សន្លឹកបន្លំ SELinux សម្រាប់អ្នកគ្រប់គ្រងប្រព័ន្ធ៖ 42 ចម្លើយចំពោះសំណួរសំខាន់ៗ

ការបកប្រែអត្ថបទត្រូវបានរៀបចំជាពិសេសសម្រាប់សិស្សនៃវគ្គសិក្សា "អ្នកគ្រប់គ្រងលីនុច".

នៅទីនេះ អ្នកនឹងទទួលបានចម្លើយចំពោះសំណួរសំខាន់ៗអំពីជីវិត សកលលោក និងអ្វីៗគ្រប់យ៉ាងនៅក្នុងលីនុច ជាមួយនឹងសុវត្ថិភាពប្រសើរឡើង។

“ការពិតសំខាន់ដែលអ្វីៗមិនតែងតែដូចអ្វីដែលពួកគេហាក់ដូចជាចំណេះដឹងទូទៅ…”

-លោក Douglas Adams, មគ្គុទ្ទេសក៍របស់ Hitchhiker ទៅកាន់ Galaxy

សុវត្ថិភាព។ បង្កើនភាពជឿជាក់។ ការ​ឆ្លើយឆ្លង។ គោលនយោបាយ។ Horsemen បួននាក់នៃ Apocalypse sysadmin ។ បន្ថែមពីលើកិច្ចការប្រចាំថ្ងៃរបស់យើង - ការត្រួតពិនិត្យ ការបម្រុងទុក ការអនុវត្ត ការកំណត់រចនាសម្ព័ន្ធ ការធ្វើបច្ចុប្បន្នភាព។ល។ - យើងក៏ទទួលខុសត្រូវចំពោះសុវត្ថិភាពនៃប្រព័ន្ធរបស់យើងផងដែរ។ សូម្បី​តែ​ប្រព័ន្ធ​ទាំង​នោះ​ដែល​អ្នក​ផ្ដល់​ភាគី​ទី​បី​ណែនាំ​ថា​យើង​បិទ​សុវត្ថិភាព​ដែល​បាន​ពង្រឹង។ វាមានអារម្មណ៍ដូចជាការងារ លោក Ethan Hunt ពី "បេសកកម្ម៖ Impossible" ។

ប្រឈមមុខនឹងបញ្ហានេះ អ្នកគ្រប់គ្រងប្រព័ន្ធមួយចំនួនសម្រេចចិត្តទទួលយក ថ្នាំគ្រាប់ពណ៌ខៀវដោយ​សារ​ពួកគេ​គិត​ថា​ពួកគេ​នឹង​មិន​ដឹង​ចម្លើយ​ចំពោះ​សំណួរ​ដ៏​ធំ​នៃ​ជីវិត សកលលោក និង​អ្វី​ទាំង​អស់​នោះ​ទេ។ ហើយដូចដែលយើងទាំងអស់គ្នាដឹង ចម្លើយនោះគឺ 42។

នៅក្នុងស្មារតីនៃ The Hitchhiker's Guide to the Galaxy នេះគឺជាចម្លើយចំនួន 42 ចំពោះសំណួរសំខាន់ៗអំពីការគ្រប់គ្រង និងការប្រើប្រាស់។ SELinux នៅលើប្រព័ន្ធរបស់អ្នក។

1. SELinux គឺជាប្រព័ន្ធគ្រប់គ្រងការចូលដោយបង្ខំ ដែលមានន័យថារាល់ដំណើរការទាំងអស់មានស្លាកមួយ។ ឯកសារ ថត និងវត្ថុប្រព័ន្ធនីមួយៗក៏មានស្លាកផងដែរ។ ច្បាប់គោលការណ៍គ្រប់គ្រងការចូលប្រើរវាងដំណើរការដែលបានដាក់ស្លាក និងវត្ថុ។ ខឺណែលអនុវត្តច្បាប់ទាំងនេះ។

2. គោលគំនិតសំខាន់ពីរគឺ៖ ការដាក់ស្លាក។ - ការសម្គាល់ (ឯកសារ ដំណើរការ ច្រក។ល។) និង ប្រភេទនៃការអនុវត្ត (ដែលញែកដំណើរការពីគ្នាទៅវិញទៅមកដោយផ្អែកលើប្រភេទ) ។

3. ទម្រង់ស្លាកត្រឹមត្រូវ។ user:role:type:level (ស្រេចចិត្ត)។

4. គោលបំណងនៃការផ្តល់សន្តិសុខពហុកម្រិត (សន្តិសុខពហុកម្រិត - MLS) គឺដើម្បីគ្រប់គ្រងដំណើរការ (ដែន) ដោយផ្អែកលើកម្រិតសុវត្ថិភាពនៃទិន្នន័យដែលពួកគេនឹងប្រើប្រាស់។ ឧទាហរណ៍ ដំណើរការសម្ងាត់មិនអាចអានទិន្នន័យសម្ងាត់កំពូលបានទេ។

5. ធានាសុវត្ថិភាពច្រើនប្រភេទ (សន្តិសុខច្រើនប្រភេទ - MCS) ការពារដំណើរការស្រដៀងគ្នាពីគ្នាទៅវិញទៅមក (ឧទាហរណ៍ ម៉ាស៊ីននិម្មិត ម៉ាស៊ីន OpenShift ប្រអប់ខ្សាច់ SELinux ធុង។ល។)។

6. ជម្រើសខឺណែលសម្រាប់ផ្លាស់ប្តូររបៀប SELinux នៅពេលចាប់ផ្ដើម៖

• autorelabel=1 → បណ្តាលឱ្យប្រព័ន្ធដំណើរការ relabeling
• selinux=0 → ខឺណែលមិនផ្ទុកហេដ្ឋារចនាសម្ព័ន្ធ SELinux ទេ។
• enforcing=0 →ការផ្ទុកនៅក្នុងរបៀបអនុញ្ញាត

7. ប្រសិនបើអ្នកត្រូវការដាក់ស្លាកប្រព័ន្ធទាំងមូលឡើងវិញ៖

# touch /.autorelabel
#reboot

ប្រសិនបើការសម្គាល់ប្រព័ន្ធមានកំហុសមួយចំនួនធំ អ្នកប្រហែលជាត្រូវចាប់ផ្ដើមនៅក្នុងរបៀបអនុញ្ញាតសម្រាប់ការកត់សម្គាល់ដើម្បីជោគជ័យ។

8. ដើម្បីពិនិត្យមើលថាតើ SELinux ត្រូវបានបើក៖ # getenforce

9. ដើម្បីបើក/បិទ SELinux ជាបណ្តោះអាសន្ន៖ # setenforce [1|0]

10. កំពុងពិនិត្យមើលស្ថានភាព SELinux៖ # sestatus

11. ឯកសារកំណត់រចនាសម្ព័ន្ធ៖ /etc/selinux/config

12. តើ SELinux ដំណើរការយ៉ាងដូចម្តេច? នេះជាឧទាហរណ៍ការសម្គាល់សម្រាប់ម៉ាស៊ីនមេគេហទំព័រ Apache៖

• តំណាងគោលពីរ៖ /usr/sbin/httpd→httpd_exec_t
• ថតកំណត់រចនាសម្ព័ន្ធ៖ /etc/httpd→httpd_config_t
• ថតឯកសារកំណត់ហេតុ៖ /var/log/httpd → httpd_log_t
• ថតមាតិកា៖ /var/www/html → httpd_sys_content_t
• ចាប់ផ្តើមស្គ្រីប៖ /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• ដំណើរការ: /usr/sbin/httpd -DFOREGROUND → httpd_t
• ច្រក៖ 80/tcp, 443/tcp → httpd_t, http_port_t

ដំណើរការដំណើរការក្នុងបរិបទ httpd_tអាចធ្វើអន្តរកម្មជាមួយវត្ថុដែលមានស្លាក httpd_something_t.

13. ពាក្យបញ្ជាជាច្រើនទទួលយកអាគុយម៉ង់ -Z ដើម្បីមើល បង្កើត និងផ្លាស់ប្តូរបរិបទ៖

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

បរិបទត្រូវបានបង្កើតឡើងនៅពេលដែលឯកសារត្រូវបានបង្កើតដោយផ្អែកលើបរិបទនៃថតមេរបស់ពួកគេ (ដោយមានករណីលើកលែងមួយចំនួន)។ RPMs អាចបង្កើតបរិបទដូចជាអំឡុងពេលដំឡើង។

14. មានមូលហេតុចម្បងបួននៃកំហុស SELinux ដែលត្រូវបានពិពណ៌នាលម្អិតនៅក្នុងចំណុច 15-21 ខាងក្រោម៖

• បញ្ហាដាក់ស្លាក
• ដោយសារតែអ្វីមួយដែល SELinux ត្រូវដឹង
• កំហុសក្នុងគោលការណ៍/កម្មវិធី SELinux
• ព័ត៌មានរបស់អ្នកអាចត្រូវបានសម្របសម្រួល

15. បញ្ហាដាក់ស្លាក៖ ប្រសិនបើឯកសាររបស់អ្នកស្ថិតនៅក្នុង /srv/myweb ត្រូវបានសម្គាល់មិនត្រឹមត្រូវ ការចូលប្រើអាចត្រូវបានបដិសេធ។ នេះគឺជាវិធីមួយចំនួនដើម្បីជួសជុលវា៖

• ប្រសិនបើអ្នកស្គាល់ស្លាក:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• ប្រសិនបើអ្នកស្គាល់ឯកសារដែលមានសញ្ញាប្រហាក់ប្រហែល៖
  # semanage fcontext -a -e /srv/myweb /var/www
• ការស្ដារបរិបទ (សម្រាប់ករណីទាំងពីរ)៖
  # restorecon -vR /srv/myweb

16. បញ្ហាដាក់ស្លាក៖ ប្រសិនបើអ្នកផ្លាស់ទីឯកសារជំនួសឱ្យការចម្លងវា ឯកសារនឹងរក្សាបរិបទដើមរបស់វា។ ដើម្បីដោះស្រាយបញ្ហានេះ៖

• ផ្លាស់ប្តូរពាក្យបញ្ជាបរិបទជាមួយស្លាក៖
  # chcon -t httpd_system_content_t /var/www/html/index.html
• ផ្លាស់ប្តូរពាក្យបញ្ជាបរិបទដោយប្រើស្លាកតំណ៖
  # chcon --reference /var/www/html/ /var/www/html/index.html
• ស្ដារបរិបទ (សម្រាប់ករណីទាំងពីរ)៖ # restorecon -vR /var/www/html/

17. ប្រសិនបើមាន SELinux អ្នកត្រូវដឹងថា HTTPD កំពុងស្តាប់នៅលើច្រក 8585 ប្រាប់ SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux អ្នកត្រូវដឹង តម្លៃប៊ូលីនដែលអនុញ្ញាតឱ្យផ្នែកខ្លះនៃគោលការណ៍ SELinux ត្រូវបានផ្លាស់ប្តូរនៅពេលដំណើរការដោយគ្មានចំណេះដឹងអំពីគោលការណ៍ SELinux ដែលកំពុងត្រូវបានសរសេរជាន់ពីលើ។ ឧទាហរណ៍ ប្រសិនបើអ្នកចង់ឱ្យ httpd ផ្ញើអ៊ីមែល សូមបញ្ចូល៖ # setsebool -P httpd_can_sendmail 1

19. SELinux អ្នកត្រូវដឹង តម្លៃឡូជីខលសម្រាប់ការបើក/បិទការកំណត់ SELinux៖

• ដើម្បីមើលតម្លៃប៊ូលីនទាំងអស់៖ # getsebool -a
• ដើម្បីមើលការពិពណ៌នានីមួយៗ៖ # semanage boolean -l
• ដើម្បីកំណត់តម្លៃប៊ូលីន៖ # setsebool [_boolean_] [1|0]
• សម្រាប់ការដំឡើងអចិន្រ្តៃយ៍បន្ថែម -P។ ឧទាហរណ៍ៈ # setsebool httpd_enable_ftp_server 1 -P

20. គោលការណ៍/កម្មវិធី SELinux អាចមានកំហុស រួមទាំង៖

• ផ្លូវកូដមិនធម្មតា
• ការកំណត់រចនាសម្ព័ន្ធ
• បញ្ជូនបន្ត stdout
• លេចធ្លាយឯកសារពិពណ៌នា
• អង្គចងចាំដែលអាចប្រតិបត្តិបាន។
• បណ្ណាល័យដែលសាងសង់មិនល្អ

បើកសំបុត្រ (កុំដាក់របាយការណ៍ទៅ Bugzilla; Bugzilla មិនមាន SLA) ។

21. ព័ត៌មានរបស់អ្នកអាចត្រូវបានសម្របសម្រួលប្រសិនបើអ្នកបានដាក់កម្រិតដែនព្យាយាម៖

• ផ្ទុកម៉ូឌុលខឺណែល
• បិទមុខងារ SELinux ដែលបានបង្ខំ
• សរសេរ​ទៅកាន់ etc_t/shadow_t
• ផ្លាស់ប្តូរច្បាប់ iptables

22. ឧបករណ៍ SELinux សម្រាប់បង្កើតម៉ូឌុលគោលការណ៍៖

# yum -y install setroubleshoot setroubleshoot-server

ចាប់ផ្ដើមឡើងវិញ ឬចាប់ផ្ដើមឡើងវិញ auditd បន្ទាប់ពីការដំឡើង។

23. ប្រើ

journalctl

ដើម្បីបង្ហាញបញ្ជីនៃកំណត់ហេតុទាំងអស់ដែលភ្ជាប់ជាមួយ setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ប្រើ journalctl ដើម្បីរាយបញ្ជីកំណត់ហេតុទាំងអស់ដែលភ្ជាប់ជាមួយស្លាក SELinux ជាក់លាក់។ ឧទាហរណ៍:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. ប្រសិនបើកំហុស SELinux កើតឡើង សូមប្រើកំណត់ហេតុ setroubleshoot ផ្តល់ដំណោះស្រាយដែលអាចធ្វើទៅបាន។
ឧទាហរណ៍ពី journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ការកត់ត្រា៖ SELinux កត់ត្រាព័ត៌មាននៅកន្លែងជាច្រើន៖

• / var / log / សារ
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

27. ការកត់ត្រា៖ ការស្វែងរកកំហុស SELinux នៅក្នុងកំណត់ហេតុសវនកម្ម៖

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. ដើម្បីស្វែងរកសារ SELinux Access Vector Cache (AVC) សម្រាប់សេវាកម្មជាក់លាក់មួយ៖

# ausearch -m avc -c httpd

29. ឧបករណ៍ប្រើប្រាស់ audit2allow ប្រមូលព័ត៌មានពីកំណត់ហេតុនៃប្រតិបត្តិការហាមឃាត់ ហើយបន្ទាប់មកបង្កើតច្បាប់គោលការណ៍អនុញ្ញាត SELinux ។ ឧទាហរណ៍:

• ដើម្បីបង្កើតការពិពណ៌នាដែលមនុស្សអាចអានបានអំពីមូលហេតុដែលការចូលប្រើត្រូវបានបដិសេធ៖ # audit2allow -w -a
• ដើម្បីមើលច្បាប់អនុវត្តប្រភេទដែលអនុញ្ញាតឱ្យមានការចូលប្រើដែលត្រូវបានបដិសេធ៖ # audit2allow -a
• ដើម្បីបង្កើតម៉ូឌុលផ្ទាល់ខ្លួន៖ # audit2allow -a -M mypolicy
• ជម្រើស -M បង្កើត​ឯកសារ​អនុវត្ត​ប្រភេទ (.te) ជាមួយ​នឹង​ឈ្មោះ​ដែល​បាន​បញ្ជាក់ ហើយ​ចងក្រង​ច្បាប់​ទៅ​ក្នុង​កញ្ចប់​គោលការណ៍ (.pp)៖ mypolicy.pp mypolicy.te
• ដើម្បីដំឡើងម៉ូឌុលផ្ទាល់ខ្លួន៖ # semodule -i mypolicy.pp

30. ដើម្បីកំណត់រចនាសម្ព័ន្ធដំណើរការដាច់ដោយឡែក (ដែន) ដើម្បីដំណើរការក្នុងរបៀបអនុញ្ញាត៖ # semanage permissive -a httpd_t

31. ប្រសិនបើអ្នកលែងចង់ឱ្យដែនអនុញ្ញាត៖ # semanage permissive -d httpd_t

32. ដើម្បីបិទដែនអនុញ្ញាតទាំងអស់៖ # semodule -d permissivedomains

33. បើកដំណើរការគោលការណ៍ MLS SELinux៖ # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

ត្រូវប្រាកដថា SELinux កំពុងដំណើរការក្នុងរបៀបអនុញ្ញាត៖ # setenforce 0
ប្រើស្គ្រីប fixfilesដើម្បីធានាថាឯកសារត្រូវបានដាក់ស្លាកឡើងវិញនៅពេលចាប់ផ្ដើមឡើងវិញបន្ទាប់៖

# fixfiles -F onboot # reboot

34. បង្កើតអ្នកប្រើប្រាស់ដែលមានជួរ MLS ជាក់លាក់មួយ៖ # useradd -Z staff_u john

ដោយប្រើពាក្យបញ្ជា useraddគូសផែនទីអ្នកប្រើប្រាស់ថ្មីទៅនឹងអ្នកប្រើប្រាស់ SELinux ដែលមានស្រាប់ (ក្នុងករណីនេះ, staff_u).

35. ដើម្បីមើលផែនទីរវាងអ្នកប្រើប្រាស់ SELinux និង Linux៖ # semanage login -l

36. កំណត់ជួរជាក់លាក់សម្រាប់អ្នកប្រើប្រាស់៖ # semanage login --modify --range s2:c100 john

37. ដើម្បីកែស្លាកថតផ្ទះរបស់អ្នកប្រើ (បើចាំបាច់)៖ # chcon -R -l s2:c100 /home/john

38. ដើម្បីមើលប្រភេទបច្ចុប្បន្ន៖ # chcat -L

39. ដើម្បីផ្លាស់ប្តូរប្រភេទ ឬចាប់ផ្តើមបង្កើតដោយខ្លួនឯង សូមកែសម្រួលឯកសារដូចខាងក្រោម៖

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ដើម្បីដំណើរការពាក្យបញ្ជា ឬស្គ្រីបក្នុងឯកសារ តួនាទី និងបរិបទអ្នកប្រើប្រាស់ជាក់លាក់៖

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t បរិបទឯកសារ
• -r បរិបទតួនាទី
• -u បរិបទអ្នកប្រើប្រាស់

41. កុងតឺន័រដែលដំណើរការជាមួយ SELinux ត្រូវបានបិទ៖

• Podman៖ # podman run --security-opt label=disable …
• អ្នកចត: # docker run --security-opt label=disable …

42. ប្រសិនបើអ្នកត្រូវការផ្តល់ឱ្យកុងតឺន័រចូលដំណើរការប្រព័ន្ធពេញលេញ៖

• Podman៖ # podman run --privileged …
• អ្នកចត: # docker run --privileged …

ហើយឥឡូវនេះអ្នកដឹងចម្លើយរួចហើយ។ ដូច្នេះសូម៖ កុំភ័យស្លន់ស្លោ ហើយបើក SELinux ។

ឯកសារយោង:

• SELinux by Dan Walsh
• ការណែនាំអំពីរបៀបដែលមើលឃើញរបស់អ្នកសម្រាប់ការអនុវត្តគោលនយោបាយ SELinux ផងដែរ។ ដោយ Dan Walsh
• Security Enhanced Linux សម្រាប់គ្រាន់តែជាមនុស្សស្លាប់ប៉ុណ្ណោះ។ by ថូម៉ាសកាមេរូន
• សៀវភៅពណ៌ SELinux by ម៉ារៀឌីឌី
• មគ្គុទ្ទេសក៍របស់អ្នកប្រើ និងអ្នកគ្រប់គ្រង SELinux-Red Hat Enterprise Linux 7

ប្រភព: www.habr.com