SELinux sysadmin მოტყუების ფურცელი: 42 პასუხი მნიშვნელოვან კითხვებზე

სტატიის თარგმანი მომზადდა სპეციალურად კურსის სტუდენტებისთვის "ლინუქსის ადმინისტრატორი".

აქ თქვენ მიიღებთ პასუხებს მნიშვნელოვან კითხვებზე ცხოვრების, სამყაროს და ყველაფერი Linux-ის შესახებ გაუმჯობესებული უსაფრთხოებით.

”მნიშვნელოვანი სიმართლე, რომ ყველაფერი ყოველთვის ისე არ არის, როგორც ჩანს, კარგად არის ცნობილი…”

-Დუგლას ადამსი, ავტოსტოპერის გზამკვლევი გალაქტიკისთვის

Უსაფრთხოება. საიმედოობის გაზრდა. მიმოწერა. პოლიტიკა. აპოკალიფსის ოთხი მხედარი sysadmin. ჩვენი ყოველდღიური ამოცანების გარდა - მონიტორინგი, სარეზერვო ასლის შექმნა, დანერგვა, კონფიგურაცია, განახლება და ა.შ. - ჩვენ ასევე ვართ პასუხისმგებელი ჩვენი სისტემების უსაფრთხოებაზე. იმ სისტემებსაც კი, სადაც მესამე მხარის პროვაიდერი გვირჩევს გამორთოთ გაძლიერებული უსაფრთხოება. სამუშაოს ჰგავს ეთან ჰანტი Mission Impossible-დან.

ამ დილემის წინაშე, ზოგიერთი სისტემის ადმინისტრატორი გადაწყვეტს მიიღოს ლურჯი აბირადგან ფიქრობენ, რომ ვერასდროს ეცოდინებათ პასუხი ცხოვრებისა და სამყაროს და ამ ყველაფრის დიდ კითხვაზე. და როგორც ყველამ ვიცით, ეს პასუხი არის 42.

გალაქტიკის ავტოსტოპის სახელმძღვანელოს სულისკვეთებით, აქ მოცემულია 42 პასუხი მნიშვნელოვან კითხვებზე მართვისა და გამოყენების შესახებ. SELinux თქვენს სისტემებზე.

1. SELinux არის იძულებითი წვდომის კონტროლის სისტემა, რაც ნიშნავს, რომ ყველა პროცესს აქვს ეტიკეტი. თითოეულ ფაილს, დირექტორიას და სისტემის ობიექტს ასევე აქვს ეტიკეტები. პოლიტიკის წესები მართავს წვდომას მონიშნულ პროცესებსა და ობიექტებს შორის. ბირთვი ახორციელებს ამ წესებს.

2. ორი ყველაზე მნიშვნელოვანი კონცეფციაა: ეტიკეტირება - მარკირება (ფაილები, პროცესები, პორტები და ა.შ.) და ტიპის აღსრულება (რომელიც იზოლირებს პროცესებს ერთმანეთისგან ტიპების მიხედვით).

3. ეტიკეტის სწორი ფორმატი user:role:type:level (სურვილისამებრ).

4. მრავალ დონის უსაფრთხოების უზრუნველყოფის მიზანი (მრავალ დონის უსაფრთხოება - MLS) არის პროცესების (დომენების) მართვა, მათ მიერ გამოყენებული მონაცემების უსაფრთხოების დონის მიხედვით. მაგალითად, საიდუმლო პროცესს არ შეუძლია წაიკითხოს ზედმეტად საიდუმლო მონაცემები.

5. მრავალკატეგორიის უსაფრთხოების უზრუნველყოფა (Multi-Category Security - MCS) იცავს მსგავს პროცესებს ერთმანეთისგან (მაგალითად, ვირტუალური მანქანები, OpenShift ძრავები, SELinux sandboxes, კონტეინერები და ა.შ.).

6. ბირთვის პარამეტრები SELinux-ის რეჟიმების შესაცვლელად ჩატვირთვისას:

• autorelabel=1 → იწვევს სისტემის ხელახალი მარკირების დაწყებას
• selinux=0 → ბირთვი არ იტვირთება SELinux ინფრასტრუქტურა
• enforcing=0 → ჩამოტვირთვა დასაშვებ რეჟიმში

7. თუ საჭიროა მთელი სისტემის ხელახალი მარკირება:

# touch /.autorelabel
#reboot

თუ სისტემის მონიშვნა შეიცავს უამრავ შეცდომას, შეიძლება დაგჭირდეთ ჩატვირთვა ნებადართული რეჟიმში, რათა ხელახალი მარკირება წარმატებული იყოს.

8. იმის შესამოწმებლად, ჩართულია თუ არა SELinux: # getenforce

9. SELinux-ის დროებით ჩართვის/გამორთვისთვის: # setenforce [1|0]

10. SELinux-ის სტატუსის შემოწმება: # sestatus

11. კონფიგურაციის ფაილი: /etc/selinux/config

12. როგორ მუშაობს SELinux? აქ არის მარკირების მაგალითი Apache ვებ სერვერისთვის:

• ორობითი წარმოდგენა: /usr/sbin/httpd→httpd_exec_t
• კონფიგურაციის დირექტორია: /etc/httpd→httpd_config_t
• ჟურნალის ფაილების დირექტორია: /var/log/httpd → httpd_log_t
• შინაარსის დირექტორია: /var/www/html → httpd_sys_content_t
• გაშვების სკრიპტი: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• პროცესი: /usr/sbin/httpd -DFOREGROUND → httpd_t
• პორტები: 80/tcp, 443/tcp → httpd_t, http_port_t

პროცესი მიმდინარეობს კონტექსტში httpd_t, შეუძლია იარლიყით ობიექტთან ურთიერთობა httpd_something_t.

13. ბევრი ბრძანება იღებს არგუმენტს -Z კონტექსტის სანახავად, შესაქმნელად და შესაცვლელად:

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

კონტექსტები დაყენებულია, როდესაც ფაილები იქმნება მათი მშობელი დირექტორიას კონტექსტის საფუძველზე (გარკვეული გამონაკლისის გარდა). RPM-ებს შეუძლიათ კონტექსტების დაყენება ისევე, როგორც ინსტალაციის დროს.

14. არსებობს SELinux-ის შეცდომების ოთხი ძირითადი მიზეზი, რომლებიც უფრო დეტალურად არის აღწერილი ქვემოთ 15-21 პუნქტებში:

• მარკირების საკითხები
• რაღაცის გამო, რაც SELinux-მა უნდა იცოდეს
• შეცდომა SELinux პოლიტიკაში/აპლიკაციაში
• თქვენი ინფორმაცია შეიძლება იყოს კომპრომეტირებული

15. მარკირების პრობლემა: თუ თქვენი ფაილებია /srv/myweb არასწორად მონიშნული, წვდომა შეიძლება აკრძალული იყოს. აქ არის რამდენიმე გზა ამის გამოსწორების მიზნით:

• თუ იცით ეტიკეტი:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• თუ იცით ფაილი ექვივალენტური მარკირებით:
  # semanage fcontext -a -e /srv/myweb /var/www
• კონტექსტის აღდგენა (ორივე შემთხვევისთვის):
  # restorecon -vR /srv/myweb

16. მარკირების პრობლემა: თუ გადაიტანეთ ფაილი კოპირების ნაცვლად, ფაილი შეინარჩუნებს თავდაპირველ კონტექსტს. ამ პრობლემის მოსაგვარებლად:

• შეცვალეთ კონტექსტური ბრძანება ლეიბლით:
  # chcon -t httpd_system_content_t /var/www/html/index.html
• შეცვალეთ კონტექსტური ბრძანება ბმულის ეტიკეტით:
  # chcon --reference /var/www/html/ /var/www/html/index.html
• კონტექსტის აღდგენა (ორივე შემთხვევისთვის): # restorecon -vR /var/www/html/

17. თუ SELinux თქვენ უნდა იცოდეთრომ HTTPD უსმენს 8585 პორტს, უთხარით SELinux-ს:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux თქვენ უნდა იცოდეთ ლოგინები, რომლებიც საშუალებას აძლევს SELinux-ის პოლიტიკის ნაწილები შეიცვალოს გაშვების დროს SELinux-ის პოლიტიკის გადაწერის ცოდნის გარეშე. მაგალითად, თუ გსურთ httpd ელფოსტის გაგზავნა, აკრიფეთ: # setsebool -P httpd_can_sendmail 1

19. SELinux თქვენ უნდა იცოდეთ ლოგიკური მნიშვნელობები SELinux პარამეტრების ჩართვის/გამორთვისთვის:

• ყველა ლოგინის სანახავად: # getsebool -a
• თითოეულის აღწერილობის სანახავად: # semanage boolean -l
• ლოგიკური მნიშვნელობის დასაყენებლად: # setsebool [_boolean_] [1|0]
• მუდმივი ინსტალაციისთვის, დაამატეთ -P. მაგალითად: # setsebool httpd_enable_ftp_server 1 -P

20. SELinux-ის პოლიტიკა/აპლიკაციები შეიძლება შეიცავდეს შეცდომებს, მათ შორის:

• არაჩვეულებრივი კოდის ბილიკები
• კონფიგურაციები
• გადამისამართება stdout
• ფაილის აღწერის გაჟონვა
• შესრულებადი მეხსიერება
• ცუდად აშენებული ბიბლიოთეკები

ღია ბილეთები (არ წარუდგინოთ ანგარიში Bugzilla-ს; არ არის SLA Bugzilla-ში).

21. თქვენი ინფორმაცია შეიძლება იყოს კომპრომეტირებულითუ თქვენ გაქვთ შეზღუდული დომენები, რომლებიც ცდილობენ:

• ბირთვის მოდულების ჩატვირთვა
• გამორთეთ SELinux იძულებითი რეჟიმი
• მიწერე etc_t/shadow_t
• შეცვალეთ iptables წესები

22. SELinux ინსტრუმენტები პოლიტიკის მოდულების შემუშავებისთვის:

# yum -y install setroubleshoot setroubleshoot-server

გადატვირთეთ ან გადატვირთეთ auditd ინსტალაციის შემდეგ.

23. გამოიყენეთ

journalctl

ჩამოთვალოს ყველა ჟურნალი, რომელთანაც დაკავშირებულია setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. გამოიყენეთ journalctl SELinux-ის კონკრეტულ ლეიბლთან დაკავშირებული ყველა ჟურნალის ჩამოთვლა. Მაგალითად:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. როდესაც SELinux შეცდომა ხდება, გამოიყენეთ ჟურნალი setroubleshoot გთავაზობთ რამდენიმე შესაძლო გადაწყვეტას.
მაგალითად, დან journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. შესვლა: SELinux აღრიცხავს ინფორმაციას ბევრ ადგილას:

• / var / log / შეტყობინებები
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

27. შესვლა: ვეძებთ SELinux შეცდომებს აუდიტის ჟურნალში:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. SELinux Access Vector Cache (AVC) შეტყობინებების საპოვნელად კონკრეტული სერვისისთვის:

# ausearch -m avc -c httpd

29. კომუნალური audit2allow აგროვებს ინფორმაციას აკრძალული ოპერაციების ჟურნალებიდან და შემდეგ ქმნის SELinux-ის ნებართვის პოლიტიკის წესებს. Მაგალითად:

• აკრძალული წვდომის მიზეზის ადამიანის წაკითხვადი აღწერილობის შესაქმნელად: # audit2allow -w -a
• ტიპის აღსრულების წესის სანახავად, რომელიც ნებადართულია წვდომაზე უარის თქმა: # audit2allow -a
• მორგებული მოდულის შესაქმნელად: # audit2allow -a -M mypolicy
• ვარიანტი -M ქმნის ტიპის აღსრულების ფაილს (.te) მითითებული სახელით და ადგენს წესს პოლიტიკის პაკეტში (.pp): mypolicy.pp mypolicy.te
• მორგებული მოდულის დასაყენებლად: # semodule -i mypolicy.pp

30. ერთი პროცესის (დომენის) კონფიგურაცია დასაშვებ რეჟიმში გასაშვებად: # semanage permissive -a httpd_t

31. თუ აღარ გსურთ დომენი იყოს ნებადართული: # semanage permissive -d httpd_t

32. ყველა ნებადართული დომენის გამორთვა: # semodule -d permissivedomains

33. MLS SELinux პოლიტიკის ჩართვა: # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

დარწმუნდით, რომ SELinux მუშაობს დასაშვებ რეჟიმში: # setenforce 0
გამოიყენეთ სკრიპტი fixfilesიმის უზრუნველსაყოფად, რომ ფაილები ხელახლა იარლიყება მომდევნო გადატვირთვისას:

# fixfiles -F onboot # reboot

34. შექმენით მომხმარებელი კონკრეტული MLS დიაპაზონით: # useradd -Z staff_u john

ბრძანების გამოყენებით useraddახალი მომხმარებლის რუკა SELinux-ის არსებულ მომხმარებელზე (ამ შემთხვევაში, staff_u).

35. SELinux-ისა და Linux-ის მომხმარებლებს შორის მიმოწერის სანახავად: # semanage login -l

36. განსაზღვრეთ კონკრეტული დიაპაზონი მომხმარებლისთვის: # semanage login --modify --range s2:c100 john

37. ეტიკეტის დაფიქსირება მომხმარებლის მთავარ დირექტორიაში (საჭიროების შემთხვევაში): # chcon -R -l s2:c100 /home/john

38. მიმდინარე კატეგორიების სანახავად: # chcat -L

39. კატეგორიების შესაცვლელად ან საკუთარის შექმნის დასაწყებად, შეცვალეთ ფაილი შემდეგნაირად:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ბრძანების ან სკრიპტის გასაშვებად კონკრეტულ ფაილში, როლში და მომხმარებლის კონტექსტში:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t ფაილის კონტექსტი
• -r როლური კონტექსტი
• -u მომხმარებლის კონტექსტი

41. SELinux-ით გაშვებული კონტეინერები გამორთულია:

• პოდმანი: # podman run --security-opt label=disable …
• დოკერი: # docker run --security-opt label=disable …

42. თუ გჭირდებათ კონტეინერს სისტემაზე სრული წვდომა:

• პოდმანი: # podman run --privileged …
• დოკერი: # docker run --privileged …

და ახლა თქვენ უკვე იცით პასუხი. ასე რომ, გთხოვთ, ნუ შეგეშინდებათ და ჩართეთ SELinux.

ბმულები:

• SELinux by დენ უოლში
• ასევე თქვენი ვიზუალური გზამკვლევი SELinux-ის პოლიტიკის აღსრულებისთვის დენ უოლშის მიერ
• უსაფრთხოების გაძლიერებული Linux უბრალო მოკვდავებისთვის by თომას კამერონი
• SELinux საღებარი წიგნი by მარიინ დაფი
• SELinux მომხმარებლისა და ადმინისტრატორის სახელმძღვანელო — Red Hat Enterprise Linux 7

წყარო: www.habr.com