수강생을 위해 준비한 기사 번역 "리눅스 보안"

SELinux 또는 Security Enhanced Linux는 악의적인 침입을 방지하기 위해 미국 NSA(국가 안보국)에서 개발한 향상된 액세스 제어 메커니즘입니다. 기존의 임의(또는 선택) 모델(English Discretionary Access Control, DAC) 위에 강제(또는 필수) 액세스 제어 모델(English Mandatory Access Control, MAC), 즉 읽기, 쓰기, 실행 권한을 구현합니다.

SELinux에는 세 가지 모드가 있습니다.

1. 시행 — 정책 규칙에 따라 액세스가 거부됩니다.
2. 관대한 — 시행 모드에서는 금지되는 정책을 위반하는 행위에 대한 로그를 유지합니다.
3. 장애인 — SELinux를 완전히 비활성화합니다.

기본적으로 설정은 다음과 같습니다. /etc/selinux/config

SELinux 모드 변경

현재 모드를 확인하려면 다음을 실행하세요.

$ getenforce

모드를 허용으로 변경하려면 다음 명령을 실행하십시오.

$ setenforce 0

또는 모드를 다음에서 변경하려면 관대 한 에 시행, 실행하다

$ setenforce 1

SELinux를 완전히 비활성화해야 하는 경우 구성 파일을 통해서만 수행할 수 있습니다.

$ vi /etc/selinux/config

비활성화하려면 SELINUX 매개변수를 다음과 같이 변경하십시오.

SELINUX=disabled

SELinux 설정

각 파일과 프로세스는 사용자, 역할, 유형 등과 같은 추가 정보가 포함된 SELinux 컨텍스트로 표시됩니다. SELinux를 처음 활성화하는 경우 먼저 컨텍스트와 레이블을 구성해야 합니다. 레이블과 컨텍스트를 할당하는 프로세스를 태그 지정이라고 합니다. 표시를 시작하려면 구성 파일에서 모드를 다음으로 변경합니다. 관대 한.

$ vi /etc/selinux/config
SELINUX=permissive

모드를 설정한 후 관대 한, 루트에 다음 이름의 빈 숨겨진 파일을 만듭니다. autorelabel

$ touch /.autorelabel

그리고 컴퓨터를 다시 시작하세요

$ init 6

참고: 우리는 모드를 사용합니다 관대 한 마킹용, 모드 사용 이후 시행 재부팅하는 동안 시스템이 충돌할 수 있습니다.

일부 파일에서 다운로드가 중단되는 경우 표시하는 데 시간이 걸리므로 걱정하지 마십시오. 표시가 완료되고 시스템이 부팅되면 구성 파일로 이동하여 모드를 설정할 수 있습니다 시행또한 다음을 실행합니다.

$ setenforce 1

이제 컴퓨터에서 SELinux를 성공적으로 활성화했습니다.

로그 모니터링

표시하는 동안이나 시스템이 실행되는 동안 일부 오류가 발생할 수 있습니다. SELinux가 올바르게 작동하는지 확인하고 포트, 애플리케이션 등에 대한 액세스를 차단하지 않는지 확인하려면 로그를 살펴봐야 합니다. SELinux 로그는 다음 위치에 있습니다. /var/log/audit/audit.log, 그러나 오류를 찾기 위해 전체 내용을 읽을 필요는 없습니다. audit2why 유틸리티를 사용하여 오류를 찾을 수 있습니다. 다음 명령을 실행하십시오.

$ audit2why < /var/log/audit/audit.log

결과적으로 오류 목록을 받게 됩니다. 로그에 오류가 없으면 메시지가 표시되지 않습니다.

SELinux 정책 구성

SELinux 정책은 SELinux 보안 메커니즘을 관리하는 규칙 집합입니다. 정책은 특정 환경에 대한 규칙 집합을 정의합니다. 이제 금지된 서비스에 대한 접근을 허용하는 정책을 구성하는 방법을 알아 보겠습니다.

1. 논리값(스위치)

스위치(부울)를 사용하면 새 정책을 생성할 필요 없이 런타임 시 정책의 일부를 변경할 수 있습니다. SELinux 정책을 재부팅하거나 다시 컴파일하지 않고도 변경할 수 있습니다.

예
FTP 읽기/쓰기를 통해 사용자의 홈 디렉토리를 공유하려고 하고 이미 공유했지만 액세스하려고 하면 아무것도 표시되지 않는다고 가정해 보겠습니다. 이는 SELinux 정책이 FTP 서버가 사용자의 홈 디렉터리를 읽고 쓰는 것을 방지하기 때문입니다. FTP 서버가 홈 디렉터리에 액세스할 수 있도록 정책을 변경해야 합니다. 다음을 수행하여 이를 위한 스위치가 있는지 살펴보겠습니다.

$ semanage boolean -l

이 명령은 현재 상태(켜짐 또는 꺼짐) 및 설명과 함께 사용 가능한 스위치를 나열합니다. FTP 전용 결과를 찾으려면 grep을 추가하여 검색을 구체화할 수 있습니다.

$ semanage boolean -l | grep ftp

그리고 당신은 다음을 찾을 것입니다

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

이 스위치는 비활성화되어 있으므로 다음을 사용하여 활성화하겠습니다. setsebool $ setsebool ftp_home_dir on

이제 우리의 ftp 데몬은 사용자의 홈 디렉토리에 접근할 수 있을 것입니다.
참고: 다음을 수행하여 설명 없이 사용 가능한 스위치 목록을 얻을 수도 있습니다. getsebool -a

2. 라벨과 맥락

이는 SELinux 정책을 구현하는 가장 일반적인 방법입니다. 모든 파일, 폴더, 프로세스 및 포트는 SELinux 컨텍스트로 표시됩니다.

• 파일 및 폴더의 경우 레이블은 파일 시스템에 확장 속성으로 저장되며 다음 명령을 사용하여 볼 수 있습니다.

  $ ls -Z /etc/httpd

• 프로세스 및 포트의 경우 레이블 지정은 커널에서 관리되며 다음과 같이 이러한 레이블을 볼 수 있습니다.

방법

$ ps –auxZ | grep httpd

항구

$ netstat -anpZ | grep httpd

예
이제 레이블과 컨텍스트를 더 잘 이해하기 위해 예를 살펴보겠습니다. 디렉토리 대신 웹 서버가 있다고 가정해 보겠습니다. /var/www/html/ использует /home/dan/html/. SELinux는 이를 정책 위반으로 간주하여 웹페이지를 볼 수 없게 됩니다. 이는 HTML 파일과 관련된 보안 컨텍스트를 설정하지 않았기 때문입니다. 기본 보안 컨텍스트를 보려면 다음 명령을 사용하십시오.

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

여기 있어요 httpd_sys_content_t HTML 파일의 컨텍스트로. 현재 다음 컨텍스트가 있는 현재 디렉터리에 대해 이 보안 컨텍스트를 설정해야 합니다.

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

파일이나 디렉터리의 보안 컨텍스트를 확인하는 대체 명령은 다음과 같습니다.

$ semanage fcontext -l | grep '/var/www'

또한 올바른 보안 컨텍스트를 찾으면 semanage를 사용하여 컨텍스트를 변경합니다. /home/dan/html의 컨텍스트를 변경하려면 다음 명령을 실행하십시오.

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

semanage를 사용하여 컨텍스트가 변경된 후, Restorecon 명령은 파일 및 디렉터리에 대한 기본 컨텍스트를 로드합니다. 이제 웹 서버가 폴더에서 파일을 읽을 수 있습니다. /home/dan/html이 폴더의 보안 컨텍스트가 다음으로 변경되었기 때문입니다. httpd_sys_content_t.

3. 로컬 정책 만들기

위 방법이 소용이 없고 audit.log에 오류(avc/denial)가 발생하는 상황이 있을 수 있습니다. 이런 일이 발생하면 로컬 정책을 만들어야 합니다. 위에서 설명한 대로 audit2why를 사용하여 모든 오류를 찾을 수 있습니다.

오류를 해결하기 위해 로컬 정책을 생성할 수 있습니다. 예를 들어 httpd(apache) 또는 smbd(samba)와 관련된 오류가 발생하면 오류를 파악하고 이에 대한 정책을 만듭니다.

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

여기에 http_policy и smb_policy 우리가 만든 로컬 정책의 이름입니다. 이제 생성된 로컬 정책을 현재 SELinux 정책에 로드해야 합니다. 이 작업은 다음과 같이 수행할 수 있습니다.

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

로컬 정책이 다운로드되었으므로 더 이상 audit.log에서 avc 또는 denail을 수신할 수 없습니다.

이것은 SELinux를 이해하는 데 도움을 주기 위한 나의 시도였습니다. 이 기사를 읽은 후에는 SELinux에 대해 좀 더 익숙해지기를 바랍니다.

출처 : habr.com