის წესების საფუძველზე.
2. დასაშვები — წესების დამრღვევი ქმედებების ჟურნალის შენახვა, რომელიც აიკრძალება აღსრულების რეჟიმში.
3. შეზღუდული შესაძლებლობების მქონე — SELinux-ის სრული გამორთვა.

ნაგულისხმევად, პარამეტრები შეყვანილია /etc/selinux/config

SELinux რეჟიმების შეცვლა

მიმდინარე რეჟიმის გასარკვევად, გაუშვით

$ getenforce

რეჟიმის დასაშვებად შესაცვლელად გაუშვით შემდეგი ბრძანება

$ setenforce 0

ან რეჟიმის შეცვლა permissive on აღასრულებს, შეასრულეთ

$ setenforce 1

თუ თქვენ გჭირდებათ მთლიანად გამორთოთ SELinux, მაშინ ეს შეიძლება გაკეთდეს მხოლოდ კონფიგურაციის ფაილის საშუალებით

$ vi /etc/selinux/config

გამორთვისთვის შეცვალეთ SELINUX პარამეტრი შემდეგნაირად:

SELINUX=disabled

SELinux-ის დაყენება

თითოეული ფაილი და პროცესი მონიშნულია SELinux კონტექსტით, რომელიც შეიცავს დამატებით ინფორმაციას, როგორიცაა მომხმარებელი, როლი, ტიპი და ა.შ. თუ პირველად ჩართავთ SELinux-ს, ჯერ მოგიწევთ კონტექსტის და ეტიკეტების კონფიგურაცია. ეტიკეტებისა და კონტექსტის მინიჭების პროცესი ცნობილია როგორც ტეგი. მარკირების დასაწყებად, კონფიგურაციის ფაილში ჩვენ ვცვლით რეჟიმს permissive.

$ vi /etc/selinux/config
SELINUX=permissive

რეჟიმის დაყენების შემდეგ permissiveშექმენით ცარიელი ფარული ფაილი root-ში სახელით autorelabel

$ touch /.autorelabel

და გადატვირთეთ კომპიუტერი

$ init 6

შენიშვნა: ჩვენ ვიყენებთ რეჟიმს permissive მარკირებისთვის, რეჟიმის გამოყენების შემდეგ აღასრულებს შეიძლება გამოიწვიოს სისტემის ავარია გადატვირთვისას.

არ ინერვიულოთ, თუ გადმოტვირთვა ჩერდება რომელიმე ფაილზე, მარკირებას გარკვეული დრო სჭირდება. მარკირების დასრულების და თქვენი სისტემის ჩატვირთვის შემდეგ, შეგიძლიათ გადახვიდეთ კონფიგურაციის ფაილზე და დააყენოთ რეჟიმი აღასრულებსდა ასევე გაუშვით:

$ setenforce 1

თქვენ ახლა წარმატებით ჩართეთ SELinux თქვენს კომპიუტერში.

მორების მონიტორინგი

თქვენ შეიძლება შეგხვედრიათ გარკვეული შეცდომები მარკირებისას ან სისტემის მუშაობისას. იმის შესამოწმებლად, მუშაობს თუ არა თქვენი SELinux სწორად და არ ბლოკავს თუ არა წვდომას რომელიმე პორტზე, აპლიკაციაზე და ა.შ., თქვენ უნდა გადახედოთ ჟურნალებს. SELinux-ის ჟურნალი მდებარეობს /var/log/audit/audit.log, მაგრამ თქვენ არ გჭირდებათ მთლიანი წაკითხვა შეცდომების საპოვნელად. შეცდომების საპოვნელად შეგიძლიათ გამოიყენოთ audit2why უტილიტა. გაუშვით შემდეგი ბრძანება:

$ audit2why < /var/log/audit/audit.log

შედეგად, თქვენ მიიღებთ შეცდომების ჩამონათვალს. თუ ჟურნალში არ იყო შეცდომები, მაშინ შეტყობინებები არ გამოჩნდება.

მიმდინარეობს SELinux პოლიტიკის კონფიგურაცია

SELinux პოლიტიკა არის წესების ნაკრები, რომელიც მართავს SELinux უსაფრთხოების მექანიზმს. პოლიტიკა განსაზღვრავს წესების ერთობლიობას კონკრეტული გარემოსთვის. ახლა ჩვენ ვისწავლით როგორ დავაკონფიგურიროთ პოლიტიკები აკრძალულ სერვისებზე წვდომის დასაშვებად.

1. ლოგიკური მნიშვნელობები (გამრთველები)

გადამრთველები (ბულიანები) საშუალებას გაძლევთ შეცვალოთ პოლიტიკის ნაწილები გაშვების დროს, ახალი პოლიტიკის შექმნის გარეშე. ისინი საშუალებას გაძლევთ განახორციელოთ ცვლილებები SELinux-ის პოლიტიკის გადატვირთვის ან გადატვირთვის გარეშე.

მაგალითი
ვთქვათ, გვინდა გავუზიაროთ მომხმარებლის მთავარი დირექტორია FTP წაკითხვის/ჩაწერის საშუალებით და უკვე გავუზიარეთ, მაგრამ როცა ვცდილობთ მასზე წვდომას, ვერაფერს ვხედავთ. ეს იმიტომ ხდება, რომ SELinux პოლიტიკა ხელს უშლის FTP სერვერს წაიკითხოს და ჩაწეროს მომხმარებლის მთავარ დირექტორიაში. ჩვენ უნდა შევცვალოთ პოლიტიკა ისე, რომ FTP სერვერს შეეძლოს სახლის დირექტორიებზე წვდომა. ვნახოთ, არის თუ არა ამისთვის რაიმე გადამრთველი ამით

$ semanage boolean -l

ეს ბრძანება ჩამოთვლის ხელმისაწვდომი გადამრთველებს მათი მიმდინარე მდგომარეობით (ჩართული ან გამორთული) და აღწერილობით. თქვენ შეგიძლიათ დახვეწოთ თქვენი ძიება grep-ის დამატებით, რომ იპოვოთ მხოლოდ ftp-ის შედეგები:

$ semanage boolean -l | grep ftp

და თქვენ ნახავთ შემდეგს

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

ეს გადამრთველი გამორთულია, ამიტომ ჩვენ მას ჩავრთავთ setsebool $ setsebool ftp_home_dir on

ახლა ჩვენი ftp დემონი შეძლებს მომხმარებლის სახლის დირექტორიაში წვდომას.
შენიშვნა: თქვენ ასევე შეგიძლიათ მიიღოთ ხელმისაწვდომი გადამრთველების სია აღწერის გარეშე getsebool -a

2. იარლიყები და კონტექსტი

ეს არის SELinux პოლიტიკის განხორციელების ყველაზე გავრცელებული გზა. ყველა ფაილი, საქაღალდე, პროცესი და პორტი აღინიშნება SELinux კონტექსტით:

• ფაილებისთვის და საქაღალდეებისთვის, ლეიბლები ინახება როგორც გაფართოებული ატრიბუტები ფაილურ სისტემაში და მათი ნახვა შესაძლებელია შემდეგი ბრძანებით:

  $ ls -Z /etc/httpd

• პროცესებისა და პორტებისთვის, მარკირებას მართავს ბირთვი და შეგიძლიათ იხილოთ ეს ლეიბლები შემდეგნაირად:

პროცესი

$ ps –auxZ | grep httpd

პორტი

$ netstat -anpZ | grep httpd

მაგალითი
ახლა მოდით შევხედოთ მაგალითს, რათა უკეთ გავიგოთ ეტიკეტები და კონტექსტი. ვთქვათ, გვაქვს ვებ სერვერი, რომელიც დირექტორიას ნაცვლად /var/www/html/ использует /home/dan/html/. SELinux ჩათვლის ამას პოლიტიკის დარღვევად და თქვენ ვერ შეძლებთ თქვენი ვებ გვერდების ნახვას. ეს იმიტომ ხდება, რომ ჩვენ არ დავაყენეთ უსაფრთხოების კონტექსტი, რომელიც დაკავშირებულია HTML ფაილებთან. უსაფრთხოების ნაგულისხმევი კონტექსტის სანახავად გამოიყენეთ შემდეგი ბრძანება:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

აქ მივიღეთ httpd_sys_content_t როგორც html ფაილების კონტექსტი. ჩვენ უნდა დავაყენოთ ეს უსაფრთხოების კონტექსტი ჩვენი ამჟამინდელი დირექტორიასთვის, რომელსაც ამჟამად აქვს შემდეგი კონტექსტი:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ალტერნატიული ბრძანება ფაილის ან დირექტორიას უსაფრთხოების კონტექსტის შესამოწმებლად:

$ semanage fcontext -l | grep '/var/www'

ჩვენ ასევე გამოვიყენებთ semanage-ს კონტექსტის შესაცვლელად, როდესაც ვიპოვით უსაფრთხოების სწორ კონტექსტს. /home/dan/html-ის კონტექსტის შესაცვლელად, გაუშვით შემდეგი ბრძანებები:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

კონტექსტის შეცვლის შემდეგ semanage-ის გამოყენებით, restorecon ბრძანება ჩატვირთავს ნაგულისხმევ კონტექსტს ფაილებისა და დირექტორიებისთვის. ჩვენი ვებ სერვერი ახლა შეძლებს ფაილების წაკითხვას საქაღალდედან /home/dan/htmlრადგან ამ საქაღალდის უსაფრთხოების კონტექსტი შეიცვალა httpd_sys_content_t.

3. შექმენით ადგილობრივი პოლიტიკა

შეიძლება იყოს სიტუაციები, როდესაც ზემოაღნიშნული მეთოდები არ გამოგადგებათ და მიიღებთ შეცდომებს (avc/უარი) audit.log-ში. როდესაც ეს მოხდება, თქვენ უნდა შექმნათ ადგილობრივი პოლიტიკა. თქვენ შეგიძლიათ იპოვოთ ყველა შეცდომა audit2why-ს გამოყენებით, როგორც ზემოთ აღწერილი.

თქვენ შეგიძლიათ შექმნათ ადგილობრივი პოლიტიკა შეცდომების მოსაგვარებლად. მაგალითად, ჩვენ ვიღებთ შეცდომას, რომელიც დაკავშირებულია httpd-თან (apache) ან smbd-თან (samba), ჩვენ ვიღებთ შეცდომებს და ვქმნით მათ პოლიტიკას:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

აქ http_policy и smb_policy არის ადგილობრივი პოლიტიკის სახელები, რომლებიც ჩვენ შევქმენით. ახლა ჩვენ უნდა ჩავტვირთოთ ეს შექმნილი ადგილობრივი პოლიტიკა მიმდინარე SELinux პოლიტიკაში. ეს შეიძლება გაკეთდეს შემდეგნაირად:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

ჩვენი ადგილობრივი წესები ჩამოტვირთულია და ჩვენ აღარ უნდა მივიღოთ avc ან denail audit.log-ში.

ეს იყო ჩემი მცდელობა, დაგეხმაროთ SELinux-ის გაგებაში. იმედი მაქვს, რომ ამ სტატიის წაკითხვის შემდეგ თავს უფრო კომფორტულად იგრძნობთ SELinux-თან.

წყარო: www.habr.com