ການ​ແປ​ບົດ​ຄວາມ​ທີ່​ໄດ້​ກະ​ກຽມ​ສໍາ​ລັບ​ນັກ​ຮຽນ​ຫຼັກ​ສູດ​ "ຄວາມປອດໄພ Linux»

SELinux ຫຼື ຄວາມປອດໄພທີ່ເພີ່ມຂຶ້ນ Linux MAC ແມ່ນກົນໄກຄວບຄຸມການເຂົ້າເຖິງທີ່ໄດ້ຮັບການປັບປຸງ ເຊິ່ງພັດທະນາໂດຍອົງການຄວາມໝັ້ນຄົງແຫ່ງຊາດຂອງສະຫະລັດ (NSA) ເພື່ອປ້ອງກັນການບຸກລຸກທີ່ເປັນອັນຕະລາຍ. ມັນໃຊ້ຮູບແບບການຄວບຄຸມການເຂົ້າເຖິງແບບບັງຄັບ (MAC) ນອກເໜືອໄປຈາກຮູບແບບການຄວບຄຸມການເຂົ້າເຖິງແບບຕັດສິນໃຈ (DAC) ທີ່ມີຢູ່ແລ້ວ ເຊິ່ງລວມມີການອະນຸຍາດອ່ານ, ຂຽນ ແລະ ປະຕິບັດ.

ທີ່ SELinux ມີສາມໂໝດຄື:

1. ການບັງຄັບໃຊ້ — ການປະຕິເສດການເຂົ້າເຖິງໂດຍອີງໃສ່ກົດລະບຽບນະໂຍບາຍ.
2. ອະນຸຍາດ — ການ​ຮັກ​ສາ​ບັນ​ທຶກ​ຂອງ​ການ​ກະ​ທໍາ​ທີ່​ລະ​ເມີດ​ນະ​ໂຍ​ບາຍ​, ທີ່​ຈະ​ຖືກ​ຫ້າມ​ໃນ​ຮູບ​ແບບ​ການ​ບັງ​ຄັບ​ໃຊ້​.
3. ຄົນພິການ - ການປິດ SE ຢ່າງສົມບູນLinux.

ໂດຍຄ່າເລີ່ມຕົ້ນການຕັ້ງຄ່າແມ່ນຢູ່ໃນ /etc/selinux/config

ການປ່ຽນໂໝດ SELinux

ເພື່ອຊອກຫາຮູບແບບປະຈຸບັນ, ດໍາເນີນການ

$ getenforce

ເພື່ອປ່ຽນໂຫມດເພື່ອອະນຸຍາດໃຫ້ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້

$ setenforce 0

ຫຼື, ປ່ຽນຮູບແບບຈາກ permissive ສຸດ ບັງຄັບ, ປະຕິບັດ

$ setenforce 1

ຖ້າທ່ານຕ້ອງການປິດການໃຊ້ງານ SE ຢ່າງສົມບູນLinux, ຫຼັງຈາກນັ້ນສິ່ງນີ້ສາມາດເຮັດໄດ້ຜ່ານໄຟລ໌ການຕັ້ງຄ່າເທົ່ານັ້ນ

$ vi /etc/selinux/config

ເພື່ອປິດການໃຊ້ງານ, ໃຫ້ປ່ຽນພາລາມິເຕີ SELINUX ດັ່ງຕໍ່ໄປນີ້:

SELINUX=disabled

ການຕັ້ງຄ່າ SELinux

ແຕ່ລະໄຟລ໌ ແລະ ຂະບວນການຖືກໝາຍດ້ວຍບໍລິບົດ SELinux, ເຊິ່ງປະກອບດ້ວຍຂໍ້ມູນເພີ່ມເຕີມເຊັ່ນ: ຜູ້ໃຊ້, ບົດບາດ, ປະເພດ, ແລະອື່ນໆ. ຖ້າທ່ານເປີດໃຊ້ SE ເປັນຄັ້ງທຳອິດLinux, ຈາກນັ້ນກ່ອນອື່ນໝົດທ່ານຈຳເປັນຕ້ອງຕັ້ງຄ່າບໍລິບົດ ແລະ ປ້າຍກຳກັບ. ຂະບວນການກຳນົດປ້າຍກຳກັບ ແລະ ບໍລິບົດແມ່ນເປັນທີ່ຮູ້ຈັກກັນໃນນາມການຕິດປ້າຍກຳກັບ. ເພື່ອເລີ່ມຕົ້ນການຕິດປ້າຍກຳກັບ, ໃຫ້ປ່ຽນໂໝດໃນໄຟລ໌ການຕັ້ງຄ່າເປັນ permissive.

$ vi /etc/selinux/config
SELINUX=permissive

ຫຼັງຈາກການຕັ້ງຄ່າໂຫມດ permissive, ສ້າງໄຟລ໌ທີ່ເຊື່ອງໄວ້ຫວ່າງເປົ່າຢູ່ໃນຮາກທີ່ມີຊື່ autorelabel

$ touch /.autorelabel

ແລະປິດເປີດຄອມພິວເຕີຄືນໃໝ່

$ init 6

ຫມາຍເຫດ: ພວກເຮົາໃຊ້ໂຫມດ permissive ສໍາລັບເຄື່ອງຫມາຍ, ນັບຕັ້ງແຕ່ການນໍາໃຊ້ຮູບແບບ ບັງຄັບ ອາດເຮັດໃຫ້ລະບົບຂັດຂ້ອງໃນລະຫວ່າງການປິດເປີດໃໝ່.

ບໍ່ຕ້ອງເປັນຫ່ວງຖ້າການດາວໂຫຼດຕິດຢູ່ໃນບາງໄຟລ໌, ການເຮັດເຄື່ອງໝາຍໃຊ້ເວລາໄລຍະໜຶ່ງ. ເມື່ອເຄື່ອງຫມາຍສໍາເລັດແລະລະບົບຂອງທ່ານຖືກ booted, ທ່ານສາມາດໄປທີ່ໄຟລ໌ການຕັ້ງຄ່າແລະກໍານົດໂຫມດ ບັງຄັບແລະ​ຍັງ​ດໍາ​ເນີນ​ການ​:

$ setenforce 1

ດຽວນີ້ທ່ານໄດ້ເປີດໃຊ້ SE ສຳເລັດແລ້ວLinux ຢູ່ໃນຄອມພິວເຕີຂອງທ່ານ.

ຕິດ​ຕາມ​ກວດ​ກາ​ບັນ​ທຶກ​

ທ່ານອາດຈະພົບຂໍ້ຜິດພາດບາງຢ່າງໃນລະຫວ່າງການຕິດສະຫຼາກ ຫຼື ໃນຂະນະທີ່ລະບົບກຳລັງເຮັດວຽກ. ເພື່ອກວດສອບວ່າ SE ຂອງທ່ານເຮັດວຽກຫຼືບໍ່Linux ທ່ານຈໍາເປັນຕ້ອງກວດສອບບັນທຶກເພື່ອເບິ່ງວ່າມັນຖືກຕ້ອງຫຼືບໍ່ ແລະ ມັນບລັອກການເຂົ້າເຖິງພອດ, ແອັບພລິເຄຊັນ, ແລະອື່ນໆ. ບັນທຶກ SELinux ແມ່ນຢູ່ໃນ /var/log/audit/audit.log, ແຕ່ທ່ານບໍ່ຈໍາເປັນຕ້ອງອ່ານເລື່ອງທັງຫມົດເພື່ອຊອກຫາຂໍ້ຜິດພາດ. ທ່ານສາມາດໃຊ້ audit2why utility ເພື່ອຊອກຫາຂໍ້ຜິດພາດ. ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:

$ audit2why < /var/log/audit/audit.log

ດັ່ງນັ້ນ, ທ່ານຈະໄດ້ຮັບບັນຊີລາຍຊື່ຂອງຄວາມຜິດພາດ. ຖ້າບໍ່ມີຂໍ້ຜິດພາດໃນບັນທຶກ, ຫຼັງຈາກນັ້ນຈະບໍ່ສະແດງຂໍ້ຄວາມໃດໆ.

ການຕັ້ງຄ່ານະໂຍບາຍ SELinux

ນະໂຍບາຍ SELinux — ແມ່ນຊຸດກົດລະບຽບທີ່ນຳພາກົນໄກຄວາມປອດໄພຂອງ SELinuxນະໂຍບາຍກຳນົດຊຸດກົດລະບຽບສຳລັບສະພາບແວດລ້ອມສະເພາະ. ຕອນນີ້ພວກເຮົາຈະຮຽນຮູ້ວິທີການຕັ້ງຄ່ານະໂຍບາຍເພື່ອອະນຸຍາດການເຂົ້າເຖິງການບໍລິການທີ່ຖືກຈຳກັດ.

1. ຄ່າຕາມເຫດຜົນ (ສະວິດ)

ບູລຽນຊ່ວຍໃຫ້ທ່ານສາມາດປ່ຽນແປງສ່ວນຕ່າງໆຂອງນະໂຍບາຍໃນເວລາເຮັດວຽກ, ໂດຍບໍ່ຕ້ອງສ້າງນະໂຍບາຍໃໝ່. ພວກມັນຊ່ວຍໃຫ້ທ່ານສາມາດປ່ຽນແປງໄດ້ໂດຍບໍ່ຕ້ອງຣີບູດ ຫຼື ລວບລວມນະໂຍບາຍ SE ຄືນໃໝ່.Linux.

ຕົວຢ່າງ:
ສົມມຸດວ່າພວກເຮົາຕ້ອງການແບ່ງປັນໄດເລກະທໍລີຫຼັກຂອງຜູ້ໃຊ້ຜ່ານ FTP ສຳລັບການເຂົ້າເຖິງການອ່ານ ແລະ ຂຽນ, ແລະພວກເຮົາໄດ້ແບ່ງປັນມັນແລ້ວ, ແຕ່ເມື່ອພວກເຮົາພະຍາຍາມເຂົ້າເຖິງມັນ, ພວກເຮົາບໍ່ເຫັນຫຍັງເລີຍ. ນີ້ແມ່ນຍ້ອນວ່ານະໂຍບາຍ SELinux ປ້ອງກັນບໍ່ໃຫ້ເຊີບເວີ FTP ອ່ານ ແລະ ຂຽນໃສ່ໄດເລກະທໍລີຫຼັກຂອງຜູ້ໃຊ້. ພວກເຮົາຈຳເປັນຕ້ອງປ່ຽນແປງນະໂຍບາຍເພື່ອໃຫ້ເຊີບເວີ FTP ສາມາດເຂົ້າເຖິງໄດເລກະທໍລີຫຼັກໄດ້. ລອງເບິ່ງວ່າມີສະວິດໃດໆສຳລັບສິ່ງນີ້ໂດຍການໃຊ້

$ semanage boolean -l

ຄໍາສັ່ງນີ້ຈະສະແດງລາຍຊື່ສະວິດທີ່ມີຢູ່ກັບສະຖານະປະຈຸບັນຂອງພວກເຂົາ (ເປີດຫຼືປິດ) ແລະຄໍາອະທິບາຍ. ທ່ານສາມາດປັບປຸງການຄົ້ນຫາຂອງທ່ານໂດຍການເພີ່ມ grep ເພື່ອຊອກຫາຜົນໄດ້ຮັບ ftp ເທົ່ານັ້ນ:

$ semanage boolean -l | grep ftp

ແລະທ່ານຈະພົບເຫັນດັ່ງຕໍ່ໄປນີ້

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

ສະວິດນີ້ຖືກປິດໃຊ້ງານ, ດັ່ງນັ້ນພວກເຮົາຈະເປີດໃຊ້ມັນດ້ວຍ setsebool $ setsebool ftp_home_dir on

ໃນປັດຈຸບັນ ftp daemon ຂອງພວກເຮົາຈະສາມາດເຂົ້າເຖິງໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້ໄດ້.
ຫມາຍເຫດ: ທ່ານຍັງສາມາດໄດ້ຮັບບັນຊີລາຍຊື່ຂອງສະຫວິດທີ່ມີຢູ່ໂດຍບໍ່ມີຄໍາອະທິບາຍໂດຍການເຮັດ getsebool -a

2. ປ້າຍກຳກັບ ແລະ ບໍລິບົດ

ນີ້ແມ່ນວິທີການທົ່ວໄປທີ່ສຸດໃນການຈັດຕັ້ງປະຕິບັດນະໂຍບາຍ SE.Linuxແຕ່ລະໄຟລ໌, ໂຟນເດີ, ຂະບວນການ ແລະ ພອດແມ່ນຖືກໝາຍດ້ວຍບໍລິບົດ SE.Linux:

• ສຳລັບໄຟລ໌ ແລະໂຟນເດີ້ຕ່າງໆ, ປ້າຍກຳກັບຖືກເກັບໄວ້ເປັນຄຸນລັກສະນະຂະຫຍາຍຢູ່ໃນລະບົບໄຟລ໌ ແລະສາມາດເບິ່ງໄດ້ດ້ວຍຄຳສັ່ງຕໍ່ໄປນີ້:

  $ ls -Z /etc/httpd

• ສໍາລັບຂະບວນການແລະພອດ, ການຕິດສະຫຼາກຖືກຈັດການໂດຍ kernel, ແລະທ່ານສາມາດເບິ່ງປ້າຍຊື່ເຫຼົ່ານີ້ດັ່ງຕໍ່ໄປນີ້:

ຂະບວນການ

$ ps –auxZ | grep httpd

ທ່າເຮືອ

$ netstat -anpZ | grep httpd

ຕົວຢ່າງ:
ບັດນີ້, ລອງມາເບິ່ງຕົວຢ່າງເພື່ອເຂົ້າໃຈປ້າຍກຳກັບ ແລະ ສະພາບການໃຫ້ດີຂຶ້ນ. ສົມມຸດວ່າພວກເຮົາມີ ເວັບເຊີບເວີ, ເຊິ່ງແທນທີ່ຈະເປັນລາຍການ /var/www/html/ использует /home/dan/html/. SELinux ຈະພິຈາລະນາວ່ານີ້ເປັນການລະເມີດນະໂຍບາຍ, ແລະທ່ານຈະບໍ່ສາມາດເບິ່ງໜ້າເວັບຂອງທ່ານໄດ້. ນີ້ແມ່ນຍ້ອນວ່າພວກເຮົາຍັງບໍ່ທັນໄດ້ຕັ້ງຄ່າບໍລິບົດຄວາມປອດໄພທີ່ກ່ຽວຂ້ອງກັບໄຟລ໌ HTML. ເພື່ອເບິ່ງບໍລິບົດຄວາມປອດໄພເລີ່ມຕົ້ນ, ໃຫ້ໃຊ້ຄຳສັ່ງຕໍ່ໄປນີ້:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

ທີ່ນີ້ພວກເຮົາໄດ້ຮັບ httpd_sys_content_t ເປັນບໍລິບົດສໍາລັບໄຟລ໌ html. ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ກໍານົດສະພາບການຄວາມປອດໄພນີ້ສໍາລັບໄດເລກະທໍລີປະຈຸບັນຂອງພວກເຮົາ, ເຊິ່ງປະຈຸບັນມີສະພາບການດັ່ງຕໍ່ໄປນີ້:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ຄໍາສັ່ງທາງເລືອກໃນການກວດສອບສະພາບການຄວາມປອດໄພຂອງໄຟລ໌ຫຼືໄດເລກະທໍລີ:

$ semanage fcontext -l | grep '/var/www'

ພວກເຮົາຍັງຈະໃຊ້ semanage ເພື່ອປ່ຽນບໍລິບົດເມື່ອພວກເຮົາພົບເຫັນບໍລິບົດຄວາມປອດໄພທີ່ຖືກຕ້ອງ. ເພື່ອປ່ຽນບໍລິບົດຂອງ /home/dan/html, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

ຫຼັງຈາກບໍລິບົດຖືກປ່ຽນແປງໂດຍໃຊ້ semanage, ຄໍາສັ່ງ restorecon ຈະໂຫລດບໍລິບົດເລີ່ມຕົ້ນສໍາລັບໄຟລ໌ແລະໄດເລກະທໍລີ. ເຄື່ອງແມ່ຂ່າຍເວັບຂອງພວກເຮົາໃນປັດຈຸບັນຈະສາມາດອ່ານໄຟລ໌ຈາກໂຟນເດີ /home/dan/htmlເນື່ອງຈາກວ່າບໍລິບົດຄວາມປອດໄພສໍາລັບໂຟນເດີນີ້ໄດ້ຖືກປ່ຽນເປັນ httpd_sys_content_t.

3. ສ້າງນະໂຍບາຍທ້ອງຖິ່ນ

ອາດຈະມີສະຖານະການທີ່ວິທີການຂ້າງເທິງນີ້ບໍ່ມີປະໂຫຍດຕໍ່ເຈົ້າແລະເຈົ້າໄດ້ຮັບຂໍ້ຜິດພາດ (avc/denial) ໃນ audit.log. ເມື່ອສິ່ງດັ່ງກ່າວເກີດຂຶ້ນ, ທ່ານຈໍາເປັນຕ້ອງສ້າງນະໂຍບາຍທ້ອງຖິ່ນ. ທ່ານສາມາດຊອກຫາຂໍ້ຜິດພາດທັງຫມົດໂດຍໃຊ້ audit2why, ດັ່ງທີ່ໄດ້ອະທິບາຍຂ້າງເທິງ.

ທ່ານສາມາດສ້າງນະໂຍບາຍທ້ອງຖິ່ນເພື່ອແກ້ໄຂຂໍ້ຜິດພາດ. ຕົວຢ່າງ, ພວກເຮົາໄດ້ຮັບຄວາມຜິດພາດທີ່ກ່ຽວຂ້ອງກັບ httpd (apache) ຫຼື smbd (samba), ພວກເຮົາ grep ຂໍ້ຜິດພາດແລະສ້າງນະໂຍບາຍສໍາລັບພວກເຂົາ:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

ມັນເປັນ http_policy и smb_policy — ເຫຼົ່ານີ້ແມ່ນຊື່ຂອງນະໂຍບາຍທ້ອງຖິ່ນທີ່ພວກເຮົາສ້າງຂຶ້ນ. ດຽວນີ້ພວກເຮົາຈຳເປັນຕ້ອງໂຫຼດນະໂຍບາຍທ້ອງຖິ່ນທີ່ສ້າງຂຶ້ນເຫຼົ່ານີ້ເຂົ້າໃນນະໂຍບາຍ SE ປັດຈຸບັນ.Linux. ນີ້ສາມາດເຮັດໄດ້ດັ່ງຕໍ່ໄປນີ້:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

ນະໂຍບາຍທ້ອງຖິ່ນຂອງພວກເຮົາໄດ້ຖືກດາວໂຫຼດແລ້ວ ແລະພວກເຮົາບໍ່ຄວນໄດ້ຮັບ avc ຫຼື denail ໃນ audit.log ອີກຕໍ່ໄປ.

ນີ້ແມ່ນຄວາມພະຍາຍາມຂອງຂ້ອຍທີ່ຈະຊ່ວຍໃຫ້ເຈົ້າເຂົ້າໃຈ SELinuxຂ້ອຍຫວັງວ່າຫຼັງຈາກອ່ານບົດຄວາມນີ້ແລ້ວເຈົ້າຈະຮູ້ສຶກສະບາຍໃຈກັບ SELinux ສະດວກສະບາຍຫຼາຍຂຶ້ນ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com