ការបកប្រែអត្ថបទដែលបានរៀបចំសម្រាប់និស្សិតវគ្គសិក្សា "សុវត្ថិភាពលីនុច"

SELinux ឬ Security Enhanced Linux គឺជាយន្តការត្រួតពិនិត្យការចូលប្រើដែលត្រូវបានកែលម្អដែលត្រូវបានបង្កើតឡើងដោយទីភ្នាក់ងារសន្តិសុខជាតិសហរដ្ឋអាមេរិក (NSA) ដើម្បីការពារការឈ្លានពានដែលមានគំនិតអាក្រក់។ វាអនុវត្តគំរូត្រួតពិនិត្យការចូលប្រើដោយបង្ខំ (ឬជាកាតព្វកិច្ច) (ភាសាអង់គ្លេសជាកាតព្វកិច្ច ការគ្រប់គ្រងការចូលប្រើជាចាំបាច់ MAC) នៅលើកំពូលនៃគំរូដែលមានស្រាប់ (ឬជ្រើសរើស) (ភាសាអង់គ្លេស ការគ្រប់គ្រងការចូលប្រើការសំរេចចិត្ត DAC) នោះគឺការអនុញ្ញាតឱ្យអាន សរសេរ ប្រតិបត្តិ។

SELinux មានបីរបៀប៖

ការអនុវត្ត - ការបដិសេធការចូលប្រើដោយផ្អែកលើច្បាប់គោលនយោបាយ។
ការអនុញ្ញាត - រក្សាកំណត់ហេតុនៃសកម្មភាពដែលបំពានគោលការណ៍ ដែលនឹងត្រូវបានហាមឃាត់នៅក្នុងរបៀបអនុវត្ត។
ជនពិការ - ការបិទទាំងស្រុងនៃ SELinux ។

តាមលំនាំដើមការកំណត់គឺនៅក្នុង /etc/selinux/config

ការផ្លាស់ប្តូររបៀប SELinux

ដើម្បីស្វែងយល់ពីរបៀបបច្ចុប្បន្ន សូមដំណើរការ

$ getenforce

ដើម្បីប្តូររបៀបទៅអនុញ្ញាត រត់ពាក្យបញ្ជាខាងក្រោម

$ setenforce 0

ឬប្តូររបៀបពី អនុញ្ញាត នៅលើ អនុវត្ត, vypolnite

$ setenforce 1

ប្រសិនបើអ្នកត្រូវការបិទ SELinux ទាំងស្រុងនោះ វាអាចធ្វើបានតែតាមរយៈឯកសារកំណត់រចនាសម្ព័ន្ធប៉ុណ្ណោះ។

$ vi /etc/selinux/config

ដើម្បីបិទ ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ SELINUX ដូចខាងក្រោម៖

SELINUX=disabled

ការដំឡើង SELinux

ឯកសារ និងដំណើរការនីមួយៗត្រូវបានសម្គាល់ដោយបរិបទ SELinux ដែលមានព័ត៌មានបន្ថែមដូចជា អ្នកប្រើប្រាស់ តួនាទី ប្រភេទជាដើម។ ប្រសិនបើនេះជាលើកទីមួយរបស់អ្នកដែលបើក SELinux ដំបូងអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធបរិបទ និងស្លាក។ ដំណើរការនៃការកំណត់ស្លាក និងបរិបទត្រូវបានគេស្គាល់ថាជាការដាក់ស្លាក។ ដើម្បីចាប់ផ្តើមសម្គាល់ នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ យើងប្តូររបៀបទៅ អនុញ្ញាត.

$ vi /etc/selinux/config
SELINUX=permissive

បន្ទាប់ពីកំណត់របៀប អនុញ្ញាតបង្កើតឯកសារលាក់ទទេមួយនៅក្នុង root ដោយប្រើឈ្មោះ autorelabel

$ touch /.autorelabel

ហើយចាប់ផ្ដើមកុំព្យូទ័រឡើងវិញ

$ init 6

ចំណាំ៖ យើងប្រើរបៀប អនុញ្ញាត សម្រាប់ការសម្គាល់, ចាប់តាំងពីការប្រើប្រាស់របៀប អនុវត្ត អាចធ្វើឱ្យប្រព័ន្ធគាំងកំឡុងពេលចាប់ផ្ដើមឡើងវិញ។

កុំបារម្ភប្រសិនបើការទាញយកជាប់គាំងនៅលើឯកសារមួយចំនួន ការសម្គាល់ត្រូវចំណាយពេលបន្តិច។ នៅពេលដែលការសម្គាល់បានបញ្ចប់ ហើយប្រព័ន្ធរបស់អ្នកត្រូវបានចាប់ផ្ដើម អ្នកអាចចូលទៅកាន់ឯកសារកំណត់រចនាសម្ព័ន្ធ ហើយកំណត់របៀប អនុវត្តហើយរត់ផងដែរ៖

$ setenforce 1

ឥឡូវនេះ អ្នកបានបើកដំណើរការ SELinux ដោយជោគជ័យនៅលើកុំព្យូទ័ររបស់អ្នក។

តាមដានកំណត់ហេតុ

អ្នកប្រហែលជាបានជួបប្រទះនឹងកំហុសមួយចំនួនក្នុងអំឡុងពេលសម្គាល់ ឬខណៈពេលដែលប្រព័ន្ធកំពុងដំណើរការ។ ដើម្បីពិនិត្យមើលថាតើ SELinux របស់អ្នកដំណើរការបានត្រឹមត្រូវឬអត់ ហើយប្រសិនបើវាមិនត្រូវបានរារាំងការចូលទៅកាន់ច្រកណាមួយ កម្មវិធីជាដើម។ អ្នកត្រូវមើលកំណត់ហេតុ។ កំណត់ហេតុ SELinux មានទីតាំងនៅ /var/log/audit/audit.logប៉ុន្តែអ្នកមិនចាំបាច់អានរឿងទាំងមូលដើម្បីស្វែងរកកំហុសនោះទេ។ អ្នកអាចប្រើឧបករណ៍ប្រើប្រាស់ audit2why ដើម្បីស្វែងរកកំហុស។ ដំណើរការពាក្យបញ្ជាខាងក្រោម៖

$ audit2why < /var/log/audit/audit.log

ជាលទ្ធផលអ្នកនឹងទទួលបានបញ្ជីនៃកំហុស។ ប្រសិនបើមិនមានកំហុសនៅក្នុងកំណត់ហេតុទេនោះ គ្មានសារណាមួយនឹងត្រូវបានបង្ហាញទេ។

ការកំណត់គោលការណ៍ SELinux

គោលការណ៍ SELinux គឺជាសំណុំនៃច្បាប់ដែលគ្រប់គ្រងយន្តការសុវត្ថិភាព SELinux ។ គោលការណ៍កំណត់សំណុំនៃច្បាប់សម្រាប់បរិយាកាសជាក់លាក់មួយ។ ឥឡូវនេះយើងនឹងរៀនពីរបៀបកំណត់រចនាសម្ព័ន្ធគោលការណ៍ដើម្បីអនុញ្ញាតឱ្យចូលប្រើសេវាកម្មហាមឃាត់។

1. តម្លៃឡូជីខល (កុងតាក់)

ឧបករណ៍ប្តូរ (ប៊ូលីន) អនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរផ្នែកនៃគោលការណ៍នៅពេលដំណើរការដោយមិនចាំបាច់បង្កើតគោលការណ៍ថ្មី។ ពួកគេអនុញ្ញាតឱ្យអ្នកធ្វើការផ្លាស់ប្តូរដោយមិនចាំបាច់ចាប់ផ្តើមឡើងវិញ ឬចងក្រងគោលការណ៍ SELinux ឡើងវិញ។

ឧទាហរណ៍:
ឧបមាថាយើងចង់ចែករំលែក home directory របស់អ្នកប្រើតាមរយៈ FTP read/write ហើយយើងបានចែករំលែកវារួចហើយ ប៉ុន្តែនៅពេលដែលយើងព្យាយាមចូលប្រើ យើងមិនឃើញអ្វីនោះទេ។ នេះគឺដោយសារតែគោលការណ៍ SELinux រារាំងម៉ាស៊ីនមេ FTP ពីការអាន និងសរសេរទៅកាន់ថតផ្ទះរបស់អ្នកប្រើ។ យើងត្រូវផ្លាស់ប្តូរគោលការណ៍ដើម្បីឱ្យម៉ាស៊ីនមេ FTP អាចចូលប្រើថតផ្ទះបាន។ សូមមើលថាតើមានឧបករណ៍ប្តូរណាមួយសម្រាប់ការនេះដោយការធ្វើ

$ semanage boolean -l

ពាក្យបញ្ជានេះនឹងរាយបញ្ជីកុងតាក់ដែលមានជាមួយនឹងស្ថានភាពបច្ចុប្បន្ន (បើក ឬបិទ) និងការពិពណ៌នា។ អ្នកអាចកែលម្អការស្វែងរករបស់អ្នកដោយបន្ថែម grep ដើម្បីស្វែងរកលទ្ធផលតែ ftp៖

$ semanage boolean -l | grep ftp

ហើយអ្នកនឹងឃើញដូចខាងក្រោម

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

កុងតាក់នេះត្រូវបានបិទ ដូច្នេះយើងនឹងបើកវាជាមួយ setsebool $ setsebool ftp_home_dir on

ឥឡូវនេះដេមិន ftp របស់យើងនឹងអាចចូលប្រើថតផ្ទះរបស់អ្នកប្រើបាន។
ចំណាំ៖ អ្នកក៏អាចទទួលបានបញ្ជីឧបករណ៍ប្តូរដែលមានដោយគ្មានការពិពណ៌នាដោយធ្វើ getsebool -a

2. ស្លាក និងបរិបទ

នេះគឺជាវិធីសាមញ្ញបំផុតក្នុងការអនុវត្តគោលនយោបាយ SELinux ។ រាល់ឯកសារ ថតឯកសារ ដំណើរការ និងច្រកត្រូវបានសម្គាល់ដោយបរិបទ SELinux៖

សម្រាប់ឯកសារ និងថតឯកសារ ស្លាកត្រូវបានរក្សាទុកជាគុណលក្ខណៈបន្ថែមនៅលើប្រព័ន្ធឯកសារ ហើយអាចមើលបានដោយប្រើពាក្យបញ្ជាខាងក្រោម៖
```
$ ls -Z /etc/httpd
```
សម្រាប់ដំណើរការ និងច្រក ការដាក់ស្លាកត្រូវបានគ្រប់គ្រងដោយខឺណែល ហើយអ្នកអាចមើលស្លាកទាំងនេះដូចខាងក្រោម៖

ដំណើរការ

$ ps –auxZ | grep httpd

ច្រក

$ netstat -anpZ | grep httpd

ឧទាហរណ៍:
ឥឡូវនេះ សូមក្រឡេកមើលឧទាហរណ៍ ដើម្បីយល់កាន់តែច្បាស់អំពីស្លាក និងបរិបទ។ ឧបមាថាយើងមាន web server ដែលជំនួសឱ្យថត /var/www/html/ использует /home/dan/html/. SELinux នឹងចាត់ទុកថានេះជាការរំលោភបំពានលើគោលការណ៍ ហើយអ្នកនឹងមិនអាចមើលគេហទំព័ររបស់អ្នកបានទេ។ នេះគឺដោយសារតែយើងមិនបានកំណត់បរិបទសុវត្ថិភាពដែលភ្ជាប់ជាមួយឯកសារ HTML ។ ដើម្បីមើលបរិបទសុវត្ថិភាពលំនាំដើម សូមប្រើពាក្យបញ្ជាខាងក្រោម៖

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

នៅទីនេះយើងទទួលបាន httpd_sys_content_t ជាបរិបទសម្រាប់ឯកសារ html ។ យើងត្រូវកំណត់បរិបទសុវត្ថិភាពនេះសម្រាប់ថតបច្ចុប្បន្នរបស់យើង ដែលបច្ចុប្បន្នមានបរិបទដូចខាងក្រោម៖

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ពាក្យបញ្ជាជំនួសដើម្បីពិនិត្យមើលបរិបទសុវត្ថិភាពនៃឯកសារ ឬថតឯកសារ៖

$ semanage fcontext -l | grep '/var/www'

យើងក៏នឹងប្រើ semanage ដើម្បីផ្លាស់ប្តូរបរិបទ នៅពេលដែលយើងបានរកឃើញបរិបទសុវត្ថិភាពត្រឹមត្រូវ។ ដើម្បីផ្លាស់ប្តូរបរិបទនៃ /home/dan/html សូមដំណើរការពាក្យបញ្ជាខាងក្រោម៖

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

បន្ទាប់ពីបរិបទត្រូវបានផ្លាស់ប្តូរដោយប្រើ semanage ពាក្យបញ្ជា restorecon នឹងផ្ទុកបរិបទលំនាំដើមសម្រាប់ឯកសារ និងថត។ ម៉ាស៊ីនមេគេហទំព័ររបស់យើងឥឡូវនេះនឹងអាចអានឯកសារពីថតឯកសារ /home/dan/htmlដោយសារតែបរិបទសុវត្ថិភាពសម្រាប់ថតឯកសារនេះត្រូវបានផ្លាស់ប្តូរទៅជា httpd_sys_content_t.

3. បង្កើតគោលនយោបាយក្នុងស្រុក

ប្រហែលជាមានស្ថានភាពដែលវិធីសាស្ត្រខាងលើគ្មានប្រយោជន៍សម្រាប់អ្នក ហើយអ្នកទទួលបានកំហុស (avc/denial) នៅក្នុង audit.log ។ នៅពេលវាកើតឡើង អ្នកត្រូវបង្កើតគោលការណ៍ក្នុងស្រុក។ អ្នកអាចរកឃើញកំហុសទាំងអស់ដោយប្រើ audit2why ដូចដែលបានពិពណ៌នាខាងលើ។

អ្នកអាចបង្កើតគោលការណ៍ក្នុងស្រុកដើម្បីដោះស្រាយកំហុស។ ឧទាហរណ៍ យើងទទួលបានកំហុសដែលទាក់ទងនឹង httpd (apache) ឬ smbd (samba) យើងពិនិត្យកំហុស និងបង្កើតគោលការណ៍សម្រាប់ពួកគេ៖

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

វាគឺជាការ http_policy и smb_policy គឺជាឈ្មោះគោលនយោបាយក្នុងស្រុកដែលយើងបានបង្កើត។ ឥឡូវនេះយើងត្រូវផ្ទុកគោលនយោបាយមូលដ្ឋានដែលបានបង្កើតទាំងនេះទៅក្នុងគោលនយោបាយ SELinux បច្ចុប្បន្ន។ នេះអាចត្រូវបានធ្វើដូចខាងក្រោម:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

គោលការណ៍ក្នុងស្រុករបស់យើងត្រូវបានទាញយក ហើយយើងមិនគួរទទួលបាន avc ឬ denail ណាមួយនៅក្នុង audit.log ទៀតទេ។

នេះជាការព្យាយាមរបស់ខ្ញុំដើម្បីជួយអ្នកឱ្យយល់ពី SELinux ។ ខ្ញុំសង្ឃឹមថាបន្ទាប់ពីអានអត្ថបទនេះ អ្នកនឹងមានអារម្មណ៍ស្រួលជាមួយ SELinux ។

ប្រភព: www.habr.com

ការណែនាំសម្រាប់អ្នកចាប់ផ្តើមដំបូងចំពោះ SELinux