Linux უსაფრთხოების სისტემები

Linux OS-ის უზარმაზარი წარმატების ერთ-ერთი მიზეზი ჩაშენებულ, მობილურ მოწყობილობებსა და სერვერებზე არის ბირთვის, მასთან დაკავშირებული სერვისებისა და აპლიკაციების უსაფრთხოების შედარებით მაღალი ხარისხი. Მაგრამ თუ უფრო ახლოს დააკვირდით Linux-ის ბირთვის არქიტექტურაზე, მაშინ შეუძლებელია მასში უსაფრთხოებაზე პასუხისმგებელი კვადრატის პოვნა, როგორც ასეთი. სად იმალება Linux უსაფრთხოების ქვესისტემა და რისგან შედგება?

Linux უსაფრთხოების მოდულების და SELinux-ის ფონი

უსაფრთხოების გაძლიერებული Linux არის წესების ნაკრები და წვდომის მექანიზმი, რომელიც დაფუძნებულია სავალდებულო და როლებზე დაფუძნებულ წვდომის მოდელებზე, რათა დაიცვას Linux სისტემები პოტენციური საფრთხეებისგან და გამოასწოროს დისკრეციული წვდომის კონტროლის (DAC), ტრადიციული Unix უსაფრთხოების სისტემის სისუსტეები. პროექტი წარმოიშვა აშშ-ს ეროვნული უსაფრთხოების სააგენტოს წიაღში და კონტრაქტორები Secure Computing Corporation და MITER, ისევე როგორც მრავალი კვლევითი ლაბორატორია, უშუალოდ მონაწილეობდნენ განვითარებაში.

Linux უსაფრთხოების მოდულები

ლინუს ტორვალდსმა თავისი წვლილი შეიტანა NSA-ს ახალ განვითარებასთან დაკავშირებით, რათა მათ შეეძლოთ ლინუქსის ბირთვის მთავარ ფილიალში ჩართვა. მან აღწერა საერთო გარემო, ობიექტებზე ოპერაციების მართვის ჩამჭრელების კომპლექტით და ბირთვის მონაცემთა სტრუქტურებში დამცავი ველების ნაკრებით შესაბამისი ატრიბუტების შესანახად. შემდეგ ეს გარემო შეიძლება გამოყენებულ იქნას ჩატვირთვის ბირთვის მოდულების მიერ უსაფრთხოების ნებისმიერი სასურველი მოდელის განსახორციელებლად. LSM სრულად შევიდა Linux kernel v2.6 2003 წელს.

LSM ჩარჩო მოიცავს დამცავ ველებს მონაცემთა სტრუქტურებში და ჩარევის ფუნქციის ზარებს ბირთვის კოდის კრიტიკულ წერტილებზე მათი მართვისა და წვდომის კონტროლის შესასრულებლად. ის ასევე ამატებს ფუნქციონირებას უსაფრთხოების მოდულების რეგისტრაციისთვის. /sys/kernel/security/lsm ინტერფეისი შეიცავს სისტემაში აქტიური მოდულების ჩამონათვალს. LSM კაკვები ინახება სიებში, რომლებიც გამოიძახება CONFIG_LSM-ში მითითებული თანმიმდევრობით. დეტალური Hook დოკუმენტაცია შედის include/linux/lsm_hooks.h სათაურის ფაილში.

LSM ქვესისტემამ შესაძლებელი გახადა SELinux-ის სრული ინტეგრაცია სტაბილური Linux kernel v2.6-ის იგივე ვერსიით. ფაქტიურად დაუყოვნებლივ, SELinux გახდა დე ფაქტო სტანდარტი უსაფრთხო Linux გარემოსთვის და გახდა ყველაზე პოპულარული დისტრიბუციის ნაწილი: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

ლექსიკონი

• პირადობის მოწმობა - SELinux-ის მომხმარებელი არ არის იგივე, რაც ჩვეულებრივი Unix / Linux მომხმარებლის ID, მათ შეუძლიათ ერთსა და იმავე სისტემაში თანაარსებობა, მაგრამ არსებითად ისინი სრულიად განსხვავდებიან. თითოეული სტანდარტული Linux ანგარიში შეიძლება შეესაბამებოდეს ერთ ან მეტს SELinux-ში. SELinux იდენტობა არის უსაფრთხოების საერთო კონტექსტის ნაწილი, რომელიც განსაზღვრავს რომელ დომენებს შეგიძლიათ და არ შეუერთდეთ.
• Domains - SELinux-ში დომენი არის საგნის, ანუ პროცესის შესრულების კონტექსტი. დომენი პირდაპირ განსაზღვრავს პროცესის წვდომას. დომენი ძირითადად არის ჩამონათვალი იმისა, თუ რისი გაკეთება შეუძლია პროცესს ან რა მოქმედებების შესრულება შეუძლია პროცესს სხვადასხვა ტიპებით. დომენების ზოგიერთი მაგალითია sysadm_t სისტემის ადმინისტრირებისთვის და user_t, რომელიც არის ჩვეულებრივი არაპრივილეგირებული მომხმარებლის დომენი. init სისტემა მუშაობს init_t დომენში, დასახელებული პროცესი კი named_t დომენში.
• როლები - რაღაც, რომელიც ემსახურება როგორც შუამავალს დომენებსა და SELinux-ის მომხმარებლებს შორის. როლები განსაზღვრავს, თუ რა დომენებს შეიძლება მიეკუთვნოს მომხმარებელი და რა ტიპის ობიექტებს შეუძლია წვდომა მომხმარებელს. ასეთი წვდომის კონტროლის მექანიზმი ხელს უშლის პრივილეგიის ესკალაციის შეტევის საფრთხეს. როლები იწერება როლზე დაფუძნებული წვდომის კონტროლის (RBAC) უსაფრთხოების მოდელში, რომელიც გამოიყენება SELinux-ში.
• სახეები — შეიყვანეთ Enforcement list ატრიბუტი, რომელიც ენიჭება ობიექტს და განსაზღვრავს ვის ექნება მასზე წვდომა. დომენის განსაზღვრის მსგავსია, გარდა იმისა, რომ დომენი ეხება პროცესს, ხოლო ტიპი ეხება ობიექტებს, როგორიცაა დირექტორიები, ფაილები, სოკეტები და ა.შ.
• საგნები და ობიექტები - პროცესები არის საგნები და მიმდინარეობს კონკრეტულ კონტექსტში, ან უსაფრთხოების დომენში. ოპერაციული სისტემის რესურსები: ფაილები, დირექტორიები, სოკეტები და ა.შ. არის ობიექტები, რომლებსაც ენიჭებათ გარკვეული ტიპი, სხვა სიტყვებით რომ ვთქვათ, საიდუმლოების დონე.
• SELinux-ის პოლიტიკა - SELinux იყენებს მრავალფეროვან პოლიტიკას სისტემის დასაცავად. SELinux პოლიტიკა განსაზღვრავს მომხმარებლის წვდომას როლებზე, როლებს დომენებზე და დომენებზე ტიპებზე. ჯერ მომხმარებელი უფლებამოსილია მიიღოს როლი, შემდეგ როლი უფლებამოსილია დომენებზე წვდომისთვის. საბოლოოდ, დომენს შეიძლება ჰქონდეს წვდომა მხოლოდ გარკვეული ტიპის ობიექტებზე.

LSM და SELinux არქიტექტურა

სახელის მიუხედავად, LSM არ არის ზოგადად ჩატვირთვადი Linux მოდული. თუმცა, ისევე როგორც SELinux, ის პირდაპირ ინტეგრირებულია ბირთვში. LSM კოდის ნებისმიერი ცვლილება საჭიროებს ბირთვის ახალ კომპილაციას. შესაბამისი ოფცია უნდა იყოს ჩართული ბირთვის პარამეტრებში, წინააღმდეგ შემთხვევაში LSM კოდი არ გააქტიურდება ჩატვირთვის შემდეგ. მაგრამ ამ შემთხვევაშიც კი, მისი ჩართვა შესაძლებელია OS bootloader ოფციით.

LSM ჩეკების დასტა

LSM აღჭურვილია კაკვებით ბირთვის ფუნქციებში, რომლებიც შეიძლება იყოს შესაბამისი შემოწმებისთვის. LSM-ის ერთ-ერთი მთავარი მახასიათებელია ის, რომ ისინი დაფუძნებულია სტეკზე. ამრიგად, სტანდარტული შემოწმებები კვლავ შესრულებულია და თითოეული LSM ფენა მხოლოდ დამატებით კონტროლს და კონტროლს ამატებს. ეს ნიშნავს, რომ აკრძალვის უკან დაბრუნება შეუძლებელია. ეს ნაჩვენებია სურათზე, თუ რუტინული DAC შემოწმების შედეგი წარუმატებელია, მაშინ ის ვერც კი მიაღწევს LSM კაკვებს.

SELinux-მა მიიღო Fluke კვლევითი ოპერაციული სისტემის Flask უსაფრთხოების არქიტექტურა, კონკრეტულად ყველაზე ნაკლები პრივილეგიის პრინციპი. ამ კონცეფციის არსი, როგორც მათი სახელი გვთავაზობს, არის მომხმარებლისთვის მინიჭება ან დამუშავება მხოლოდ იმ უფლებების, რომლებიც აუცილებელია განზრახული ქმედებების განსახორციელებლად. ეს პრინციპი ხორციელდება იძულებითი წვდომის აკრეფის გამოყენებით, ამიტომ SELinux-ის წვდომის კონტროლი ეფუძნება დომენის => ტიპის მოდელს.

იძულებითი წვდომის აკრეფის საშუალებით, SELinux-ს აქვს წვდომის კონტროლის ბევრად უფრო დიდი შესაძლებლობები, ვიდრე ტრადიციულ DAC მოდელს, რომელიც გამოიყენება Unix/Linux ოპერაციულ სისტემებში. მაგალითად, შეგიძლიათ შეზღუდოთ ქსელის პორტის ნომერი, რომელიც მოხდება ftp სერვერზე, დაუშვათ ფაილების ჩაწერა და შეცვლა გარკვეულ საქაღალდეში, მაგრამ არა მათი წაშლა.

SELinux-ის ძირითადი კომპონენტებია:

• პოლიტიკის აღსრულების სერვერი - დაშვების კონტროლის ორგანიზების მთავარი მექანიზმი.
• სისტემის უსაფრთხოების პოლიტიკის მონაცემთა ბაზა.
• ურთიერთქმედება LSM მოვლენის მსმენელთან.
• სელინუქსფები - Pseudo-FS, იგივე /proc და დამონტაჟებულია /sys/fs/selinux-ში. დინამიურად დასახლებულია Linux-ის ბირთვით გაშვების დროს და შეიცავს ფაილებს, რომლებიც შეიცავს SELinux სტატუსის ინფორმაციას.
• წვდომა ვექტორულ ქეშზე - დამხმარე მექანიზმი შესრულების გასაუმჯობესებლად.

როგორ მუშაობს SELinux

ეს ყველაფერი შემდეგნაირად მუშაობს.

1. სუბიექტი, SELinux-ის თვალსაზრისით, ასრულებს ნებადართულ მოქმედებას ობიექტზე DAC შემოწმების შემდეგ, როგორც ნაჩვენებია ზედა სურათზე. ოპერაციის ეს მოთხოვნა მიდის LSM მოვლენის მსმენელზე.
2. იქიდან, მოთხოვნა, სუბიექტისა და ობიექტის უსაფრთხოების კონტექსტთან ერთად, გადაეცემა SELinux Abstraction და Hook Logic მოდულს, რომელიც პასუხისმგებელია LSM-თან ინტერაქციაზე.
3. პოლიტიკის აღსრულების სერვერი არის გადაწყვეტილების მიმღები ორგანო სუბიექტის მიერ ობიექტზე წვდომაზე და ის იღებს მონაცემებს SELinux AnHL-დან.
4. წვდომის ან აკრძალვის შესახებ გადაწყვეტილების მისაღებად, პოლიტიკის აღსრულების სერვერი მიმართავს ყველაზე ხშირად გამოყენებული წვდომის ვექტორის ქეშის (AVC) წესების ქეშირების ქვესისტემას.
5. თუ შესაბამისი წესის გამოსავალი არ არის ნაპოვნი ქეშში, მაშინ მოთხოვნა გადაეცემა უსაფრთხოების პოლიტიკის მონაცემთა ბაზას.
6. მონაცემთა ბაზიდან და AVC-დან ძიების შედეგი უბრუნდება Policy Enforcement სერვერს.
7. თუ ნაპოვნი პოლიტიკა შეესაბამება მოთხოვნილ ქმედებას, მაშინ ოპერაცია დაშვებულია. წინააღმდეგ შემთხვევაში, ოპერაცია აკრძალულია.

SELinux პარამეტრების მართვა

SELinux მუშაობს სამიდან ერთ რეჟიმში:

• აღსრულება - უსაფრთხოების პოლიტიკის მკაცრი აღსრულება.
• ნებადართული - ნებადართულია შეზღუდვების დარღვევა, შესაბამისი ნიშანი კეთდება ჟურნალში.
• გამორთულია - უსაფრთხოების წესები არ მოქმედებს.

შეგიძლიათ ნახოთ რა რეჟიმშია SELinux შემდეგი ბრძანებით.

[admin@server ~]$ getenforce
Permissive

რეჟიმის შეცვლა გადატვირთვამდე, მაგალითად, დააყენეთ ის Enforcing, ან 1. დასაშვები პარამეტრი შეესაბამება ციფრულ კოდს 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

თქვენ ასევე შეგიძლიათ შეცვალოთ რეჟიმი ფაილის რედაქტირებით:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=სამიზნე

განსხვავება setenfoce-თან არის ის, რომ როდესაც ოპერაციული სისტემა ჩაიტვირთება, SELinux რეჟიმი დაყენდება კონფიგურაციის ფაილში SELINUX პარამეტრის მნიშვნელობის შესაბამისად. გარდა ამისა, <=> გამორთული ცვლილებების ამოქმედება ძალაში შედის მხოლოდ /etc/selinux/config ფაილის რედაქტირებით და გადატვირთვის შემდეგ.

შემაჯამებელი სტატუსის ანგარიშის ნახვა:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux ატრიბუტების სანახავად, ზოგიერთი საფონდო კომუნალური პროგრამა იყენებს -Z ოფციას.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ჩვეულებრივ ls -l გამომავალთან შედარებით, არის რამდენიმე დამატებითი ველი შემდეგი ფორმატით:

<user>:<role>:<type>:<level>

ბოლო ველი აღნიშნავს უსაფრთხოების შტამპის მსგავს რაღაცას და შედგება ორი ელემენტის კომბინაციისგან:

• s0 - მნიშვნელობა, ასევე ჩაწერილი დაბალი დონის-მაღალი დონის ინტერვალში
• c0, c1… c1023 არის კატეგორია.

წვდომის კონფიგურაციის შეცვლა

გამოიყენეთ სემოდული SELinux მოდულების ჩასატვირთად, დაამატეთ და წაშალეთ ისინი.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

პირველი გუნდი მართეთ შესვლა აკავშირებს SELinux-ის მომხმარებელს ოპერაციული სისტემის მომხმარებელთან, მეორე ჩამოთვლის მას. დაბოლოს, ბოლო ბრძანება -r გადამრთველით აშორებს SELinux-ის მომხმარებელთა OS ანგარიშებზე დაკავშირებას. MLS/MCS დიაპაზონის მნიშვნელობების სინტაქსის ახსნა მოცემულია წინა განყოფილებაში.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

გუნდი მომხმარებლის მართვა გამოიყენება SELinux-ის მომხმარებლებსა და როლებს შორის რუკების სამართავად.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

ბრძანების პარამეტრები:

• -დაამატეთ მორგებული როლის რუკების ჩანაწერი;
• - l შესატყვისი მომხმარებლებისა და როლების სია;
• -დ წაშალეთ მორგებული როლის რუკების ჩანაწერი;
• - მომხმარებლისთვის მიმაგრებული როლების R სია;

ფაილები, პორტები და ლოგინები

თითოეული SELinux მოდული უზრუნველყოფს ფაილის მარკირების წესების კომპლექტს, მაგრამ საჭიროების შემთხვევაში შეგიძლიათ დაამატოთ თქვენი საკუთარი წესები. მაგალითად, ჩვენ გვინდა, რომ ვებ სერვერს ჰქონდეს წვდომის უფლება საქაღალდეზე /srv/www.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

პირველი ბრძანება აღრიცხავს მარკირების ახალ წესებს, ხოლო მეორე აღადგენს, უფრო სწორად, ასახავს ფაილის ტიპებს არსებული წესების შესაბამისად.

ანალოგიურად, TCP/UDP პორტები მონიშნულია ისე, რომ მხოლოდ შესაბამის სერვისებს შეუძლიათ მათი მოსმენა. მაგალითად, იმისათვის, რომ ვებ სერვერმა მოისმინოს 8080 პორტზე, თქვენ უნდა შეასრულოთ ბრძანება.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux მოდულების მნიშვნელოვან რაოდენობას აქვს პარამეტრები, რომლებსაც შეუძლიათ მიიღონ ლოგიკური მნიშვნელობები. ასეთი ვარიანტების მთელი სია შეგიძლიათ ნახოთ getsebool -a-ით. ლოგიკური მნიშვნელობები შეიძლება შეიცვალოს setsebool-ის გამოყენებით.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

პრაქტიკა, შედით Pgadmin-ვებ ინტერფეისზე

განვიხილოთ მაგალითი პრაქტიკიდან, ჩვენ დავაყენეთ pgadmin7.6-web RHEL 4-ზე PostgreSQL მონაცემთა ბაზის ადმინისტრირებისთვის. გავიარეთ პატარა Quest pg_hba.conf, postgresql.conf და config_local.py დაყენებით, დააყენეთ ნებართვები საქაღალდეებზე, დააინსტალირეთ დაკარგული Python მოდულები pip-დან. ყველაფერი მზად არის, გაიქეცი და მიიღე 500 შიდა სერვერის შეცდომა.

ჩვენ ვიწყებთ ტიპიური ეჭვმიტანილებით, შეამოწმეთ /var/log/httpd/error_log. იქ არის რამდენიმე საინტერესო ჩანაწერი.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

ამ მომენტში, Linux-ის ადმინისტრატორების უმეტესობას ექნება ცდუნება, გაუშვან setencorce 0 და დაასრულონ იგი. მართალი გითხრათ, ეს პირველად გავაკეთე. ეს, რა თქმა უნდა, ასევე გამოსავალია, მაგრამ შორს არის საუკეთესოსგან.

მიუხედავად რთული დიზაინისა, SELinux შეიძლება იყოს მოსახერხებელი მომხმარებლისთვის. უბრალოდ დააინსტალირეთ setroubleshoot პაკეტი და ნახეთ სისტემის ჟურნალი.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

გთხოვთ გაითვალისწინოთ, რომ აუდიტირებული სერვისი უნდა გადატვირთოთ ამ გზით და არა systemctl-ით, მიუხედავად OS-ში systemd-ის არსებობისა. სისტემის ჟურნალში მითითებული იქნება არა მარტო დაბლოკვის ფაქტი, არამედ მიზეზი და აკრძალვის დაძლევის გზა.

ჩვენ ვასრულებთ ამ ბრძანებებს:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

ჩვენ ვამოწმებთ წვდომას pgadmin4-ვებ გვერდზე, ყველაფერი მუშაობს.

წყარო: www.habr.com