🥇დამცავი სისტემები Linux

დიდი წარმატების ერთ-ერთი მიზეზი Linux ჩაშენებულ, მობილურ მოწყობილობებსა და სერვერებზე არსებულ ოპერაციულ სისტემას საკმაოდ მაღალი დონის უსაფრთხოება აქვს ბირთვისთვის, მასთან დაკავშირებული სერვისებისა და აპლიკაციებისთვის. თუმცა, თუ უფრო ახლოს დააკვირდით ბირთვის არქიტექტურამდე Linux, მაშინ მასში ვერ იპოვით კვადრატს, რომელიც უსაფრთხოებაზე იქნება პასუხისმგებელი. სად იმალება უსაფრთხოების ქვესისტემა? Linux და რისგან შედგება ის?

წინაისტორია Linux უსაფრთხოების მოდულები და SELinux

გაძლიერებული უსაფრთხოება Linux არის წესებისა და წვდომის მექანიზმების ერთობლიობა, რომელიც დაფუძნებულია სავალდებულო და როლებზე დაფუძნებულ წვდომის მოდელებზე სისტემების დასაცავად. Linux დისკრეციული წვდომის კონტროლის (DAC), ტრადიციული Unix უსაფრთხოების სისტემის, პოტენციური საფრთხეების წინააღმდეგ ბრძოლა და ხარვეზების გამოსწორება. პროექტი აშშ-ის ეროვნული უსაფრთხოების სააგენტოში დაიწყო, რომლის შემუშავება ძირითადად კონტრაქტორების, Secure Computing Corporation-ისა და MITRE-ის, ასევე რიგი კვლევითი ლაბორატორიების მიერ იყო განხორციელებული.

Linux უსაფრთხოების მოდულები

ლინუს ტორვალდსმა არაერთი კომენტარი გააკეთა NSA-ს ახალ შემუშავებებზე, რათა ისინი მთავარ ბირთვში ჩართულიყო. Linuxმან აღწერა საერთო გარემო, ობიექტის ოპერაციების მართვისთვის განკუთვნილი ინტერცეპტორების ნაკრებით და ბირთვის მონაცემთა სტრუქტურებში შესაბამისი ატრიბუტების შესანახად განკუთვნილი დამცავი ველების ნაკრებით. ეს გარემო შემდეგ შეიძლება გამოყენებულ იქნას ჩატვირთვის ბირთვის მოდულების მიერ ნებისმიერი სასურველი უსაფრთხოების მოდელის განსახორციელებლად. LSM სრულად ინტეგრირებული იქნა ბირთვში. Linux ვერსია 2.6 2003 წელს.

LSM ჩარჩო მოიცავს დამცავ ველებს მონაცემთა სტრუქტურებში და ჩარევის ფუნქციის ზარებს ბირთვის კოდის კრიტიკულ წერტილებზე მათი მართვისა და წვდომის კონტროლის შესასრულებლად. ის ასევე ამატებს ფუნქციონირებას უსაფრთხოების მოდულების რეგისტრაციისთვის. /sys/kernel/security/lsm ინტერფეისი შეიცავს სისტემაში აქტიური მოდულების ჩამონათვალს. LSM კაკვები ინახება სიებში, რომლებიც გამოიძახება CONFIG_LSM-ში მითითებული თანმიმდევრობით. დეტალური Hook დოკუმენტაცია შედის include/linux/lsm_hooks.h სათაურის ფაილში.

LSM ქვესისტემამ SE-ს სრული ინტეგრაციის საშუალება მისცა.Linux სტაბილური ბირთვის იგივე ვერსია Linux v2.6. სიტყვასიტყვით დაუყოვნებლივ SELinux უსაფრთხო გარემოს დე ფაქტო სტანდარტად იქცა Linux და გახდა ყველაზე პოპულარული დისტრიბუციების ნაწილი: RedHat Enterprise Linux, ფედერა, Debian, Ubuntu.

სამხრეთ-აღმოსავლეთ ტერმინთა განმარტებაLinux

პირადობის მოწმობა — SE მომხმარებელიLinux არ არის იგივე, რაც ჩვეულებრივი Unix/Linux მომხმარებლის ID, მათ შეუძლიათ თანაარსებობა ერთსა და იმავე სისტემაში, მაგრამ არსებითად სრულიად განსხვავდებიან. თითოეული სტანდარტული ანგარიში Linux შეიძლება ემთხვეოდეს ერთს ან მეტს სამხრეთ-აღმოსავლეთითLinux. SE იდენტობაLinux არის უსაფრთხოების საერთო კონტექსტის განუყოფელი ნაწილი, რომელიც განსაზღვრავს, თუ რომელ დომენებში შეიძლება შესვლა და რომელში - არა.
Domains — სამხრეთ-აღმოსავლეთითLinux დომენი არის სუბიექტის, ანუ პროცესის, შესრულების კონტექსტი. დომენი პირდაპირ განსაზღვრავს პროცესის წვდომას. დომენი არსებითად არის სია იმისა, თუ რა შეუძლიათ პროცესებს გააკეთონ ან რა მოქმედებების შესრულება შეუძლია პროცესს სხვადასხვა ტიპის გამოყენებით. დომენების ზოგიერთი მაგალითია sysadm_t სისტემის ადმინისტრირებისთვის და user_t, რომელიც არის ჩვეულებრივი, არაპრივილეგირებული მომხმარებლის დომენი. init სისტემა მუშაობს init_t დომენში, ხოლო დასახელებული პროცესი მუშაობს named_t დომენში.
როლები — რა ემსახურება შუამავლის როლს დომენებსა და SE მომხმარებლებს შორისLinuxროლები განსაზღვრავს, თუ რომელ დომენებს შეიძლება ეკუთვნოდეს მომხმარებელი და რა ტიპის ობიექტებზე შეუძლია წვდომა. წვდომის კონტროლის ეს მექანიზმი ხელს უშლის პრივილეგიების ესკალაციის შეტევების საფრთხეს. როლები ინტეგრირებულია როლებზე დაფუძნებული წვდომის კონტროლის (RBAC) უსაფრთხოების მოდელში, რომელიც გამოიყენება SE-ში.Linux.
სახეები — შეიყვანეთ Enforcement list ატრიბუტი, რომელიც ენიჭება ობიექტს და განსაზღვრავს ვის ექნება მასზე წვდომა. დომენის განსაზღვრის მსგავსია, გარდა იმისა, რომ დომენი ეხება პროცესს, ხოლო ტიპი ეხება ობიექტებს, როგორიცაა დირექტორიები, ფაილები, სოკეტები და ა.შ.
საგნები და ობიექტები - პროცესები არის საგნები და მიმდინარეობს კონკრეტულ კონტექსტში, ან უსაფრთხოების დომენში. ოპერაციული სისტემის რესურსები: ფაილები, დირექტორიები, სოკეტები და ა.შ. არის ობიექტები, რომლებსაც ენიჭებათ გარკვეული ტიპი, სხვა სიტყვებით რომ ვთქვათ, საიდუმლოების დონე.
SE-ს პოლიტიკაLinux - SE სისტემის დასაცავადLinux იყენებს სხვადასხვა პოლიტიკას. SE პოლიტიკაLinux განსაზღვრავს მომხმარებლის წვდომას როლებზე, როლებს დომენებზე და დომენებს ტიპებზე. პირველ რიგში, მომხმარებელი ავტორიზებულია როლზე, შემდეგ კი როლს ენიჭება დომენებზე წვდომის უფლება. და ბოლოს, დომენს შეიძლება ჰქონდეს წვდომა მხოლოდ გარკვეული ტიპის ობიექტებზე.

LSM და SE არქიტექტურაLinux

სახელწოდების მიუხედავად, LSM-ები სინამდვილეში ჩატვირთვადი მოდულები არ არის. Linuxთუმცა, ისევე როგორც SELinux, ის პირდაპირ ინტეგრირებულია ბირთვში. LSM-ის საწყისი კოდის ნებისმიერი ცვლილება მოითხოვს ბირთვის ახალ კომპილაციას. შესაბამისი პარამეტრი უნდა იყოს ჩართული ბირთვის პარამეტრებში, წინააღმდეგ შემთხვევაში LSM კოდი არ გააქტიურდება ჩატვირთვის შემდეგ. თუმცა, ამ შემთხვევაშიც კი, მისი ჩართვა შესაძლებელია OS-ის ჩატვირთვის ოფციის მეშვეობით.

LSM ჩეკების დასტა

LSM აღჭურვილია კაკვებით ბირთვის ფუნქციებში, რომლებიც შეიძლება იყოს შესაბამისი შემოწმებისთვის. LSM-ის ერთ-ერთი მთავარი მახასიათებელია ის, რომ ისინი დაფუძნებულია სტეკზე. ამრიგად, სტანდარტული შემოწმებები კვლავ შესრულებულია და თითოეული LSM ფენა მხოლოდ დამატებით კონტროლს და კონტროლს ამატებს. ეს ნიშნავს, რომ აკრძალვის უკან დაბრუნება შეუძლებელია. ეს ნაჩვენებია სურათზე, თუ რუტინული DAC შემოწმების შედეგი წარუმატებელია, მაშინ ის ვერც კი მიაღწევს LSM კაკვებს.

SELinux Fluke-ის კვლევითი ოპერაციული სისტემის Flask-ის უსაფრთხოების არქიტექტურა იქნა მიღებული, კერძოდ, მინიმალური პრივილეგიის პრინციპი. ამ კონცეფციის არსი, როგორც სახელიდან ჩანს, მომხმარებლისთვის ან პროცესისთვის მხოლოდ იმ უფლებების მინიჭებაა, რომლებიც აუცილებელია დაგეგმილი მოქმედების შესასრულებლად. ეს პრინციპი ხორციელდება სავალდებულო წვდომის აკრეფის გზით, რითაც კონტროლდება წვდომის უფლებები SE-ში.Linux დომენის => ტიპის მოდელზე დაყრდნობით.

SE-ს წვდომის იძულებითი აკრეფის წყალობითLinux გაცილებით მნიშვნელოვანი წვდომის კონტროლის შესაძლებლობები აქვს, ვიდრე Unix OS-ში გამოყენებულ ტრადიციულ DAC მოდელს.Linuxმაგალითად, შეგიძლიათ შეზღუდოთ ქსელის პორტის ნომერი, რომელსაც FTP სერვერი მოუსმენს, რაც საშუალებას მოგცემთ ჩაწეროთ და შეცვალოთ ფაილები კონკრეტულ საქაღალდეში, მაგრამ არა მათი წაშლა.

SE-ს ძირითადი კომპონენტებიLinux შემდეგია:

პოლიტიკის აღსრულების სერვერი - დაშვების კონტროლის ორგანიზების მთავარი მექანიზმი.
სისტემის უსაფრთხოების პოლიტიკის მონაცემთა ბაზა.
ურთიერთქმედება LSM მოვლენის მსმენელთან.
სელინუქსფები — ფსევდო-FS, იგივე /proc და დამონტაჟებულია /sys/fs/selinux-ში. დინამიურად დაკომპლექტებულია ბირთვის მიერ. Linux შესრულების დროს და შეიცავს ფაილებს, რომლებიც შეიცავს ინფორმაციას SE სტატუსის შესახებLinux.
წვდომა ვექტორულ ქეშზე - დამხმარე მექანიზმი შესრულების გასაუმჯობესებლად.

სამხრეთ-აღმოსავლეთით ოპერაციების სქემაLinux

ეს ყველაფერი შემდეგნაირად მუშაობს.

გარკვეული საგანი, სამხრეთ-აღმოსავლეთითLinux, DAC-ის დადასტურების შემდეგ ასრულებს ობიექტზე დაშვებულ მოქმედებას, როგორც ეს ზემოთ მოცემულ სურათზეა ნაჩვენები. ოპერაციის შესრულების ეს მოთხოვნა გადაეცემა LSM მოვლენის ინტერცეპტორს.
იქიდან, მოთხოვნა, სუბიექტისა და ობიექტის უსაფრთხოების კონტექსტთან ერთად, გადაეცემა SE მოდულს.Linux აბსტრაქცია და Hook Logic, პასუხისმგებელია LSM-თან ურთიერთქმედებაზე.
სუბიექტის ობიექტზე წვდომასთან დაკავშირებით გადაწყვეტილების მიმღები ორგანოა პოლიტიკის აღსრულების სერვერი და ის მონაცემებს იღებს SE-დან.Linux ანჰლ.
წვდომის ან აკრძალვის შესახებ გადაწყვეტილების მისაღებად, პოლიტიკის აღსრულების სერვერი მიმართავს ყველაზე ხშირად გამოყენებული წვდომის ვექტორის ქეშის (AVC) წესების ქეშირების ქვესისტემას.
თუ შესაბამისი წესის გამოსავალი არ არის ნაპოვნი ქეშში, მაშინ მოთხოვნა გადაეცემა უსაფრთხოების პოლიტიკის მონაცემთა ბაზას.
მონაცემთა ბაზიდან და AVC-დან ძიების შედეგი უბრუნდება Policy Enforcement სერვერს.
თუ ნაპოვნი პოლიტიკა შეესაბამება მოთხოვნილ ქმედებას, მაშინ ოპერაცია დაშვებულია. წინააღმდეგ შემთხვევაში, ოპერაცია აკრძალულია.

SE პარამეტრების მართვაLinux

SELinux მუშაობს სამი რეჟიმიდან ერთ-ერთში:

აღსრულება - უსაფრთხოების პოლიტიკის მკაცრი აღსრულება.
ნებადართული - ნებადართულია შეზღუდვების დარღვევა, შესაბამისი ნიშანი კეთდება ჟურნალში.
გამორთულია - უსაფრთხოების წესები არ მოქმედებს.

ნახეთ, რა რეჟიმშია SELinux ამის გაკეთება შეგიძლიათ შემდეგი ბრძანებით.

[admin@server ~]$ getenforce
Permissive

რეჟიმის შეცვლა გადატვირთვამდე, მაგალითად, დააყენეთ ის Enforcing, ან 1. დასაშვები პარამეტრი შეესაბამება ციფრულ კოდს 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

თქვენ ასევე შეგიძლიათ შეცვალოთ რეჟიმი ფაილის რედაქტირებით:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE=სამიზნე

განსხვავება setenfoce-თან ის არის, რომ ოპერაციული სისტემის ჩატვირთვისას, SE რეჟიმიLinux დაყენდება SELINUX კონფიგურაციის ფაილის პარამეტრის მნიშვნელობის მიხედვით. გარდა ამისა, <=>-ის გამორთვის აღსრულების ცვლილებები ძალაში შევა მხოლოდ /etc/selinux/config ფაილის რედაქტირების და გადატვირთვის შემდეგ.

შემაჯამებელი სტატუსის ანგარიშის ნახვა:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
SE ატრიბუტების სანახავადLinux ზოგიერთი სტანდარტული კომუნალური პროგრამა იყენებს -Z პარამეტრს.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ჩვეულებრივ ls -l გამომავალთან შედარებით, არის რამდენიმე დამატებითი ველი შემდეგი ფორმატით:

<user>:<role>:<type>:<level>

ბოლო ველი აღნიშნავს უსაფრთხოების შტამპის მსგავს რაღაცას და შედგება ორი ელემენტის კომბინაციისგან:

s0 - მნიშვნელობა, ასევე ჩაწერილი დაბალი დონის-მაღალი დონის ინტერვალში
c0, c1… c1023 არის კატეგორია.

წვდომის კონფიგურაციის შეცვლა

გამოიყენეთ semodule SE მოდულების ჩასატვირთადLinux, დაამატეთ და წაშალეთ ისინი.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

პირველი გუნდი მართეთ შესვლა SE მომხმარებელს აკავშირებსLinux ოპერაციული სისტემის მომხმარებლის შემთხვევაში, მეორე ბრძანება აჩვენებს სიას. და ბოლოს, ბოლო ბრძანება -r გადამრთველით შლის SE მომხმარებლის შესაბამისობას.Linux OS ანგარიშებზე. MLS/MCS დიაპაზონის მნიშვნელობების სინტაქსი ახსნილია წინა ნაწილში.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
გუნდი მომხმარებლის მართვა გამოიყენება მომხმარებლებსა და SE როლებს შორის შესაბამისობების სამართავადLinux.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

ბრძანების პარამეტრები:

-დაამატეთ მორგებული როლის რუკების ჩანაწერი;
- l შესატყვისი მომხმარებლებისა და როლების სია;
-დ წაშალეთ მორგებული როლის რუკების ჩანაწერი;
- მომხმარებლისთვის მიმაგრებული როლების R სია;

ფაილები, პორტები და ლოგინები

თითოეული SE მოდულიLinux გთავაზობთ ფაილების მონიშვნის წესების ერთობლიობას, თუმცა საჭიროების შემთხვევაში, შეგიძლიათ დაამატოთ თქვენი საკუთარი წესებიც. მაგალითად, გვინდა, რომ ვებ სერვერს მივცეთ /srv/www საქაღალდეზე წვდომის უფლებები.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

პირველი ბრძანება აღრიცხავს მარკირების ახალ წესებს, ხოლო მეორე აღადგენს, უფრო სწორად, ასახავს ფაილის ტიპებს არსებული წესების შესაბამისად.

ანალოგიურად, TCP/UDP პორტები მონიშნულია ისე, რომ მხოლოდ შესაბამის სერვისებს შეუძლიათ მათი მოსმენა. მაგალითად, იმისათვის, რომ ვებ სერვერმა მოისმინოს 8080 პორტზე, თქვენ უნდა შეასრულოთ ბრძანება.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SE მოდულების მნიშვნელოვანი რაოდენობაLinux აქვთ პარამეტრები, რომლებსაც შეუძლიათ ლოგიკური მნიშვნელობების მიღება. ასეთი პარამეტრების სრული სიის ნახვა შესაძლებელია getsebool -a ღილაკების გამოყენებით. ლოგიკური მნიშვნელობების შეცვლა შესაძლებელია setsebool ღილაკების გამოყენებით.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

პრაქტიკა, შედით Pgadmin-ვებ ინტერფეისზე

განვიხილოთ მაგალითი პრაქტიკიდან, ჩვენ დავაყენეთ pgadmin7.6-web RHEL 4-ზე PostgreSQL მონაცემთა ბაზის ადმინისტრირებისთვის. გავიარეთ პატარა Quest pg_hba.conf, postgresql.conf და config_local.py დაყენებით, დააყენეთ ნებართვები საქაღალდეებზე, დააინსტალირეთ დაკარგული Python მოდულები pip-დან. ყველაფერი მზად არის, გაიქეცი და მიიღე 500 შიდა სერვერის შეცდომა.

ჩვენ ვიწყებთ ტიპიური ეჭვმიტანილებით, შეამოწმეთ /var/log/httpd/error_log. იქ არის რამდენიმე საინტერესო ჩანაწერი.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

სწორედ აქ არიან ადმინისტრატორების უმეტესობა Linux დიდი ცდუნება იქნება setencorce 0-ის გაშვების და ამით ყველაფერი დამთავრდება. გულწრფელად რომ ვთქვა, პირველად სწორედ ეს გავაკეთე. ეს ნამდვილად გამოსავალია, მაგრამ საუკეთესოსგან შორს.

SE დიზაინის სიმძიმის მიუხედავადLinux ეს შეიძლება იყოს მომხმარებლისთვის მოსახერხებელი. უბრალოდ დააინსტალირეთ setroubleshoot პაკეტი და ნახეთ სისტემის ჟურნალი.

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

გთხოვთ გაითვალისწინოთ, რომ აუდიტირებული სერვისი უნდა გადატვირთოთ ამ გზით და არა systemctl-ით, მიუხედავად OS-ში systemd-ის არსებობისა. სისტემის ჟურნალში მითითებული იქნება არა მარტო დაბლოკვის ფაქტი, არამედ მიზეზი და აკრძალვის დაძლევის გზა.

ჩვენ ვასრულებთ ამ ბრძანებებს: