🥇ລະບົບຄວາມປອດໄພ Linux

ຫນຶ່ງໃນເຫດຜົນສໍາລັບຜົນສໍາເລັດອັນໃຫຍ່ຫຼວງຂອງ Linux OS ກ່ຽວກັບການຝັງ, ອຸປະກອນມືຖືແລະເຄື່ອງແມ່ຂ່າຍແມ່ນຄວາມປອດໄພສູງພໍສົມຄວນຂອງ kernel, ບໍລິການແລະຄໍາຮ້ອງສະຫມັກທີ່ກ່ຽວຂ້ອງ. ແຕ່ຖ້າ ເບິ່ງຢ່າງໃກ້ຊິດ ກັບສະຖາປັດຕະຍະກໍາຂອງ Linux kernel, ຫຼັງຈາກນັ້ນມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະຊອກຫາສີ່ຫລ່ຽມທີ່ຮັບຜິດຊອບສໍາລັບຄວາມປອດໄພເຊັ່ນນັ້ນ. ລະບົບຍ່ອຍຄວາມປອດໄພ Linux ເຊື່ອງໄວ້ບ່ອນໃດແລະມັນປະກອບດ້ວຍຫຍັງ?

ປະຫວັດຄວາມເປັນມາຂອງໂມດູນຄວາມປອດໄພ Linux ແລະ SELinux

Security Enhanced Linux ແມ່ນຊຸດຂອງກົດລະບຽບແລະກົນໄກການເຂົ້າເຖິງໂດຍອີງໃສ່ແບບຈໍາລອງການເຂົ້າເຖິງທີ່ບັງຄັບແລະອີງໃສ່ບົດບາດເພື່ອປົກປ້ອງລະບົບ Linux ຈາກໄພຂົ່ມຂູ່ທີ່ອາດເກີດຂຶ້ນແລະແກ້ໄຂຂໍ້ບົກຜ່ອງຂອງ Discretionary Access Control (DAC), ລະບົບຄວາມປອດໄພຂອງ Unix ແບບດັ້ງເດີມ. ໂຄງການດັ່ງກ່າວມີຕົ້ນກໍາເນີດໃນອຸທອນຂອງອົງການຄວາມປອດໄພແຫ່ງຊາດສະຫະລັດ, ແລະໄດ້ຮັບການພັດທະນາໂດຍກົງໂດຍສ່ວນໃຫຍ່ໂດຍຜູ້ຮັບເຫມົາ Secure Computing Corporation ແລະ MITER, ເຊັ່ນດຽວກັນກັບຫ້ອງທົດລອງການຄົ້ນຄວ້າຈໍານວນຫນຶ່ງ.

ໂມດູນຄວາມປອດໄພ Linux

Linus Torvalds ໄດ້ອອກຄໍາເຫັນຫຼາຍຢ່າງກ່ຽວກັບການພັດທະນາ NSA ໃໝ່ ເພື່ອໃຫ້ພວກເຂົາສາມາດຖືກລວມເຂົ້າໃນ Linux kernel ຕົ້ນຕໍ. ລາວໄດ້ອະທິບາຍສະພາບແວດລ້ອມທົ່ວໄປ, ໂດຍມີຊຸດຂອງ interceptors ເພື່ອຄວບຄຸມການດໍາເນີນງານກັບວັດຖຸແລະຊຸດຂອງພື້ນທີ່ປ້ອງກັນບາງຢ່າງໃນໂຄງສ້າງຂໍ້ມູນ kernel ເພື່ອເກັບຮັກສາຄຸນລັກສະນະທີ່ສອດຄ້ອງກັນ. ຈາກນັ້ນສະພາບແວດລ້ອມນີ້ສາມາດຖືກນໍາໃຊ້ໂດຍໂມດູນ kernel ທີ່ສາມາດໂຫຼດໄດ້ເພື່ອປະຕິບັດຮູບແບບຄວາມປອດໄພທີ່ຕ້ອງການ. LSM ໄດ້ເຂົ້າໄປໃນ Linux kernel v2.6 ຢ່າງເຕັມສ່ວນໃນປີ 2003.

ກອບຂອງ LSM ປະກອບມີພື້ນທີ່ກອງໃນໂຄງສ້າງຂໍ້ມູນແລະການໂທຫາຫນ້າທີ່ຂັດຂວາງຢູ່ໃນຈຸດສໍາຄັນໃນລະຫັດ kernel ເພື່ອຈັດການພວກມັນແລະປະຕິບັດການຄວບຄຸມການເຂົ້າເຖິງ. ມັນຍັງເພີ່ມຫນ້າທີ່ສໍາລັບການລົງທະບຽນໂມດູນຄວາມປອດໄພ. ການໂຕ້ຕອບ /sys/kernel/security/lsm ມີລາຍຊື່ຂອງໂມດູນທີ່ມີການເຄື່ອນໄຫວຢູ່ໃນລະບົບ. hooks LSM ຖືກເກັບໄວ້ໃນລາຍການທີ່ຖືກເອີ້ນຕາມລໍາດັບທີ່ລະບຸໄວ້ໃນ CONFIG_LSM. ເອກະສານລະອຽດກ່ຽວກັບ hooks ແມ່ນລວມຢູ່ໃນໄຟລ໌ header include/linux/lsm_hooks.h.

ລະບົບຍ່ອຍ LSM ເຮັດໃຫ້ມັນເປັນໄປໄດ້ທີ່ຈະສໍາເລັດການລວມເຂົ້າກັນຢ່າງເຕັມທີ່ຂອງ SELinux ກັບຮຸ່ນດຽວກັນຂອງ Linux kernel v2.6 ທີ່ຫມັ້ນຄົງ. ເກືອບທັນທີ, SELinux ໄດ້ກາຍເປັນມາດຕະຖານ de facto ສໍາລັບສະພາບແວດລ້ອມ Linux ທີ່ປອດໄພແລະໄດ້ຖືກລວມເຂົ້າໃນການແຈກຢາຍທີ່ນິຍົມຫຼາຍທີ່ສຸດ: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

ຄໍາສັບ SELinux

ເອກະລັກ — ຜູ້ໃຊ້ SELinux ບໍ່ຄືກັນກັບ id ຜູ້ໃຊ້ Unix/Linux ປົກກະຕິ; ພວກເຂົາເຈົ້າສາມາດຢູ່ຮ່ວມກັນໃນລະບົບດຽວກັນ, ແຕ່ມີຄວາມແຕກຕ່າງກັນໂດຍເນື້ອແທ້ແລ້ວ. ແຕ່ລະບັນຊີ Linux ມາດຕະຖານສາມາດກົງກັບຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນໃນ SELinux. ຕົວຕົນ SELinux ແມ່ນສ່ວນນຶ່ງຂອງບໍລິບົດຄວາມປອດໄພໂດຍລວມ, ເຊິ່ງກໍານົດວ່າໂດເມນໃດທີ່ເຈົ້າສາມາດ ແລະບໍ່ສາມາດເຂົ້າຮ່ວມໄດ້.
ໂດເມນ - ໃນ SELinux, ໂດເມນແມ່ນບໍລິບົດການປະຕິບັດຂອງຫົວຂໍ້ໃດຫນຶ່ງ, i.e. ຂະບວນການ. ໂດເມນໂດຍກົງກໍານົດການເຂົ້າເຖິງທີ່ຂະບວນການມີ. ໂດເມນແມ່ນພື້ນຖານບັນຊີລາຍຊື່ຂອງສິ່ງທີ່ຂະບວນການສາມາດເຮັດໄດ້ຫຼືສິ່ງທີ່ຂະບວນການສາມາດເຮັດໄດ້ກັບປະເພດຕ່າງໆ. ບາງຕົວຢ່າງຂອງໂດເມນແມ່ນ sysadm_t ສໍາລັບການຄຸ້ມຄອງລະບົບ, ແລະ user_t ເຊິ່ງເປັນໂດເມນຜູ້ໃຊ້ປົກກະຕິທີ່ບໍ່ມີສິດທິພິເສດ. ລະບົບ init ແລ່ນຢູ່ໃນໂດເມນ init_t, ແລະຂະບວນການທີ່ມີຊື່ເຮັດວຽກຢູ່ໃນໂດເມນ name_t.
ບົດບາດ — ສິ່ງທີ່ເປັນຕົວກາງລະຫວ່າງໂດເມນ ແລະຜູ້ໃຊ້ SELinux. ພາລະບົດບາດກໍານົດໂດເມນທີ່ຜູ້ໃຊ້ສາມາດຂຶ້ນກັບແລະປະເພດຂອງວັດຖຸທີ່ເຂົາເຈົ້າສາມາດເຂົ້າເຖິງໄດ້. ກົນໄກການຄວບຄຸມການເຂົ້າເຖິງນີ້ປ້ອງກັນໄພຂົ່ມຂູ່ຂອງການໂຈມຕີທີ່ເພີ່ມຂຶ້ນສິດທິພິເສດ. ບົດບາດຖືກຂຽນໄວ້ໃນຕົວແບບຄວາມປອດໄພ Role Based Access Control (RBAC) ທີ່ໃຊ້ໃນ SELinux.
ປະເພດ — ຄຸນລັກສະນະບັນຊີລາຍການການບັງຄັບປະເພດທີ່ຖືກມອບຫມາຍໃຫ້ວັດຖຸແລະກໍານົດຜູ້ທີ່ສາມາດເຂົ້າເຖິງມັນ. ຄ້າຍຄືກັນກັບຄໍານິຍາມໂດເມນ, ຍົກເວັ້ນໂດເມນນັ້ນໃຊ້ກັບຂະບວນການ, ແລະປະເພດໃຊ້ກັບວັດຖຸເຊັ່ນ: ໄດເລກະທໍລີ, ໄຟລ໌, ຊັອກເກັດ, ແລະອື່ນໆ.
ວິຊາ ແລະວັດຖຸ - ຂະບວນການແມ່ນຫົວຂໍ້ແລະດໍາເນີນການໃນສະພາບການສະເພາະ, ຫຼືໂດເມນຄວາມປອດໄພ. ຊັບພະຍາກອນຂອງລະບົບປະຕິບັດງານ: ໄຟລ໌, ໄດເລກະທໍລີ, ເຕົ້າຮັບ, ແລະອື່ນໆ, ແມ່ນວັດຖຸທີ່ຖືກມອບຫມາຍບາງປະເພດ, ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ລະດັບຄວາມເປັນສ່ວນຕົວ.
ນະໂຍບາຍ SELinux - SELinux ໃຊ້ຫຼາຍນະໂຍບາຍເພື່ອປົກປ້ອງລະບົບ. ນະໂຍບາຍ SELinux ກໍານົດການເຂົ້າເຖິງຂອງຜູ້ໃຊ້ຕໍ່ກັບບົດບາດ, ບົດບາດຂອງໂດເມນ, ແລະໂດເມນປະເພດຕ່າງໆ. ຫນ້າທໍາອິດ, ຜູ້ໃຊ້ໄດ້ຮັບອະນຸຍາດໃຫ້ໄດ້ຮັບບົດບາດ, ຫຼັງຈາກນັ້ນບົດບາດແມ່ນອະນຸຍາດໃຫ້ເຂົ້າເຖິງໂດເມນ. ສຸດທ້າຍ, ໂດເມນສາມາດເຂົ້າຫາວັດຖຸບາງປະເພດເທົ່ານັ້ນ.

LSM ແລະສະຖາປັດຕະຍະກໍາ SELinux

ເຖິງວ່າຈະມີຊື່, LSMs ບໍ່ແມ່ນໂມດູນ Linux ໂດຍທົ່ວໄປ. ຢ່າງໃດກໍຕາມ, ເຊັ່ນ SELinux, ມັນຖືກລວມເຂົ້າກັບແກ່ນໂດຍກົງ. ການປ່ຽນແປງໃດໆຕໍ່ກັບລະຫັດແຫຼ່ງ LSM ຮຽກຮ້ອງໃຫ້ມີການລວບລວມແກ່ນໃຫມ່. ທາງເລືອກທີ່ສອດຄ້ອງກັນຕ້ອງຖືກເປີດໃຊ້ໃນການຕັ້ງຄ່າ kernel, ຖ້າບໍ່ດັ່ງນັ້ນລະຫັດ LSM ຈະບໍ່ຖືກເປີດໃຊ້ຫຼັງຈາກ boot. ແຕ່ເຖິງແມ່ນວ່າໃນກໍລະນີນີ້, ມັນສາມາດຖືກເປີດໃຊ້ໂດຍທາງເລືອກ OS bootloader.

LSM check stack

LSM ແມ່ນມີ hooks ໃນຟັງຊັນ kernel ຫຼັກທີ່ສາມາດມີຄວາມກ່ຽວຂ້ອງສໍາລັບການກວດສອບ. ຫນຶ່ງໃນລັກສະນະຕົ້ນຕໍຂອງ LSMs ແມ່ນວ່າພວກເຂົາຖືກ stacked. ດັ່ງນັ້ນ, ການກວດສອບມາດຕະຖານຍັງດໍາເນີນການ, ແລະແຕ່ລະຊັ້ນຂອງ LSM ພຽງແຕ່ເພີ່ມການຄວບຄຸມແລະການຄວບຄຸມເພີ່ມເຕີມ. ນີ້ ໝາຍ ຄວາມວ່າການຫ້າມບໍ່ສາມາດຖືກຍົກເລີກຄືນ. ນີ້ແມ່ນສະແດງຢູ່ໃນຮູບ; ຖ້າຜົນຂອງການກວດສອບ DAC ປົກກະຕິແມ່ນຄວາມລົ້ມເຫລວ, ຫຼັງຈາກນັ້ນເລື່ອງຈະບໍ່ເຖິງ hooks LSM.

SELinux ຮັບຮອງເອົາສະຖາປັດຕະຍະກໍາຄວາມປອດໄພ Flask ຂອງລະບົບປະຕິບັດການການຄົ້ນຄວ້າ Fluke, ໂດຍສະເພາະຫຼັກການຂອງສິດທິພິເສດຫນ້ອຍທີ່ສຸດ. ໂດຍເນື້ອແທ້ແລ້ວຂອງແນວຄວາມຄິດນີ້, ຕາມຊື່ຂອງມັນຊີ້ໃຫ້ເຫັນ, ແມ່ນການໃຫ້ຜູ້ໃຊ້ຫຼືດໍາເນີນການພຽງແຕ່ສິດທິເຫຼົ່ານັ້ນທີ່ຈໍາເປັນເພື່ອປະຕິບັດການກະທໍາທີ່ມີຈຸດປະສົງ. ຫຼັກການນີ້ຖືກປະຕິບັດໂດຍໃຊ້ການບັງຄັບໃຊ້ການພິມເຂົ້າ, ດັ່ງນັ້ນການຄວບຄຸມການເຂົ້າເຖິງໃນ SELinux ແມ່ນອີງໃສ່ຮູບແບບໂດເມນ => ປະເພດ.

ຂໍຂອບໃຈກັບການບັງຄັບການພິມການເຂົ້າເຖິງ, SELinux ມີຄວາມສາມາດຄວບຄຸມການເຂົ້າເຖິງຫຼາຍກ່ວາແບບ DAC ແບບດັ້ງເດີມທີ່ໃຊ້ໃນລະບົບປະຕິບັດການ Unix/Linux. ຕົວຢ່າງ, ທ່ານສາມາດຈໍາກັດຈໍານວນພອດເຄືອຂ່າຍທີ່ເຄື່ອງແມ່ຂ່າຍ ftp ຈະເຊື່ອມຕໍ່, ອະນຸຍາດໃຫ້ຂຽນແລະປ່ຽນໄຟລ໌ໃນໂຟນເດີທີ່ແນ່ນອນ, ແຕ່ບໍ່ລຶບພວກມັນອອກ.

ອົງປະກອບຕົ້ນຕໍຂອງ SELinux ແມ່ນ:

ເຊີບເວີການບັງຄັບໃຊ້ນະໂຍບາຍ — ກົນໄກຫຼັກໃນການຈັດຕັ້ງການຄວບຄຸມການເຂົ້າເຖິງ.
ຖານຂໍ້ມູນນະໂຍບາຍຄວາມປອດໄພຂອງລະບົບ.
ການໂຕ້ຕອບກັບຕົວສະກັດເຫດການ LSM.
Selinuxfs - Pseudo-FS, ຄືກັນກັບ /proc ແລະຕິດຕັ້ງຢູ່ໃນ /sys/fs/selinux. ສ້າງແບບເຄື່ອນໄຫວໂດຍແກ່ນ Linux ໃນເວລາແລ່ນ ແລະປະກອບມີໄຟລ໌ທີ່ມີຂໍ້ມູນສະຖານະ SELinux.
ເຂົ້າເຖິງ Vector Cache - ກົນໄກຊ່ວຍເພີ່ມຜະລິດຕະພັນ.

SELinux ເຮັດວຽກແນວໃດ

ມັນທັງຫມົດເຮັດວຽກແບບນີ້.

ວິຊາສະເພາະ, ໃນເງື່ອນໄຂ SELinux, ປະຕິບັດການອະນຸຍາດຂອງວັດຖຸຫຼັງຈາກການກວດສອບ DAC, ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບເທິງ. ການຮ້ອງຂໍເພື່ອປະຕິບັດການດໍາເນີນການນີ້ໄປຫາຕົວສະກັດເຫດການ LSM.
ຈາກບ່ອນນັ້ນ, ການຮ້ອງຂໍ, ພ້ອມກັບຫົວຂໍ້ແລະສະພາບການຄວາມປອດໄພຂອງວັດຖຸ, ຖືກສົ່ງກັບໂມດູນ SELinux Abstraction ແລະ Hook Logic, ເຊິ່ງຮັບຜິດຊອບສໍາລັບການພົວພັນກັບ LSM.
ອຳນາດການຕັດສິນໃຈກ່ຽວກັບການເຂົ້າເຖິງວັດຖຸໃດໜຶ່ງຂອງວິຊາໃດໜຶ່ງແມ່ນເຊີບເວີການບັງຄັບໃຊ້ນະໂຍບາຍ ແລະມັນໄດ້ຮັບຂໍ້ມູນຈາກ SELinux AnHL.
ເພື່ອຕັດສິນໃຈກ່ຽວກັບການເຂົ້າເຖິງຫຼືປະຕິເສດ, ເຊີບເວີການບັງຄັບໃຊ້ນະໂຍບາຍຫັນໄປຫາລະບົບຍ່ອຍຂອງ Access Vector Cache (AVC) ສໍາລັບກົດລະບຽບທີ່ໃຊ້ຫຼາຍທີ່ສຸດ.
ຖ້າການແກ້ໄຂສໍາລັບກົດລະບຽບທີ່ສອດຄ້ອງກັນບໍ່ພົບຢູ່ໃນແຄດ, ຫຼັງຈາກນັ້ນຄໍາຮ້ອງຂໍຈະຖືກສົ່ງຕໍ່ຖານຂໍ້ມູນນະໂຍບາຍຄວາມປອດໄພ.
ຜົນການຄົ້ນຫາຈາກຖານຂໍ້ມູນແລະ AVC ຖືກສົ່ງກັບເຄື່ອງແມ່ຂ່າຍການບັງຄັບໃຊ້ນະໂຍບາຍ.
ຖ້ານະໂຍບາຍທີ່ພົບເຫັນກົງກັບການກະທໍາທີ່ຮ້ອງຂໍ, ຫຼັງຈາກນັ້ນການດໍາເນີນການແມ່ນອະນຸຍາດໃຫ້. ຖ້າບໍ່ດັ່ງນັ້ນ, ການດໍາເນີນງານແມ່ນຖືກຫ້າມ.

ການຄຸ້ມຄອງການຕັ້ງຄ່າ SELinux

SELinux ເຮັດວຽກຢູ່ໃນຫນຶ່ງໃນສາມໂຫມດ:

ການບັງຄັບໃຊ້ - ການຍຶດຫມັ້ນຢ່າງເຂັ້ມງວດຕໍ່ນະໂຍບາຍຄວາມປອດໄພ.
ອະນຸຍາດ - ການລະເມີດຂໍ້ຈໍາກັດແມ່ນອະນຸຍາດໃຫ້ມີການບັນທຶກທີ່ສອດຄ້ອງກັນແມ່ນໄດ້ເຮັດໃຫ້ໃນວາລະສານ.
ຄົນພິການ - ນະໂຍບາຍຄວາມປອດໄພບໍ່ມີຜົນບັງຄັບໃຊ້.

ທ່ານສາມາດເບິ່ງວ່າ SELinux ຢູ່ໃນຮູບແບບໃດດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້.

[admin@server ~]$ getenforce
Permissive

ການປ່ຽນແປງຮູບແບບກ່ອນທີ່ຈະ rebooting, ສໍາລັບການຍົກຕົວຢ່າງ, ກໍານົດມັນເປັນການບັງຄັບ, ຫຼື 1. ພາລາມິເຕີການອະນຸຍາດກົງກັບລະຫັດຕົວເລກ 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

ນອກນັ້ນທ່ານຍັງສາມາດປ່ຽນຮູບແບບໂດຍການດັດແກ້ໄຟລ໌:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE=ເປົ້າໝາຍ

ຄວາມແຕກຕ່າງກັບ setenfoce ແມ່ນວ່າເມື່ອລະບົບປະຕິບັດການເລີ່ມຕົ້ນ, ໂຫມດ SELinux ຈະຖືກຕັ້ງຄ່າໃຫ້ສອດຄ່ອງກັບຄ່າຂອງພາລາມິເຕີ SELINUX ໃນໄຟລ໌ການຕັ້ງຄ່າ. ນອກຈາກນັ້ນ, ການປ່ຽນແປງການບັງຄັບ <=> ປິດການໃຊ້ງານພຽງແຕ່ມີຜົນໂດຍການດັດແກ້ໄຟລ໌ /etc/selinux/config ແລະຫຼັງຈາກປິດເປີດໃຫມ່.

ເບິ່ງບົດລາຍງານສະຖານະການໂດຍຫຍໍ້:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
ເພື່ອເບິ່ງຄຸນລັກສະນະ SELinux, ບາງອຸປະກອນມາດຕະຖານໃຊ້ພາລາມິເຕີ -Z.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ເມື່ອປຽບທຽບກັບຜົນຜະລິດປົກກະຕິຂອງ ls -l, ມີຫຼາຍຊ່ອງຂໍ້ມູນເພີ່ມເຕີມໃນຮູບແບບດັ່ງຕໍ່ໄປນີ້:

<user>:<role>:<type>:<level>

ພາກສະຫນາມສຸດທ້າຍສະແດງເຖິງບາງສິ່ງບາງຢ່າງເຊັ່ນ: ການຈັດປະເພດຄວາມປອດໄພແລະປະກອບດ້ວຍສອງອົງປະກອບ:

s0 - ຄວາມສໍາຄັນ, ຍັງຂຽນເປັນໄລຍະຫ່າງລະດັບຕ່ໍາລະດັບສູງ
c0, c1… c1023 - ໝວດໝູ່.

ການປ່ຽນແປງການຕັ້ງຄ່າການເຂົ້າເຖິງ

ໃຊ້ semodule ເພື່ອໂຫລດ, ເພີ່ມ, ແລະເອົາໂມດູນ SELinux ອອກ.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

ທີມງານທໍາອິດ ຈັດການການເຂົ້າສູ່ລະບົບ ເຊື່ອມຕໍ່ຜູ້ໃຊ້ SELinux ກັບຜູ້ໃຊ້ລະບົບປະຕິບັດການ, ທີສອງສະແດງລາຍຊື່. ສຸດທ້າຍ, ຄໍາສັ່ງສຸດທ້າຍກັບ -r switch ເອົາແຜນທີ່ຂອງຜູ້ໃຊ້ SELinux ກັບບັນຊີ OS. ຄໍາອະທິບາຍຂອງ syntax ສໍາລັບຄ່າ MLS/MCS Range ແມ່ນຢູ່ໃນພາກກ່ອນຫນ້າ.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
ທີມງານ ຈັດການຜູ້ໃຊ້ ໃຊ້ເພື່ອຈັດການແຜນທີ່ລະຫວ່າງຜູ້ໃຊ້ SELinux ແລະບົດບາດ.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

ຕົວກໍານົດການຄໍາສັ່ງ:

-a ເພີ່ມການສ້າງແຜນທີ່ພາລະບົດບາດທີ່ກໍານົດເອງ;
-l ບັນຊີລາຍຊື່ຂອງຜູ້ໃຊ້ທີ່ກົງກັນແລະພາລະບົດບາດ;
-d ລຶບລາຍການແຜນທີ່ບົດບາດຜູ້ໃຊ້;
-R ບັນຊີລາຍຊື່ຂອງພາລະບົດບາດຕິດກັບຜູ້ໃຊ້;

ໄຟລ໌, ພອດ ແລະຄ່າ Boolean

ແຕ່ລະໂມດູນ SELinux ສະຫນອງຊຸດຂອງກົດລະບຽບການແທັກໄຟລ໌, ແຕ່ທ່ານຍັງສາມາດເພີ່ມກົດລະບຽບຂອງທ່ານເອງຖ້າຈໍາເປັນ. ຕົວຢ່າງ, ພວກເຮົາຕ້ອງການໃຫ້ເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ມີສິດການເຂົ້າເຖິງໂຟນເດີ / srv / www.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

ຄໍາສັ່ງທໍາອິດລົງທະບຽນກົດລະບຽບການເຮັດເຄື່ອງຫມາຍໃຫມ່, ແລະການຕັ້ງຄ່າທີສອງ, ຫຼືແທນທີ່ຈະກໍານົດ, ປະເພດໄຟລ໌ຕາມກົດລະບຽບໃນປະຈຸບັນ.

ເຊັ່ນດຽວກັນ, ທ່າເຮືອ TCP/UDP ແມ່ນຖືກໝາຍໃນລັກສະນະທີ່ມີພຽງແຕ່ບໍລິການທີ່ເຫມາະສົມສາມາດຟັງໄດ້. ຕົວຢ່າງ, ເພື່ອໃຫ້ເຄື່ອງແມ່ຂ່າຍເວັບຟັງຢູ່ໃນພອດ 8080, ທ່ານຈໍາເປັນຕ້ອງດໍາເນີນການຄໍາສັ່ງ.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

ຈໍານວນທີ່ສໍາຄັນຂອງໂມດູນ SELinux ມີພາລາມິເຕີທີ່ສາມາດເອົາຄ່າ Boolean. ບັນຊີລາຍຊື່ທັງຫມົດຂອງຕົວກໍານົດການດັ່ງກ່າວສາມາດເຫັນໄດ້ໂດຍໃຊ້ getsebool -a. ທ່ານສາມາດປ່ຽນຄ່າ boolean ໂດຍໃຊ້ setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

ກອງປະຊຸມ, ໄດ້ຮັບການເຂົ້າເຖິງການໂຕ້ຕອບ Pgadmin-web

ໃຫ້ເບິ່ງຕົວຢ່າງການປະຕິບັດ: ພວກເຮົາໄດ້ຕິດຕັ້ງ pgadmin7.6-web ໃນ RHEL 4 ເພື່ອຄຸ້ມຄອງຖານຂໍ້ມູນ PostgreSQL. ພວກເຮົາຍ່າງເລັກນ້ອຍ ຄົ້ນຫາ ດ້ວຍການຕັ້ງຄ່າຂອງ pg_hba.conf, postgresql.conf ແລະ config_local.py, ຕັ້ງຄ່າການອະນຸຍາດໂຟນເດີ, ຕິດຕັ້ງໂມດູນ Python ທີ່ຂາດຫາຍໄປຈາກ pip. ທຸກສິ່ງທຸກຢ່າງແມ່ນກຽມພ້ອມ, ພວກເຮົາເປີດຕົວແລະຮັບ 500 ເຊີບເວີພາຍໃນຜິດພາດ.

ພວກເຮົາເລີ່ມຕົ້ນດ້ວຍການສົງໃສທົ່ວໄປ, ກວດເບິ່ງ /var/log/httpd/error_log. ມີບາງລາຍການທີ່ຫນ້າສົນໃຈຢູ່ທີ່ນັ້ນ.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

ໃນຈຸດນີ້, ຜູ້ບໍລິຫານ Linux ສ່ວນໃຫຍ່ຈະຖືກລໍ້ລວງຢ່າງແຂງແຮງໃຫ້ດໍາເນີນການ setencorce 0, ແລະນັ້ນຈະເປັນຈຸດສິ້ນສຸດຂອງມັນ. ກົງໄປກົງມາ, ຂ້າພະເຈົ້າໄດ້ເຮັດພຽງແຕ່ວ່າຄັ້ງທໍາອິດ. ນີ້ແນ່ນອນຍັງເປັນທາງອອກ, ແຕ່ໄກຈາກທີ່ດີທີ່ສຸດ.

ເຖິງວ່າຈະມີການອອກແບບທີ່ຫຍຸ້ງຍາກ, SELinux ສາມາດເປັນມິດກັບຜູ້ໃຊ້. ພຽງແຕ່ຕິດຕັ້ງຊຸດ setroubleshoot ແລະເບິ່ງບັນທຶກຂອງລະບົບ.

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

ກະລຸນາຮັບຊາບວ່າການບໍລິການກວດສອບຈະຕ້ອງຖືກເປີດຄືນໃໝ່ດ້ວຍວິທີນີ້, ແລະບໍ່ໃຊ້ systemctl, ເຖິງແມ່ນວ່າຈະມີລະບົບໃນ OS ກໍຕາມ. ຢູ່ໃນບັນທຶກລະບົບ ຈະຖືກຊີ້ບອກ ບໍ່ພຽງແຕ່ຄວາມຈິງຂອງການຂັດຂວາງ, ແຕ່ຍັງເຫດຜົນແລະ ວິທີການທີ່ຈະເອົາຊະນະການຫ້າມ.

ພວກເຮົາປະຕິບັດຄໍາສັ່ງເຫຼົ່ານີ້: