ການ​ແປ​ບົດ​ຄວາມ​ທີ່​ໄດ້​ກະ​ກຽມ​ສໍາ​ລັບ​ນັກ​ຮຽນ​ຫຼັກ​ສູດ​ "ຄວາມປອດໄພ Linux"

SELinux ຫຼື Security Enhanced Linux ແມ່ນກົນໄກການຄວບຄຸມການເຂົ້າເຖິງທີ່ປັບປຸງພັດທະນາໂດຍອົງການຄວາມປອດໄພແຫ່ງຊາດສະຫະລັດ (NSA) ເພື່ອປ້ອງກັນການບຸກລຸກທີ່ເປັນອັນຕະລາຍ. ມັນປະຕິບັດແບບບັງຄັບ (ຫຼືບັງຄັບ) ການຄວບຄຸມການເຂົ້າເຖິງ (ພາສາອັງກິດ Mandatory Access Control, MAC) ຢູ່ເທິງສຸດຂອງຮູບແບບການຕັດສິນໃຈ (ຫຼືເລືອກ) ທີ່ມີຢູ່ແລ້ວ (ພາສາອັງກິດ Discretionary Access Control, DAC), ນັ້ນແມ່ນ, ການອະນຸຍາດໃຫ້ອ່ານ, ຂຽນ, ປະຕິບັດ.

SELinux ມີສາມໂຫມດ:

1. ການບັງຄັບໃຊ້ — ການປະຕິເສດການເຂົ້າເຖິງໂດຍອີງໃສ່ກົດລະບຽບນະໂຍບາຍ.
2. ອະນຸຍາດ — ການ​ຮັກ​ສາ​ບັນ​ທຶກ​ຂອງ​ການ​ກະ​ທໍາ​ທີ່​ລະ​ເມີດ​ນະ​ໂຍ​ບາຍ​, ທີ່​ຈະ​ຖືກ​ຫ້າມ​ໃນ​ຮູບ​ແບບ​ການ​ບັງ​ຄັບ​ໃຊ້​.
3. ຄົນພິການ - ປິດການໃຊ້ງານ SELinux ຢ່າງສົມບູນ.

ໂດຍຄ່າເລີ່ມຕົ້ນການຕັ້ງຄ່າແມ່ນຢູ່ໃນ /etc/selinux/config

ກຳລັງປ່ຽນໂໝດ SELinux

ເພື່ອຊອກຫາຮູບແບບປະຈຸບັນ, ດໍາເນີນການ

$ getenforce

ເພື່ອປ່ຽນໂຫມດເພື່ອອະນຸຍາດໃຫ້ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້

$ setenforce 0

ຫຼື, ປ່ຽນຮູບແບບຈາກ permissive ສຸດ ບັງຄັບ, ປະຕິບັດ

$ setenforce 1

ຖ້າທ່ານຕ້ອງການປິດການໃຊ້ງານ SELinux ຢ່າງສົມບູນ, ຫຼັງຈາກນັ້ນພຽງແຕ່ສາມາດເຮັດໄດ້ໂດຍຜ່ານໄຟລ໌ການຕັ້ງຄ່າ

$ vi /etc/selinux/config

ເພື່ອປິດການໃຊ້ງານ, ໃຫ້ປ່ຽນພາລາມິເຕີ SELINUX ດັ່ງຕໍ່ໄປນີ້:

SELINUX=disabled

ຕັ້ງຄ່າ SELinux

ແຕ່ລະໄຟລ໌ແລະຂະບວນການຖືກຫມາຍດ້ວຍບໍລິບົດ SELinux, ເຊິ່ງປະກອບດ້ວຍຂໍ້ມູນເພີ່ມເຕີມເຊັ່ນ: ຜູ້ໃຊ້, ບົດບາດ, ປະເພດ, ແລະອື່ນໆ. ຖ້ານີ້ແມ່ນຄັ້ງທຳອິດທີ່ເຈົ້າເປີດໃຊ້ SELinux, ກ່ອນອື່ນໝົດເຈົ້າຈະຕ້ອງກຳນົດຄ່າບໍລິບົດ ແລະປ້າຍກຳກັບ. ຂະບວນການມອບໝາຍປ້າຍກຳກັບ ແລະບໍລິບົດແມ່ນເອີ້ນວ່າການຕິດແທັກ. ເພື່ອເລີ່ມຕົ້ນການຫມາຍ, ໃນໄຟລ໌ການຕັ້ງຄ່າພວກເຮົາປ່ຽນຮູບແບບເປັນ permissive.

$ vi /etc/selinux/config
SELINUX=permissive

ຫຼັງຈາກການຕັ້ງຄ່າໂຫມດ permissive, ສ້າງໄຟລ໌ທີ່ເຊື່ອງໄວ້ຫວ່າງເປົ່າຢູ່ໃນຮາກທີ່ມີຊື່ autorelabel

$ touch /.autorelabel

ແລະປິດເປີດຄອມພິວເຕີຄືນໃໝ່

$ init 6

ຫມາຍເຫດ: ພວກເຮົາໃຊ້ໂຫມດ permissive ສໍາລັບເຄື່ອງຫມາຍ, ນັບຕັ້ງແຕ່ການນໍາໃຊ້ຮູບແບບ ບັງຄັບ ອາດເຮັດໃຫ້ລະບົບຂັດຂ້ອງໃນລະຫວ່າງການປິດເປີດໃໝ່.

ບໍ່ຕ້ອງເປັນຫ່ວງຖ້າການດາວໂຫຼດຕິດຢູ່ໃນບາງໄຟລ໌, ການເຮັດເຄື່ອງໝາຍໃຊ້ເວລາໄລຍະໜຶ່ງ. ເມື່ອເຄື່ອງຫມາຍສໍາເລັດແລະລະບົບຂອງທ່ານຖືກ booted, ທ່ານສາມາດໄປທີ່ໄຟລ໌ການຕັ້ງຄ່າແລະກໍານົດໂຫມດ ບັງຄັບແລະ​ຍັງ​ດໍາ​ເນີນ​ການ​:

$ setenforce 1

ຕອນນີ້ທ່ານໄດ້ເປີດໃຊ້ SELinux ໃນຄອມພິວເຕີຂອງທ່ານສຳເລັດແລ້ວ.

ຕິດ​ຕາມ​ກວດ​ກາ​ບັນ​ທຶກ​

ທ່ານອາດຈະໄດ້ພົບກັບຄວາມຜິດພາດບາງຢ່າງໃນລະຫວ່າງການຫມາຍຫຼືໃນຂະນະທີ່ລະບົບກໍາລັງເຮັດວຽກ. ເພື່ອກວດເບິ່ງວ່າ SELinux ຂອງທ່ານເຮັດວຽກຢ່າງຖືກຕ້ອງແລະຖ້າມັນບໍ່ຂັດຂວາງການເຂົ້າເຖິງພອດ, ແອັບພລິເຄຊັນ, ແລະອື່ນໆ, ທ່ານຈໍາເປັນຕ້ອງເບິ່ງບັນທຶກ. ບັນທຶກ SELinux ແມ່ນຢູ່ໃນ /var/log/audit/audit.log, ແຕ່ທ່ານບໍ່ຈໍາເປັນຕ້ອງອ່ານເລື່ອງທັງຫມົດເພື່ອຊອກຫາຂໍ້ຜິດພາດ. ທ່ານສາມາດໃຊ້ audit2why utility ເພື່ອຊອກຫາຂໍ້ຜິດພາດ. ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:

$ audit2why < /var/log/audit/audit.log

ດັ່ງນັ້ນ, ທ່ານຈະໄດ້ຮັບບັນຊີລາຍຊື່ຂອງຄວາມຜິດພາດ. ຖ້າບໍ່ມີຂໍ້ຜິດພາດໃນບັນທຶກ, ຫຼັງຈາກນັ້ນຈະບໍ່ສະແດງຂໍ້ຄວາມໃດໆ.

ການຕັ້ງຄ່ານະໂຍບາຍ SELinux

ນະໂຍບາຍ SELinux ແມ່ນຊຸດຂອງກົດລະບຽບທີ່ຄວບຄຸມກົນໄກຄວາມປອດໄພ SELinux. ນະໂຍບາຍກໍານົດຊຸດຂອງກົດລະບຽບສໍາລັບສະພາບແວດລ້ອມສະເພາະ. ໃນປັດຈຸບັນພວກເຮົາຈະຮຽນຮູ້ວິທີການກໍານົດນະໂຍບາຍເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງການບໍລິການທີ່ຫ້າມ.

1. ຄ່າຕາມເຫດຜົນ (ສະວິດ)

ສະວິດ (booleans) ອະນຸຍາດໃຫ້ທ່ານປ່ຽນພາກສ່ວນຂອງນະໂຍບາຍໃນເວລາແລ່ນ, ໂດຍບໍ່ຕ້ອງສ້າງນະໂຍບາຍໃຫມ່. ພວກເຂົາເຈົ້າອະນຸຍາດໃຫ້ທ່ານເຮັດການປ່ຽນແປງໂດຍບໍ່ມີການ rebooting ຫຼື recompiling ນະໂຍບາຍ SELinux.

ຕົວຢ່າງ:
ສົມມຸດວ່າພວກເຮົາຕ້ອງການແບ່ງປັນລາຍຊື່ຫນ້າທໍາອິດຂອງຜູ້ໃຊ້ຜ່ານ FTP ອ່ານ / ຂຽນ, ແລະພວກເຮົາໄດ້ແບ່ງປັນມັນແລ້ວ, ແຕ່ເມື່ອພວກເຮົາພະຍາຍາມເຂົ້າຫາມັນ, ພວກເຮົາບໍ່ເຫັນຫຍັງ. ນີ້ແມ່ນຍ້ອນວ່ານະໂຍບາຍ SELinux ປ້ອງກັນບໍ່ໃຫ້ເຄື່ອງແມ່ຂ່າຍ FTP ຈາກການອ່ານແລະຂຽນໄປຫາໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້. ພວກເຮົາຈໍາເປັນຕ້ອງມີການປ່ຽນແປງນະໂຍບາຍເພື່ອໃຫ້ເຄື່ອງແມ່ຂ່າຍ FTP ສາມາດເຂົ້າເຖິງໄດເລກະທໍລີເຮືອນ. ໃຫ້ເບິ່ງວ່າມີສະຫຼັບສໍາລັບການນີ້ໂດຍການເຮັດ

$ semanage boolean -l

ຄໍາສັ່ງນີ້ຈະສະແດງລາຍຊື່ສະວິດທີ່ມີຢູ່ກັບສະຖານະປະຈຸບັນຂອງພວກເຂົາ (ເປີດຫຼືປິດ) ແລະຄໍາອະທິບາຍ. ທ່ານສາມາດປັບປຸງການຄົ້ນຫາຂອງທ່ານໂດຍການເພີ່ມ grep ເພື່ອຊອກຫາຜົນໄດ້ຮັບ ftp ເທົ່ານັ້ນ:

$ semanage boolean -l | grep ftp

ແລະທ່ານຈະພົບເຫັນດັ່ງຕໍ່ໄປນີ້

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

ສະວິດນີ້ຖືກປິດໃຊ້ງານ, ດັ່ງນັ້ນພວກເຮົາຈະເປີດໃຊ້ມັນດ້ວຍ setsebool $ setsebool ftp_home_dir on

ໃນປັດຈຸບັນ ftp daemon ຂອງພວກເຮົາຈະສາມາດເຂົ້າເຖິງໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້ໄດ້.
ຫມາຍເຫດ: ທ່ານຍັງສາມາດໄດ້ຮັບບັນຊີລາຍຊື່ຂອງສະຫວິດທີ່ມີຢູ່ໂດຍບໍ່ມີຄໍາອະທິບາຍໂດຍການເຮັດ getsebool -a

2. ປ້າຍກຳກັບ ແລະ ບໍລິບົດ

ນີ້ແມ່ນວິທີທົ່ວໄປທີ່ສຸດໃນການປະຕິບັດນະໂຍບາຍ SELinux. ທຸກໆໄຟລ໌, ໂຟນເດີ, ຂະບວນການ ແລະພອດຈະຖືກໝາຍດ້ວຍບໍລິບົດ SELinux:

• ສຳລັບໄຟລ໌ ແລະໂຟນເດີ້ຕ່າງໆ, ປ້າຍກຳກັບຖືກເກັບໄວ້ເປັນຄຸນລັກສະນະຂະຫຍາຍຢູ່ໃນລະບົບໄຟລ໌ ແລະສາມາດເບິ່ງໄດ້ດ້ວຍຄຳສັ່ງຕໍ່ໄປນີ້:

  $ ls -Z /etc/httpd

• ສໍາລັບຂະບວນການແລະພອດ, ການຕິດສະຫຼາກຖືກຈັດການໂດຍ kernel, ແລະທ່ານສາມາດເບິ່ງປ້າຍຊື່ເຫຼົ່ານີ້ດັ່ງຕໍ່ໄປນີ້:

ຂະບວນການ

$ ps –auxZ | grep httpd

ທ່າເຮືອ

$ netstat -anpZ | grep httpd

ຕົວຢ່າງ:
ຕອນນີ້ໃຫ້ເບິ່ງຕົວຢ່າງເພື່ອເຂົ້າໃຈປ້າຍກຳກັບ ແລະບໍລິບົດໄດ້ດີຂຶ້ນ. ໃຫ້ເວົ້າວ່າພວກເຮົາມີເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ທີ່, ແທນທີ່ຈະເປັນໄດເລກະທໍລີ /var/www/html/ использует /home/dan/html/. SELinux ຈະພິຈາລະນານີ້ເປັນການລະເມີດນະໂຍບາຍແລະທ່ານຈະບໍ່ສາມາດເບິ່ງຫນ້າເວັບຂອງທ່ານໄດ້. ນີ້ແມ່ນຍ້ອນວ່າພວກເຮົາບໍ່ໄດ້ກໍານົດສະພາບການຄວາມປອດໄພທີ່ກ່ຽວຂ້ອງກັບໄຟລ໌ HTML. ເພື່ອເບິ່ງບໍລິບົດຄວາມປອດໄພເລີ່ມຕົ້ນ, ໃຫ້ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

ທີ່ນີ້ພວກເຮົາໄດ້ຮັບ httpd_sys_content_t ເປັນບໍລິບົດສໍາລັບໄຟລ໌ html. ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ກໍານົດສະພາບການຄວາມປອດໄພນີ້ສໍາລັບໄດເລກະທໍລີປະຈຸບັນຂອງພວກເຮົາ, ເຊິ່ງປະຈຸບັນມີສະພາບການດັ່ງຕໍ່ໄປນີ້:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ຄໍາສັ່ງທາງເລືອກໃນການກວດສອບສະພາບການຄວາມປອດໄພຂອງໄຟລ໌ຫຼືໄດເລກະທໍລີ:

$ semanage fcontext -l | grep '/var/www'

ພວກເຮົາຍັງຈະໃຊ້ semanage ເພື່ອປ່ຽນບໍລິບົດເມື່ອພວກເຮົາພົບເຫັນບໍລິບົດຄວາມປອດໄພທີ່ຖືກຕ້ອງ. ເພື່ອປ່ຽນບໍລິບົດຂອງ /home/dan/html, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

ຫຼັງຈາກບໍລິບົດຖືກປ່ຽນແປງໂດຍໃຊ້ semanage, ຄໍາສັ່ງ restorecon ຈະໂຫລດບໍລິບົດເລີ່ມຕົ້ນສໍາລັບໄຟລ໌ແລະໄດເລກະທໍລີ. ເຄື່ອງແມ່ຂ່າຍເວັບຂອງພວກເຮົາໃນປັດຈຸບັນຈະສາມາດອ່ານໄຟລ໌ຈາກໂຟນເດີ /home/dan/htmlເນື່ອງຈາກວ່າບໍລິບົດຄວາມປອດໄພສໍາລັບໂຟນເດີນີ້ໄດ້ຖືກປ່ຽນເປັນ httpd_sys_content_t.

3. ສ້າງນະໂຍບາຍທ້ອງຖິ່ນ

ອາດຈະມີສະຖານະການທີ່ວິທີການຂ້າງເທິງນີ້ບໍ່ມີປະໂຫຍດຕໍ່ເຈົ້າແລະເຈົ້າໄດ້ຮັບຂໍ້ຜິດພາດ (avc/denial) ໃນ audit.log. ເມື່ອສິ່ງດັ່ງກ່າວເກີດຂຶ້ນ, ທ່ານຈໍາເປັນຕ້ອງສ້າງນະໂຍບາຍທ້ອງຖິ່ນ. ທ່ານສາມາດຊອກຫາຂໍ້ຜິດພາດທັງຫມົດໂດຍໃຊ້ audit2why, ດັ່ງທີ່ໄດ້ອະທິບາຍຂ້າງເທິງ.

ທ່ານສາມາດສ້າງນະໂຍບາຍທ້ອງຖິ່ນເພື່ອແກ້ໄຂຂໍ້ຜິດພາດ. ຕົວຢ່າງ, ພວກເຮົາໄດ້ຮັບຄວາມຜິດພາດທີ່ກ່ຽວຂ້ອງກັບ httpd (apache) ຫຼື smbd (samba), ພວກເຮົາ grep ຂໍ້ຜິດພາດແລະສ້າງນະໂຍບາຍສໍາລັບພວກເຂົາ:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

ມັນເປັນ http_policy и smb_policy ແມ່ນຊື່ຂອງນະໂຍບາຍທ້ອງຖິ່ນທີ່ພວກເຮົາສ້າງ. ຕອນນີ້ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ໂຫລດນະໂຍບາຍທ້ອງຖິ່ນທີ່ສ້າງຂຶ້ນເຫຼົ່ານີ້ເຂົ້າໄປໃນນະໂຍບາຍ SELinux ໃນປັດຈຸບັນ. ນີ້ສາມາດເຮັດໄດ້ດັ່ງຕໍ່ໄປນີ້:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

ນະໂຍບາຍທ້ອງຖິ່ນຂອງພວກເຮົາໄດ້ຖືກດາວໂຫຼດແລ້ວ ແລະພວກເຮົາບໍ່ຄວນໄດ້ຮັບ avc ຫຼື denail ໃນ audit.log ອີກຕໍ່ໄປ.

ນີ້ແມ່ນຄວາມພະຍາຍາມຂອງຂ້ອຍທີ່ຈະຊ່ວຍໃຫ້ທ່ານເຂົ້າໃຈ SELinux. ຂ້າພະເຈົ້າຫວັງວ່າຫຼັງຈາກອ່ານບົດຄວາມນີ້, ທ່ານຈະຮູ້ສຶກສະດວກສະບາຍກັບ SELinux.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com