🥇ប្រព័ន្ធសុវត្ថិភាពលីនុច

ហេតុផលមួយក្នុងចំណោមហេតុផលសម្រាប់ភាពជោគជ័យយ៉ាងខ្លាំងនៃ Linux OS នៅលើឧបករណ៍ចល័ត និងម៉ាស៊ីនមេដែលបានបង្កប់ គឺជាកម្រិតសុវត្ថិភាពខ្ពស់នៃខឺណែល សេវាកម្ម និងកម្មវិធីដែលពាក់ព័ន្ធ។ ប៉ុន្តែប្រសិនបើ មើលឱ្យកាន់តែជិត ចំពោះស្ថាបត្យកម្មនៃខឺណែលលីនុច នោះវាមិនអាចទៅរួចទេក្នុងការស្វែងរកការ៉េដែលទទួលខុសត្រូវចំពោះសុវត្ថិភាពដូចនោះ។ តើប្រព័ន្ធរងសុវត្ថិភាពលីនុចលាក់នៅឯណា ហើយតើវាមានអ្វីខ្លះ?

ផ្ទៃខាងក្រោយនៅលើម៉ូឌុលសុវត្ថិភាពលីនុច និង SELinux

Security Enhanced Linux គឺជាសំណុំនៃច្បាប់ និងយន្តការចូលប្រើ ដោយផ្អែកលើគំរូចូលប្រើប្រាស់ចាំបាច់ និងផ្អែកលើតួនាទី ដើម្បីការពារប្រព័ន្ធ Linux ពីការគំរាមកំហែងដែលអាចកើតមាន និងកែតម្រូវការខ្វះខាតនៃ Discretionary Access Control (DAC) ដែលជាប្រព័ន្ធសុវត្ថិភាព Unix ប្រពៃណី។ គម្រោងនេះមានប្រភពចេញពីពោះវៀនរបស់ទីភ្នាក់ងារសន្តិសុខជាតិសហរដ្ឋអាមេរិក ហើយត្រូវបានបង្កើតឡើងដោយផ្ទាល់ដោយអ្នកម៉ៅការ Secure Computing Corporation និង MITER ក៏ដូចជាមន្ទីរពិសោធន៍ស្រាវជ្រាវមួយចំនួនផងដែរ។

ម៉ូឌុលសុវត្ថិភាពលីនុច

Linus Torvalds បានធ្វើអត្ថាធិប្បាយមួយចំនួនអំពីការអភិវឌ្ឍន៍ NSA ថ្មីដើម្បីឱ្យពួកគេអាចបញ្ចូលទៅក្នុងខឺណែលលីនុច។ គាត់បានពិពណ៌នាអំពីបរិស្ថានទូទៅ ដោយមានសំណុំឧបករណ៍ស្ទាក់ចាប់ដើម្បីគ្រប់គ្រងប្រតិបត្តិការជាមួយវត្ថុ និងសំណុំនៃវាលការពារជាក់លាក់នៅក្នុងរចនាសម្ព័ន្ធទិន្នន័យខឺណែល ដើម្បីរក្សាទុកគុណលក្ខណៈដែលត្រូវគ្នា។ បន្ទាប់មកបរិស្ថាននេះអាចត្រូវបានប្រើដោយម៉ូឌុលខឺណែលដែលអាចផ្ទុកបាន ដើម្បីអនុវត្តគំរូសុវត្ថិភាពណាមួយដែលចង់បាន។ LSM បានបញ្ចូលខឺណែលលីនុច v2.6 យ៉ាងពេញលេញក្នុងឆ្នាំ 2003។

ក្របខ័ណ្ឌ LSM រួមបញ្ចូលវាលយាមនៅក្នុងរចនាសម្ព័ន្ធទិន្នន័យ និងការហៅទៅកាន់មុខងារស្ទាក់ចាប់នៅចំណុចសំខាន់ៗនៅក្នុងកូដខឺណែល ដើម្បីរៀបចំពួកវា និងអនុវត្តការគ្រប់គ្រងការចូលប្រើប្រាស់។ វាក៏បន្ថែមមុខងារសម្រាប់ការចុះឈ្មោះម៉ូឌុលសុវត្ថិភាពផងដែរ។ ចំណុចប្រទាក់ /sys/kernel/security/lsm មានបញ្ជីនៃម៉ូឌុលសកម្មនៅលើប្រព័ន្ធ។ ទំពក់ LSM ត្រូវបានរក្សាទុកក្នុងបញ្ជីដែលត្រូវបានហៅតាមលំដាប់ដែលបានបញ្ជាក់នៅក្នុង CONFIG_LSM ។ ឯកសារលម្អិតនៅលើទំពក់ត្រូវបានបញ្ចូលក្នុងឯកសារបឋមកថា include/linux/lsm_hooks.h ។

ប្រព័ន្ធរង LSM ធ្វើឱ្យវាអាចបញ្ចប់ការរួមបញ្ចូលពេញលេញនៃ SELinux ជាមួយនឹងកំណែដូចគ្នានៃខឺណែលលីនុចដែលមានស្ថេរភាព v2.6 ។ ស្ទើរតែភ្លាមៗនោះ SELinux បានក្លាយជាស្តង់ដារជាក់ស្តែងសម្រាប់បរិស្ថានលីនុចដែលមានសុវត្ថិភាព ហើយត្រូវបានរួមបញ្ចូលនៅក្នុងការចែកចាយដ៏ពេញនិយមបំផុត៖ RedHat Enterprise Linux, Fedora, Debian, Ubuntu ។

សទ្ទានុក្រម SELinux

អត្តសញ្ញាណ - អ្នកប្រើប្រាស់ SELinux មិនដូចលេខសម្គាល់អ្នកប្រើប្រាស់ Unix/Linux ធម្មតាទេ ពួកគេអាចរួមរស់ជាមួយប្រព័ន្ធតែមួយ ប៉ុន្តែមានខ្លឹមសារខុសគ្នាទាំងស្រុង។ គណនីលីនុចស្តង់ដារនីមួយៗអាចត្រូវគ្នានឹងមួយ ឬច្រើននៅក្នុង SELinux ។ អត្តសញ្ញាណ SELinux គឺជាផ្នែកមួយនៃបរិបទសុវត្ថិភាពទាំងមូល ដែលកំណត់ដែនណាមួយដែលអ្នកអាច និងមិនអាចចូលរួមបាន។
ដែន - នៅក្នុង SELinux ដែនគឺជាបរិបទប្រតិបត្តិនៃប្រធានបទ ពោលគឺដំណើរការមួយ។ ដែនកំណត់ដោយផ្ទាល់នូវការចូលដំណើរការដែលដំណើរការមាន។ ដែនគឺជាបញ្ជីមូលដ្ឋាននៃអ្វីដែលដំណើរការអាចធ្វើបាន ឬអ្វីដែលដំណើរការអាចធ្វើជាមួយប្រភេទផ្សេងៗ។ ឧទាហរណ៍មួយចំនួននៃដែនគឺ sysadm_t សម្រាប់ការគ្រប់គ្រងប្រព័ន្ធ និង user_t ដែលជាដែនអ្នកប្រើប្រាស់ធម្មតាដែលមិនមានសិទ្ធិ។ ប្រព័ន្ធ init ដំណើរការក្នុងដែន init_t ហើយដំណើរការដែលមានឈ្មោះដំណើរការក្នុងដែន name_t ។
តួនាទី - អ្វីដែលបម្រើជាអន្តរការីរវាងដែន និងអ្នកប្រើប្រាស់ SELinux ។ តួនាទីកំណត់ដែនណាមួយដែលអ្នកប្រើប្រាស់អាចជាកម្មសិទ្ធិ និងប្រភេទវត្ថុដែលពួកគេអាចចូលប្រើបាន។ យន្តការគ្រប់គ្រងការចូលប្រើនេះការពារការគំរាមកំហែងនៃការវាយប្រហារបង្កើនសិទ្ធិ។ តួនាទីត្រូវបានសរសេរទៅក្នុងគំរូសុវត្ថិភាព Role Based Access Control (RBAC) ដែលប្រើក្នុង SELinux ។
ប្រភេទ - គុណលក្ខណៈបញ្ជីការអនុវត្តប្រភេទដែលត្រូវបានចាត់តាំងទៅវត្ថុមួយ និងកំណត់ថាអ្នកណាអាចចូលប្រើវាបាន។ ស្រដៀងគ្នាទៅនឹងនិយមន័យដែន លើកលែងតែដែននោះអនុវត្តចំពោះដំណើរការមួយ ហើយប្រភេទអនុវត្តចំពោះវត្ថុដូចជា ថតឯកសារ រន្ធជាដើម។
វត្ថុនិងវត្ថុ - ដំណើរការគឺជាកម្មវត្ថុ និងដំណើរការក្នុងបរិបទជាក់លាក់ ឬដែនសុវត្ថិភាព។ ធនធានប្រព័ន្ធប្រតិបត្តិការ៖ ឯកសារ ថតឯកសារ រន្ធជាដើម គឺជាវត្ថុដែលត្រូវបានចាត់តាំងប្រភេទជាក់លាក់មួយ ម្យ៉ាងវិញទៀត កម្រិតឯកជនភាព។
គោលការណ៍ SELinux - SELinux ប្រើគោលការណ៍ជាច្រើនដើម្បីការពារប្រព័ន្ធ។ គោលការណ៍ SELinux កំណត់ការចូលប្រើរបស់អ្នកប្រើប្រាស់ចំពោះតួនាទី តួនាទីទៅកាន់ដែន និងដែនទៅប្រភេទ។ ដំបូង អ្នកប្រើប្រាស់ត្រូវបានអនុញ្ញាតឱ្យទទួលបានតួនាទី បន្ទាប់មកតួនាទីត្រូវបានអនុញ្ញាតឱ្យចូលប្រើដែន។ ជាចុងក្រោយ ដែនមួយអាចចូលប្រើបានតែប្រភេទមួយចំនួននៃវត្ថុប៉ុណ្ណោះ។

LSM និងស្ថាបត្យកម្ម SELinux

ទោះបីជាមានឈ្មោះក៏ដោយ LSMs ជាទូទៅមិនអាចផ្ទុកម៉ូឌុលលីនុចបានទេ។ ទោះយ៉ាងណាក៏ដោយ ដូចជា SELinux វាត្រូវបានរួមបញ្ចូលដោយផ្ទាល់ទៅក្នុងខឺណែល។ រាល់ការផ្លាស់ប្តូរទៅកូដប្រភព LSM ទាមទារការចងក្រងខឺណែលថ្មី។ ជម្រើសដែលត្រូវគ្នាត្រូវតែបើកនៅក្នុងការកំណត់ខឺណែល បើមិនដូច្នេះទេលេខកូដ LSM នឹងមិនត្រូវបានធ្វើឱ្យសកម្មបន្ទាប់ពីការចាប់ផ្ដើម។ ប៉ុន្តែសូម្បីតែក្នុងករណីនេះ វាអាចត្រូវបានបើកដោយជម្រើសកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការ។

ជង់ពិនិត្យ LSM

LSM ត្រូវបានបំពាក់ដោយទំពក់នៅក្នុងមុខងារខឺណែលស្នូល ដែលអាចពាក់ព័ន្ធសម្រាប់ការត្រួតពិនិត្យ។ លក្ខណៈសំខាន់មួយនៃ LSMs គឺថាពួកវាត្រូវបានដាក់ជង់។ ដូច្នេះការត្រួតពិនិត្យស្តង់ដារនៅតែត្រូវបានអនុវត្ត ហើយស្រទាប់នីមួយៗនៃ LSM គ្រាន់តែបន្ថែមការគ្រប់គ្រង និងការគ្រប់គ្រងបន្ថែមប៉ុណ្ណោះ។ នេះមានន័យថា ការហាមប្រាមមិនអាចដកថយវិញបានទេ។ នេះត្រូវបានបង្ហាញនៅក្នុងរូបភាព ប្រសិនបើលទ្ធផលនៃការត្រួតពិនិត្យ DAC ជាប្រចាំគឺជាការបរាជ័យ នោះបញ្ហានឹងមិនអាចទៅដល់ទំពក់ LSM បានទេ។

SELinux ទទួលយកស្ថាបត្យកម្មសុវត្ថិភាព Flask នៃប្រព័ន្ធប្រតិបត្តិការស្រាវជ្រាវ Fluke ជាពិសេសគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត។ ខ្លឹមសារនៃគំនិតនេះ ដូចដែលឈ្មោះរបស់វាបានបង្ហាញ គឺផ្តល់សិទ្ធិដល់អ្នកប្រើប្រាស់ ឬដំណើរការតែសិទ្ធិទាំងនោះ ដែលចាំបាច់ដើម្បីអនុវត្តសកម្មភាពដែលបានគ្រោងទុក។ គោលការណ៍នេះត្រូវបានអនុវត្តដោយប្រើការវាយបញ្ចូលដោយបង្ខំ ដូច្នេះការគ្រប់គ្រងការចូលប្រើនៅក្នុង SELinux គឺផ្អែកលើ domain => type model។

សូមអរគុណចំពោះការវាយបញ្ចូលដោយបង្ខំ SELinux មានសមត្ថភាពគ្រប់គ្រងការចូលប្រើបានច្រើនជាងគំរូ DAC ប្រពៃណីដែលប្រើក្នុងប្រព័ន្ធប្រតិបត្តិការ Unix/Linux ។ ឧទាហរណ៍ អ្នកអាចកំណត់លេខច្រកបណ្តាញដែលម៉ាស៊ីនមេ ftp នឹងភ្ជាប់ទៅ អនុញ្ញាតឱ្យសរសេរ និងផ្លាស់ប្តូរឯកសារនៅក្នុងថតជាក់លាក់មួយ ប៉ុន្តែមិនលុបពួកវាទេ។

សមាសធាតុសំខាន់ៗរបស់ SELinux គឺ៖

ម៉ាស៊ីនមេអនុវត្តគោលការណ៍ - យន្តការសំខាន់សម្រាប់រៀបចំការគ្រប់គ្រងការចូលប្រើប្រាស់។
មូលដ្ឋានទិន្នន័យគោលនយោបាយសុវត្ថិភាពប្រព័ន្ធ។
អន្តរកម្មជាមួយឧបករណ៍ស្ទាក់ចាប់ព្រឹត្តិការណ៍ LSM ។
Selinuxfs - Pseudo-FS ដូចគ្នានឹង /proc និងបានម៉ោននៅក្នុង /sys/fs/selinux ។ បញ្ចូលថាមវន្តដោយខឺណែលលីនុចនៅពេលដំណើរការ និងមានឯកសារដែលមានព័ត៌មានស្ថានភាព SELinux ។
ចូលប្រើឃ្លាំងសម្ងាត់វ៉ិចទ័រ - យន្តការជំនួយសម្រាប់ការបង្កើនផលិតភាព។

របៀបដែល SELinux ដំណើរការ

វាទាំងអស់ដំណើរការដូចនេះ។

ប្រធានបទជាក់លាក់មួយនៅក្នុងលក្ខខណ្ឌ SELinux អនុវត្តសកម្មភាពដែលត្រូវបានអនុញ្ញាតលើវត្ថុមួយបន្ទាប់ពីការត្រួតពិនិត្យ DAC ដូចដែលបានបង្ហាញក្នុងរូបភាពខាងលើ។ សំណើនេះដើម្បីអនុវត្តប្រតិបត្តិការមួយទៅកាន់ឧបករណ៍ស្ទាក់ចាប់ព្រឹត្តិការណ៍ LSM ។
ពីទីនោះ សំណើរួមជាមួយនឹងប្រធានបទ និងបរិបទសុវត្ថិភាពវត្ថុត្រូវបានបញ្ជូនទៅម៉ូឌុល SELinux Abstraction និង Hook Logic ដែលទទួលខុសត្រូវចំពោះអន្តរកម្មជាមួយ LSM ។
អាជ្ញាធរធ្វើការសម្រេចចិត្តលើការចូលប្រើរបស់ប្រធានបទទៅកាន់វត្ថុមួយគឺ Server Enforcement Server ហើយវាទទួលទិន្នន័យពី SELinux AnHL។
ដើម្បីធ្វើការសំរេចចិត្តអំពីការចូលប្រើ ឬការបដិសេធនោះ Server Enforcement Server ប្រែទៅជាប្រព័ន្ធរងឃ្លាំងសម្ងាត់ Access Vector Cache (AVC) សម្រាប់ច្បាប់ដែលប្រើច្រើនបំផុត។
ប្រសិនបើដំណោះស្រាយសម្រាប់ច្បាប់ដែលត្រូវគ្នាមិនត្រូវបានរកឃើញនៅក្នុងឃ្លាំងសម្ងាត់ នោះសំណើត្រូវបានបញ្ជូនទៅមូលដ្ឋានទិន្នន័យគោលនយោបាយសុវត្ថិភាព។
លទ្ធផលស្វែងរកពីមូលដ្ឋានទិន្នន័យ និង AVC ត្រូវបានត្រលប់ទៅម៉ាស៊ីនមេអនុវត្តគោលការណ៍។
ប្រសិនបើគោលការណ៍ដែលបានរកឃើញត្រូវគ្នានឹងសកម្មភាពដែលបានស្នើសុំ នោះប្រតិបត្តិការត្រូវបានអនុញ្ញាត។ បើមិនដូច្នោះទេប្រតិបត្តិការត្រូវបានហាមឃាត់។

គ្រប់គ្រងការកំណត់ SELinux

SELinux ដំណើរការក្នុងរបៀបមួយក្នុងចំណោមបី៖

ការពង្រឹង - ការប្រកាន់ខ្ជាប់យ៉ាងតឹងរ៉ឹងចំពោះគោលនយោបាយសន្តិសុខ។
ការអនុញ្ញាត - ការបំពានលើការរឹតបន្តឹងត្រូវបានអនុញ្ញាត ចំណាំដែលត្រូវគ្នាត្រូវបានធ្វើឡើងនៅក្នុងទិនានុប្បវត្តិ។
បិទ - គោលការណ៍សុវត្ថិភាពមិនមានប្រសិទ្ធភាពទេ។

អ្នកអាចមើលថាតើ SELinux ស្ថិតក្នុងរបៀបណាដោយប្រើពាក្យបញ្ជាខាងក្រោម។

[admin@server ~]$ getenforce
Permissive

ការផ្លាស់ប្តូររបៀបមុនពេលចាប់ផ្តើមឡើងវិញ ឧទាហរណ៍ កំណត់វាទៅជាការបង្ខំ ឬ 1. ប៉ារ៉ាម៉ែត្រអនុញ្ញាតត្រូវគ្នាទៅនឹងលេខកូដលេខ 0 ។

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

អ្នកក៏អាចផ្លាស់ប្តូររបៀបដោយកែសម្រួលឯកសារ៖

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE=គោលដៅ

ភាពខុសគ្នាជាមួយ setenfoce គឺថានៅពេលដែលប្រព័ន្ធប្រតិបត្តិការចាប់ផ្ដើម មុខងារ SELinux នឹងត្រូវបានកំណត់ស្របតាមតម្លៃនៃប៉ារ៉ាម៉ែត្រ SELINUX នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។ លើសពីនេះ ការផ្លាស់ប្តូរទៅការបង្ខំ <=> បិទដំណើរការបានតែដោយការកែសម្រួលឯកសារ /etc/selinux/config ហើយបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ។

មើលរបាយការណ៍ស្ថានភាពសង្ខេប៖

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
ដើម្បីមើលគុណលក្ខណៈ SELinux ឧបករណ៍ប្រើប្រាស់ស្តង់ដារមួយចំនួនប្រើប៉ារ៉ាម៉ែត្រ -Z ។

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

បើប្រៀបធៀបទៅនឹងលទ្ធផលធម្មតានៃ ls -l មានវាលបន្ថែមជាច្រើនក្នុងទម្រង់ដូចខាងក្រោម៖

<user>:<role>:<type>:<level>

វាលចុងក្រោយបង្ហាញពីអ្វីមួយដូចជាការចាត់ថ្នាក់សុវត្ថិភាព ហើយមានការរួមបញ្ចូលគ្នានៃធាតុពីរ៖

s0 - សារៈសំខាន់ដែលបានសរសេរផងដែរជាចន្លោះកម្រិតទាប-កម្រិតខ្ពស់
c0, c1… c1023 - ប្រភេទ។

ការផ្លាស់ប្តូរការកំណត់ការចូលប្រើ

ប្រើ semodule ដើម្បីផ្ទុក បន្ថែម និងយកម៉ូឌុល SELinux ចេញ។

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

ក្រុមទីមួយ គ្រប់គ្រងការចូល ភ្ជាប់អ្នកប្រើប្រាស់ SELinux ទៅអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ ទីពីរបង្ហាញបញ្ជី។ ជាចុងក្រោយ ពាក្យបញ្ជាចុងក្រោយដែលមានកុងតាក់ -r ដកការគូសផែនទីអ្នកប្រើប្រាស់ SELinux ទៅកាន់គណនី OS ។ ការពន្យល់អំពីវាក្យសម្ព័ន្ធសម្រាប់តម្លៃជួរ MLS/MCS គឺនៅក្នុងផ្នែកមុន។

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
ក្រុមការងារ គ្រប់គ្រងអ្នកប្រើប្រាស់ ប្រើដើម្បីគ្រប់គ្រងការគូសផែនទីរវាងអ្នកប្រើប្រាស់ SELinux និងតួនាទី។

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

ប៉ារ៉ាម៉ែត្រពាក្យបញ្ជា៖

- បន្ថែមធាតុផែនទីតួនាទីផ្ទាល់ខ្លួន;
-l បញ្ជីនៃអ្នកប្រើប្រាស់ដែលត្រូវគ្នា និងតួនាទី;
-d លុបធាតុផែនទីតួនាទីអ្នកប្រើប្រាស់;
-R បញ្ជីតួនាទីដែលភ្ជាប់ជាមួយអ្នកប្រើប្រាស់;

ឯកសារ ច្រក និងតម្លៃប៊ូលីន

ម៉ូឌុល SELinux នីមួយៗផ្តល់នូវសំណុំនៃច្បាប់ដាក់ស្លាកឯកសារ ប៉ុន្តែអ្នកក៏អាចបន្ថែមច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នកប្រសិនបើចាំបាច់។ ឧទាហរណ៍ យើងចង់ឱ្យម៉ាស៊ីនមេគេហទំព័រមានសិទ្ធិចូលប្រើថត /srv/www ។

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

ពាក្យបញ្ជាទីមួយចុះឈ្មោះច្បាប់សម្គាល់ថ្មី ហើយទីពីរកំណត់ឡើងវិញ ឬកំណត់ប្រភេទឯកសារស្របតាមច្បាប់បច្ចុប្បន្ន។

ដូចគ្នាដែរ ច្រក TCP/UDP ត្រូវបានសម្គាល់តាមរបៀបដែលមានតែសេវាកម្មសមស្របប៉ុណ្ណោះដែលអាចស្តាប់បាន។ ឧទាហរណ៍ ដើម្បីឱ្យម៉ាស៊ីនមេបណ្តាញស្តាប់នៅលើច្រក 8080 អ្នកត្រូវដំណើរការពាក្យបញ្ជា។

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

ចំនួនសំខាន់នៃម៉ូឌុល SELinux មានប៉ារ៉ាម៉ែត្រដែលអាចយកតម្លៃប៊ូលីន។ បញ្ជីទាំងមូលនៃប៉ារ៉ាម៉ែត្របែបនេះអាចមើលឃើញដោយប្រើ getsebool -a ។ អ្នកអាចផ្លាស់ប្តូរតម្លៃប៊ូលីនដោយប្រើ setsebool ។

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

សិក្ខាសាលា ទទួលបានការចូលទៅកាន់ចំណុចប្រទាក់បណ្តាញ Pgadmin

សូមក្រឡេកមើលឧទាហរណ៍ជាក់ស្តែង៖ យើងបានដំឡើង pgadmin7.6-web នៅលើ RHEL 4 ដើម្បីគ្រប់គ្រងមូលដ្ឋានទិន្នន័យ PostgreSQL ។ យើងដើរបន្តិច ដំណើរស្វែងរក ជាមួយនឹងការកំណត់របស់ pg_hba.conf, postgresql.conf និង config_local.py កំណត់ការអនុញ្ញាតថត ដំឡើងម៉ូឌុល Python ដែលបាត់ពី pip ។ អ្វីគ្រប់យ៉ាងគឺរួចរាល់ យើងចាប់ផ្តើម និងទទួល 500 កំហុសម៉ាស៊ីនមេខាងក្នុង.

យើងចាប់ផ្តើមជាមួយជនសង្ស័យធម្មតា ពិនិត្យមើល /var/log/httpd/error_log ។ មានធាតុគួរឱ្យចាប់អារម្មណ៍មួយចំនួននៅទីនោះ។

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

នៅចំណុចនេះ អ្នកគ្រប់គ្រងលីនុចភាគច្រើននឹងត្រូវបានល្បួងយ៉ាងខ្លាំងឱ្យដំណើរការ setencorce 0 ហើយនោះនឹងជាទីបញ្ចប់របស់វា។ និយាយឱ្យត្រង់ទៅ ខ្ញុំបានធ្វើវាជាលើកដំបូង។ នេះក៏ជាផ្លូវចេញដែរ ប៉ុន្តែនៅឆ្ងាយពីល្អបំផុត។

ទោះបីជាការរចនាដ៏ស្មុគស្មាញក៏ដោយ SELinux អាចងាយស្រួលប្រើ។ គ្រាន់តែដំឡើងកញ្ចប់ setroubleshoot ហើយមើលកំណត់ហេតុប្រព័ន្ធ។

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

សូមចំណាំថាសេវាកម្មសវនកម្មត្រូវតែចាប់ផ្តើមឡើងវិញតាមវិធីនេះ និងមិនប្រើ systemctl ទោះបីជាមានវត្តមាន systemd នៅក្នុង OS ក៏ដោយ។ នៅក្នុងកំណត់ហេតុប្រព័ន្ធ នឹងត្រូវបានចង្អុលបង្ហាញ មិនត្រឹមតែការពិតនៃការទប់ស្កាត់ប៉ុណ្ណោះទេប៉ុន្តែក៏ជាហេតុផលនិង វិធីដើម្បីយកឈ្នះការហាមឃាត់.

យើងប្រតិបត្តិពាក្យបញ្ជាទាំងនេះ៖

[admin@server ~]$ setsebool -P httpd_can_network_connect 1 [admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

យើងពិនិត្យមើលការចូលទៅកាន់គេហទំព័រ pgadmin4-web page អ្វីៗដំណើរការ។

ប្រភព: www.habr.com

ប្រព័ន្ធសុវត្ថិភាពលីនុច