🥇 Cheat sheet ສໍາລັບຜູ້ບໍລິຫານລະບົບໃນ SELinux: 42 ຄໍາຕອບສໍາລັບຄໍາຖາມທີ່ສໍາຄັນ

ການແປພາສາຂອງບົດຄວາມໄດ້ຖືກກະກຽມໂດຍສະເພາະສໍາລັບນັກສຶກສາຂອງຫຼັກສູດ "ຜູ້ເບິ່ງແຍງລະບົບ Linux".

ໃນທີ່ນີ້ທ່ານຈະໄດ້ຮັບຄໍາຕອບຕໍ່ຄໍາຖາມທີ່ສໍາຄັນກ່ຽວກັບຊີວິດ, ຈັກກະວານແລະທຸກສິ່ງທຸກຢ່າງໃນ Linux ທີ່ມີຄວາມປອດໄພທີ່ປັບປຸງ.

"ຄວາມຈິງທີ່ ສຳ ຄັນວ່າສິ່ງຕ່າງໆບໍ່ສະ ເໝີ ໄປໃນສິ່ງທີ່ພວກເຂົາເບິ່ງຄືວ່າເປັນຄວາມຮູ້ທົ່ວໄປ ... "

- Douglas Adams, ຄູ່ມື Hitchhiker ຂອງ Galaxy

ຄວາມປອດໄພ. ຄວາມຫນ້າເຊື່ອຖືເພີ່ມຂຶ້ນ. ຈົດໝາຍ. ນະໂຍບາຍ. ສີ່ Horsemen ຂອງ Apocalypse sysadmin. ນອກເຫນືອໄປຈາກວຽກງານປະຈໍາວັນຂອງພວກເຮົາ - ການຕິດຕາມ, ການສໍາຮອງຂໍ້ມູນ, ການປະຕິບັດ, ການຕັ້ງຄ່າ, ການປັບປຸງ, ແລະອື່ນໆ - ພວກເຮົາຍັງມີຄວາມຮັບຜິດຊອບຕໍ່ຄວາມປອດໄພຂອງລະບົບຂອງພວກເຮົາ. ເຖິງແມ່ນວ່າລະບົບເຫຼົ່ານັ້ນທີ່ຜູ້ໃຫ້ບໍລິການພາກສ່ວນທີສາມແນະນໍາວ່າພວກເຮົາປິດການໃຊ້ງານຄວາມປອດໄພທີ່ປັບປຸງ. ມັນຮູ້ສຶກຄືກັບການເຮັດວຽກ Ethan Hunt ຈາກ "ພາລະກິດ: ເປັນໄປບໍ່ໄດ້."

ປະເຊີນຫນ້າກັບບັນຫານີ້, ຜູ້ບໍລິຫານລະບົບບາງຄົນຕັດສິນໃຈທີ່ຈະເອົາ ເມັດສີຟ້າ, ເພາະວ່າພວກເຂົາຄິດວ່າພວກເຂົາບໍ່ເຄີຍຮູ້ຄໍາຕອບຂອງຄໍາຖາມໃຫຍ່ຂອງຊີວິດ, ຈັກກະວານແລະສິ່ງນັ້ນ. ແລະດັ່ງທີ່ພວກເຮົາທຸກຄົນຮູ້, ຄໍາຕອບນັ້ນແມ່ນ 42.

ໃນຈິດໃຈຂອງຄູ່ມື Hitchhiker ຂອງ Galaxy, ນີ້ແມ່ນ 42 ຄໍາຕອບສໍາລັບຄໍາຖາມທີ່ສໍາຄັນກ່ຽວກັບການຄວບຄຸມແລະການນໍາໃຊ້. SELinux ໃນລະບົບຂອງທ່ານ.

1. SELinux ແມ່ນລະບົບການຄວບຄຸມການເຂົ້າເຖິງທີ່ຖືກບັງຄັບ, ຊຶ່ງຫມາຍຄວາມວ່າທຸກຂະບວນການມີປ້າຍຊື່. ແຕ່ລະໄຟລ໌, ໄດເລກະທໍລີແລະລະບົບວັດຖຸຍັງມີປ້າຍຊື່. ກົດລະບຽບນະໂຍບາຍຄວບຄຸມການເຂົ້າເຖິງລະຫວ່າງຂະບວນການ tagged ແລະວັດຖຸ. kernel ບັງຄັບໃຊ້ກົດລະບຽບເຫຼົ່ານີ້.

2. ສອງແນວຄວາມຄິດທີ່ສໍາຄັນທີ່ສຸດແມ່ນ: ປ້າຍ ກຳ ກັບ - ເຄື່ອງໝາຍ (ໄຟລ໌, ຂະບວນການ, ພອດ, ແລະອື່ນໆ) ແລະ ປະເພດການບັງຄັບໃຊ້ (ເຊິ່ງແຍກຂະບວນການອອກຈາກກັນໂດຍອີງໃສ່ປະເພດ).

3. ຮູບແບບປ້າຍຊື່ທີ່ຖືກຕ້ອງ user:role:type:level (ທາງເລືອກ).

4. ຈຸດປະສົງຂອງການສະຫນອງຄວາມປອດໄພຫຼາຍລະດັບ (ຄວາມປອດໄພຫຼາຍລະດັບ - MLS) ແມ່ນການຄຸ້ມຄອງຂະບວນການ (ໂດເມນ) ໂດຍອີງໃສ່ລະດັບຄວາມປອດໄພຂອງຂໍ້ມູນທີ່ພວກເຂົາຈະໃຊ້. ຕົວຢ່າງ, ຂະບວນການລັບບໍ່ສາມາດອ່ານຂໍ້ມູນລັບສູງສຸດໄດ້.

5. ຮັບປະກັນຄວາມປອດໄພຫຼາຍປະເພດ (ຄວາມປອດໄພຫຼາຍໝວດໝູ່ - MCS) ປົກປ້ອງຂະບວນການທີ່ຄ້າຍຄືກັນຈາກກັນແລະກັນ (ຕົວຢ່າງ, ເຄື່ອງ virtual, ເຄື່ອງຈັກ OpenShift, SELinux sandbox, containers, ແລະອື່ນໆ).

6. ຕົວເລືອກ Kernel ສໍາລັບການປ່ຽນໂຫມດ SELinux ໃນ boot:

autorelabel=1 → ເຮັດໃຫ້ລະບົບເຮັດວຽກ relabeling
selinux=0 → kernel ບໍ່ໄດ້ໂຫລດໂຄງສ້າງພື້ນຖານ SELinux
enforcing=0 → ການໂຫຼດຢູ່ໃນໂໝດອະນຸຍາດ

7. ຖ້າທ່ານຕ້ອງການ relabel ລະບົບທັງຫມົດ:

# touch /.autorelabel #reboot

ຖ້າເຄື່ອງໝາຍລະບົບມີຂໍ້ຜິດພາດຈຳນວນຫຼວງຫຼາຍ, ທ່ານອາດຕ້ອງເປີດເຄື່ອງໃນໂໝດອະນຸຍາດເພື່ອໃຫ້ໝາຍເຫດສຳເລັດ.

8. ເພື່ອກວດເບິ່ງວ່າ SELinux ຖືກເປີດໃຊ້: # getenforce

9. ເພື່ອເປີດໃຊ້ / ປິດການໃຊ້ງານ SELinux ຊົ່ວຄາວ: # setenforce [1|0]

10. ກຳລັງກວດສອບສະຖານະ SELinux: # sestatus

11. ໄຟລ໌ການຕັ້ງຄ່າ: /etc/selinux/config

12. SELinux ເຮັດວຽກແນວໃດ? ນີ້ແມ່ນຕົວຢ່າງເຄື່ອງຫມາຍສໍາລັບເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ Apache:

ຕົວແທນຖານສອງ: /usr/sbin/httpd→httpd_exec_t
ໄດເລກະທໍລີການຕັ້ງຄ່າ: /etc/httpd→httpd_config_t
ບັນທຶກໄຟລ໌ໄດເລກະທໍລີ: /var/log/httpd → httpd_log_t
ບັນຊີລາຍການ: /var/www/html → httpd_sys_content_t
ເປີດຕົວສະຄຣິບ: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
ຂະບວນການ: /usr/sbin/httpd -DFOREGROUND → httpd_t
ທ່າເຮືອ: 80/tcp, 443/tcp → httpd_t, http_port_t

ຂະບວນການເຮັດວຽກຢູ່ໃນບໍລິບົດ httpd_t, ສາມາດພົວພັນກັບວັດຖຸທີ່ມີປ້າຍຊື່ httpd_something_t.

13. ຄໍາສັ່ງຈໍານວນຫຼາຍຍອມຮັບການໂຕ້ຖຽງ -Z ເພື່ອເບິ່ງ, ສ້າງ ແລະປ່ຽນບໍລິບົດ:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

ບໍລິບົດໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນເມື່ອໄຟລ໌ຖືກສ້າງຂື້ນໂດຍອີງຕາມສະພາບການຂອງໄດເລກະທໍລີພໍ່ແມ່ຂອງພວກເຂົາ (ໂດຍມີບາງຂໍ້ຍົກເວັ້ນ). RPMs ສາມາດສ້າງບໍລິບົດໃນຂະນະທີ່ການຕິດຕັ້ງ.

14. ມີສີ່ສາເຫດຕົ້ນຕໍຂອງຄວາມຜິດພາດ SELinux, ເຊິ່ງໄດ້ອະທິບາຍລາຍລະອຽດເພີ່ມເຕີມໃນຈຸດ 15-21 ຂ້າງລຸ່ມນີ້:

ບັນຫາການຕິດສະຫຼາກ
ເນື່ອງຈາກວ່າບາງສິ່ງບາງຢ່າງທີ່ SELinux ຕ້ອງການຮູ້
ຄວາມຜິດພາດໃນນະໂຍບາຍ/ແອັບພລິເຄຊັນ SELinux
ຂໍ້ມູນຂອງທ່ານອາດຈະຖືກທໍາລາຍ

15. ບັນຫາການຕິດສະຫຼາກ: ຖ້າໄຟລ໌ຂອງທ່ານຢູ່ໃນ /srv/myweb ຖືກໝາຍບໍ່ຖືກຕ້ອງ, ການເຂົ້າເຖິງອາດຈະຖືກປະຕິເສດ. ນີ້ແມ່ນບາງວິທີທີ່ຈະແກ້ໄຂນີ້:

ຖ້າເຈົ້າຮູ້ປ້າຍ:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
ຖ້າທ່ານຮູ້ຈັກໄຟລ໌ທີ່ມີເຄື່ອງຫມາຍທຽບເທົ່າ:
# semanage fcontext -a -e /srv/myweb /var/www
ການຟື້ນຟູສະພາບການ (ສໍາລັບທັງສອງກໍລະນີ):
# restorecon -vR /srv/myweb

16. ບັນຫາການຕິດສະຫຼາກ: ຖ້າຫາກວ່າທ່ານຍ້າຍໄຟລ໌ແທນທີ່ຈະສໍາເນົາມັນ, ໄຟລ໌ຈະຮັກສາສະພາບການຕົ້ນສະບັບຂອງຕົນ. ເພື່ອແກ້ໄຂບັນຫານີ້:

ປ່ຽນຄຳສັ່ງບໍລິບົດດ້ວຍປ້າຍກຳກັບ:
# chcon -t httpd_system_content_t /var/www/html/index.html
ປ່ຽນຄຳສັ່ງບໍລິບົດດ້ວຍປ້າຍກຳກັບລິ້ງ:
# chcon --reference /var/www/html/ /var/www/html/index.html
ຟື້ນຟູບໍລິບົດ (ສໍາລັບທັງສອງກໍລະນີ): # restorecon -vR /var/www/html/

17. ຖ້າຫາກວ່າ SELinux ທີ່ເຈົ້າຕ້ອງການຮູ້ວ່າ HTTPD ກໍາລັງຟັງຢູ່ໃນພອດ 8585, ບອກ SELinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux ທີ່ເຈົ້າຕ້ອງການຮູ້ ຄ່າ Boolean ທີ່ອະນຸຍາດໃຫ້ພາກສ່ວນຂອງນະໂຍບາຍ SELinux ມີການປ່ຽນແປງໃນເວລາແລ່ນໂດຍບໍ່ມີຄວາມຮູ້ກ່ຽວກັບນະໂຍບາຍ SELinux ຖືກຂຽນທັບ. ຕົວຢ່າງ: ຖ້າທ່ານຕ້ອງການ httpd ສົ່ງອີເມວ, ໃສ່: # setsebool -P httpd_can_sendmail 1

19. SELinux ທີ່ເຈົ້າຕ້ອງການຮູ້ ຄ່າທີ່ມີເຫດຜົນສໍາລັບການເປີດ / ປິດການຕັ້ງຄ່າ SELinux:

ເພື່ອເບິ່ງຄ່າ boolean ທັງໝົດ: # getsebool -a
ເພື່ອເບິ່ງລາຍລະອຽດຂອງແຕ່ລະຄົນ: # semanage boolean -l
ເພື່ອກໍານົດຄ່າ boolean: # setsebool [_boolean_] [1|0]
ສໍາລັບການຕິດຕັ້ງແບບຖາວອນ, ເພີ່ມ -Pທີ່ຢູ່ ຕົວຢ່າງ: # setsebool httpd_enable_ftp_server 1 -P

20. ນະໂຍບາຍ/ແອັບພລິເຄຊັນ SELinux ອາດມີຂໍ້ຜິດພາດ, ລວມທັງ:

ເສັ້ນທາງລະຫັດທີ່ຜິດປົກກະຕິ
ການຕັ້ງຄ່າ
ການປ່ຽນເສັ້ນທາງ stdout
ໄຟລ໌ descriptor ຮົ່ວ
ຫນ່ວຍຄວາມຈໍາປະຕິບັດໄດ້
ຫ້ອງສະໝຸດທີ່ສ້າງຂຶ້ນບໍ່ດີ

ເປີດຕົ໋ວ (ຢ່າສົ່ງບົດລາຍງານໃຫ້ Bugzilla; Bugzilla ບໍ່ມີ SLA).

21. ຂໍ້ມູນຂອງທ່ານອາດຈະຖືກທໍາລາຍຖ້າທ່ານໄດ້ຈໍາກັດໂດເມນທີ່ພະຍາຍາມ:

ໂຫຼດໂມດູນ kernel
ປິດໃຊ້ງານໂໝດ SELinux ທີ່ຖືກບັງຄັບ
ຂຽນຫາ etc_t/shadow_t
ປ່ຽນກົດລະບຽບ iptables

22. ເຄື່ອງມື SELinux ສໍາລັບການພັດທະນາໂມດູນນະໂຍບາຍ:

# yum -y install setroubleshoot setroubleshoot-server

reboot ຫຼື restart auditd ຫຼັງຈາກການຕິດຕັ້ງ.

23. ໃຊ້

journalctl

ເພື່ອສະແດງລາຍຊື່ຂອງບັນທຶກທັງໝົດທີ່ກ່ຽວຂ້ອງກັບ setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ໃຊ້ journalctl ເພື່ອບອກບັນທຶກທັງໝົດທີ່ກ່ຽວຂ້ອງກັບແທັກ SELinux ສະເພາະ. ຍົກຕົວຢ່າງ:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. ຖ້າຄວາມຜິດພາດ SELinux ເກີດຂຶ້ນ, ໃຊ້ບັນທຶກ setroubleshoot ສະເຫນີວິທີແກ້ໄຂທີ່ເປັນໄປໄດ້ຫຼາຍ.
ຕົວຢ່າງ, ຈາກ journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ການບັນທຶກ: SELinux ບັນທຶກຂໍ້ມູນໃນຫຼາຍບ່ອນ:

/ var / log / ຂໍ້ຄວາມ
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. ການບັນທຶກ: ການຊອກຫາຂໍ້ຜິດພາດ SELinux ໃນບັນທຶກການກວດສອບ:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. ເພື່ອຊອກຫາຂໍ້ຄວາມ SELinux Access Vector Cache (AVC) ສໍາລັບການບໍລິການສະເພາະ:

# ausearch -m avc -c httpd

29. ປະໂຫຍດ audit2allow ເກັບກໍາຂໍ້ມູນຈາກບັນທຶກຂອງການດໍາເນີນງານທີ່ຕ້ອງຫ້າມແລະຫຼັງຈາກນັ້ນສ້າງກົດລະບຽບນະໂຍບາຍການອະນຸຍາດ SELinux. ຍົກຕົວຢ່າງ:

ເພື່ອສ້າງຄໍາອະທິບາຍທີ່ມະນຸດສາມາດອ່ານໄດ້ວ່າເປັນຫຍັງການເຂົ້າເຖິງຈຶ່ງຖືກປະຕິເສດ: # audit2allow -w -a
ເພື່ອເບິ່ງກົດລະບຽບການບັງຄັບໃຊ້ປະເພດທີ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງທີ່ຖືກປະຕິເສດ: # audit2allow -a
ເພື່ອສ້າງໂມດູນທີ່ກໍາຫນົດເອງ: # audit2allow -a -M mypolicy
ທາງເລືອກ -M ສ້າງໄຟລ໌ບັງຄັບໃຊ້ປະເພດ (.te) ທີ່ມີຊື່ທີ່ລະບຸໄວ້ ແລະລວບລວມກົດລະບຽບເຂົ້າໄປໃນຊຸດນະໂຍບາຍ (.pp): mypolicy.pp mypolicy.te
ການຕິດຕັ້ງໂມດູນທີ່ກໍາຫນົດເອງ: # semodule -i mypolicy.pp

30. ເພື່ອຕັ້ງຄ່າຂະບວນການແຍກຕ່າງຫາກ (ໂດເມນ) ເພື່ອເຮັດວຽກໃນຮູບແບບການອະນຸຍາດ: # semanage permissive -a httpd_t

31. ຖ້າທ່ານບໍ່ຕ້ອງການໃຫ້ໂດເມນໄດ້ຮັບການອະນຸຍາດອີກຕໍ່ໄປ: # semanage permissive -d httpd_t

32. ເພື່ອປິດການນຳໃຊ້ໂດເມນທີ່ອະນຸຍາດທັງໝົດ: # semodule -d permissivedomains

33. ເປີດໃຊ້ນະໂຍບາຍ MLS SELinux: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

ໃຫ້ແນ່ໃຈວ່າ SELinux ເຮັດວຽກຢູ່ໃນຮູບແບບການອະນຸຍາດ: # setenforce 0
ໃຊ້ສະຄຣິບ fixfilesເພື່ອຮັບປະກັນວ່າໄຟລ໌ຈະຖືກ relabeled ໃນ reboot ຕໍ່ໄປ:

# fixfiles -F onboot # reboot

34. ສ້າງຜູ້ໃຊ້ທີ່ມີຂອບເຂດ MLS ສະເພາະ: # useradd -Z staff_u john

ການນໍາໃຊ້ຄໍາສັ່ງ useradd, ແຜນທີ່ຜູ້ໃຊ້ໃຫມ່ກັບຜູ້ໃຊ້ SELinux ທີ່ມີຢູ່ແລ້ວ (ໃນກໍລະນີນີ້, staff_u).

35. ເພື່ອເບິ່ງແຜນທີ່ລະຫວ່າງຜູ້ໃຊ້ SELinux ແລະ Linux: # semanage login -l

36. ກໍານົດຂອບເຂດສະເພາະສໍາລັບຜູ້ໃຊ້: # semanage login --modify --range s2:c100 john

37. ເພື່ອແກ້ໄຂປ້າຍກຳກັບໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້ (ຖ້າຈຳເປັນ): # chcon -R -l s2:c100 /home/john

38. ເພື່ອເບິ່ງປະເພດປະຈຸບັນ: # chcat -L

39. ເພື່ອປ່ຽນປະເພດຫຼືເລີ່ມຕົ້ນການສ້າງຂອງທ່ານເອງ, ແກ້ໄຂໄຟລ໌ດັ່ງຕໍ່ໄປນີ້:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ເພື່ອດໍາເນີນການຄໍາສັ່ງຫຼື script ໃນໄຟລ໌ສະເພາະໃດຫນຶ່ງ, ພາລະບົດບາດ, ແລະບໍລິບົດຂອງຜູ້ໃຊ້:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t ບໍລິບົດຂອງໄຟລ໌
-r ບໍລິບົດບົດບາດ
-u ສະພາບການຂອງຜູ້ໃຊ້

41. ຕູ້ຄອນເທນເນີທີ່ແລ່ນດ້ວຍ SELinux ປິດໃຊ້ງານ:

Podman: # podman run --security-opt label=disable …
ທ່າເຮືອ: # docker run --security-opt label=disable …

42. ຖ້າທ່ານຕ້ອງການໃຫ້ກ່ອງບັນຈຸເຂົ້າເຖິງລະບົບຢ່າງເຕັມທີ່:

Podman: # podman run --privileged …
ທ່າເຮືອ: # docker run --privileged …

ແລະຕອນນີ້ເຈົ້າຮູ້ຄຳຕອບແລ້ວ. ດັ່ງນັ້ນກະລຸນາ: ຢ່າຕົກໃຈແລະເປີດໃຊ້ SELinux.

ເອກະສານອ້າງອີງ:

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

SELinux cheat sheet ສໍາລັບຜູ້ບໍລິຫານລະບົບ: 42 ຄໍາຕອບສໍາລັບຄໍາຖາມທີ່ສໍາຄັນ

ເອກະສານອ້າງອີງ:

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ