🥇Linux drošības sistēmas

Viens no Linux OS milzīgo panākumu iemesliem iegultajās, mobilajās ierīcēs un serveros ir diezgan augstā kodola, saistīto pakalpojumu un lietojumprogrammu drošības pakāpe. Bet ja ieskaties tuvāk uz Linux kodola arhitektūru, tad tajā nav iespējams atrast laukumu, kas atbild par drošību kā tādu. Kur slēpjas Linux drošības apakšsistēma un no kā tā sastāv?

Priekšvēsture par Linux drošības moduļiem un SELinux

Security Enhanced Linux ir noteikumu kopums un piekļuves mehānisms, kura pamatā ir obligāti un uz lomu balstīti piekļuves modeļi, lai aizsargātu Linux sistēmas no iespējamiem draudiem un novērstu diskrecionārās piekļuves kontroles (DAC), tradicionālās Unix drošības sistēmas, nepilnības. Projekts radās ASV Nacionālās drošības aģentūras iekšienē, un tā izstrādē bija tieši iesaistīti darbuzņēmēji Secure Computing Corporation un MITER, kā arī vairākas pētniecības laboratorijas.

Linux drošības moduļi

Linuss Torvalds sniedza vairākas piezīmes par NSA jauninājumiem, lai tos varētu iekļaut Linux kodola galvenajā atzarā. Viņš aprakstīja kopīgu vidi ar pārtvērēju komplektu, lai pārvaldītu operācijas ar objektiem, un dažus aizsargājošus laukus kodola datu struktūrās atbilstošo atribūtu glabāšanai. Pēc tam šo vidi var izmantot ielādējami kodola moduļi, lai ieviestu jebkuru vēlamo drošības modeli. LSM pilnībā ievadīja Linux kodolu v2.6 2003. gadā.

LSM ietvars ietver apsardzes laukus datu struktūrās un pārtveršanas funkciju izsaukumus kodola koda kritiskajos punktos, lai tos pārvaldītu un veiktu piekļuves kontroli. Tas arī pievieno funkcionalitāti drošības moduļu reģistrēšanai. /sys/kernel/security/lsm saskarne satur sistēmas aktīvo moduļu sarakstu. LSM āķi tiek saglabāti sarakstos, kas tiek izsaukti CONFIG_LSM norādītajā secībā. Detalizēta āķa dokumentācija ir iekļauta header failā include/linux/lsm_hooks.h.

LSM apakšsistēma ļāva pabeigt tās pašas stabilā Linux kodola v2.6 versijas pilnīgu SELinux integrāciju. Burtiski uzreiz SELinux kļuva par de facto standartu drošai Linux videi un kļuva par daļu no populārākajiem izplatījumiem: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

Glosārijs

Identitāte - SELinux lietotājs nav tas pats, kas parastais Unix / Linux lietotāja ID, tie var pastāvēt līdzās vienā sistēmā, taču pēc būtības tie ir pilnīgi atšķirīgi. Katrs standarta Linux konts var atbilst vienam vai vairākiem SELinux. SELinux identitāte ir daļa no kopējā drošības konteksta, kas nosaka, kuriem domēniem varat pievienoties un kuriem domēniem nevar pievienoties.
Domains - SELinux domēns ir subjekta, t.i., procesa, izpildes konteksts. Domēns tieši nosaka procesam piešķirto piekļuvi. Domēns būtībā ir saraksts ar to, ko procesi var veikt vai kādas darbības process var veikt ar dažādiem veidiem. Daži domēnu piemēri ir sysadm_t sistēmas administrēšanai un user_t, kas ir parasts un priviliģēts lietotāja domēns. Init sistēma darbojas init_t domēnā, un nosauktais process darbojas named_t domēnā.
Lomas - Kaut kas kalpo kā starpnieks starp domēniem un SELinux lietotājiem. Lomas nosaka, kādiem domēniem lietotājs var piederēt un kāda veida objektiem lietotājs var piekļūt. Šāds piekļuves kontroles mehānisms novērš privilēģiju eskalācijas uzbrukuma draudus. Lomas ir ierakstītas uz lomu balstītas piekļuves kontroles (RBAC) drošības modelī, ko izmanto SELinux.
Veidi — Ierakstiet Enforcement list atribūtu, kas tiek piešķirts objektam un nosaka, kas tam varēs piekļūt. Līdzīgi kā domēna definēšanai, izņemot to, ka domēns attiecas uz procesu, savukārt tips attiecas uz tādiem objektiem kā direktoriji, faili, ligzdas utt.
Priekšmeti un objekti - Procesi ir subjekti un tiek palaisti noteiktā kontekstā vai drošības jomā. Operētājsistēmas resursi: faili, direktoriji, ligzdas utt. ir objekti, kuriem ir piešķirts noteikts veids, citiem vārdiem sakot, slepenības līmenis.
SELinux politikas - SELinux izmanto dažādas politikas, lai aizsargātu sistēmu. SELinux politika definē lietotāju piekļuvi lomām, lomas domēniem un domēnus veidiem. Pirmkārt, lietotājs ir pilnvarots iegūt lomu, pēc tam loma ir pilnvarota piekļūt domēniem. Visbeidzot, domēnam var būt piekļuve tikai noteikta veida objektiem.

LSM un SELinux arhitektūra

Neskatoties uz nosaukumu, LSM parasti nav ielādējami Linux moduļi. Tomēr, tāpat kā SELinux, tas ir tieši integrēts kodolā. Lai veiktu jebkādas izmaiņas LSM avota kodā, ir nepieciešama jauna kodola kompilācija. Kodola iestatījumos ir jāiespējo atbilstošā opcija, pretējā gadījumā LSM kods pēc sāknēšanas netiks aktivizēts. Bet pat šajā gadījumā to var iespējot, izmantojot opciju OS sāknēšanas ielādētājs.

LSM čeku kaudze

LSM ir aprīkots ar kodola galveno funkciju āķiem, kas var būt svarīgi pārbaudēm. Viena no galvenajām LSM iezīmēm ir tā, ka tās ir balstītas uz steku. Tādējādi joprojām tiek veiktas standarta pārbaudes, un katrs LSM slānis tikai pievieno papildu vadīklas un vadīklas. Tas nozīmē, ka aizliegumu nevar atcelt. Tas ir parādīts attēlā, ja kārtējo DAC pārbaužu rezultāts ir kļūme, tad tas pat nesasniegs LSM āķus.

SELinux pieņēma Fluke pētniecības operētājsistēmas Flask drošības arhitektūru, īpaši mazāko privilēģiju principu. Šīs koncepcijas būtība, kā liecina to nosaukums, ir piešķirt lietotājam vai apstrādāt tikai tās tiesības, kas nepieciešamas paredzēto darbību īstenošanai. Šis princips tiek īstenots, izmantojot piespiedu piekļuves ierakstīšanu, tāpēc SELinux piekļuves kontrole ir balstīta uz domēna => tipa modeli.

Izmantojot piespiedu piekļuves ierakstīšanu, SELinux ir daudz lielākas piekļuves kontroles iespējas nekā tradicionālajam DAC modelim, ko izmanto Unix/Linux operētājsistēmās. Piemēram, varat ierobežot tīkla porta numuru, kas notiks ar ftp serveri, atļaut rakstīt un mainīt failus noteiktā mapē, bet ne tos dzēst.

Galvenās SELinux sastāvdaļas ir:

Politikas izpildes serveris - Galvenais piekļuves kontroles organizēšanas mehānisms.
Sistēmas drošības politiku datu bāze.
Mijiedarbība ar LSM notikumu klausītāju.
Selinuxfs - Pseido-FS, tāds pats kā /proc un uzstādīts mapē /sys/fs/selinux. To izpildes laikā dinamiski aizpilda Linux kodols, un tajā ir faili, kas satur SELinux statusa informāciju.
Piekļūstiet vektora kešatmiņai - Palīgmehānisms veiktspējas uzlabošanai.

Kā darbojas SELinux

Tas viss darbojas šādi.

Subjekts SELinux izteiksmē veic atļauto darbību ar objektu pēc DAC pārbaudes, kā parādīts augšējā attēlā. Šis darbības pieprasījums tiek nosūtīts uz LSM notikumu uztvērēju.
No turienes pieprasījums kopā ar objekta un objekta drošības kontekstu tiek nodots SELinux Abstraction and Hook Logic modulim, kas ir atbildīgs par mijiedarbību ar LSM.
Politikas izpildes serveris ir lēmumu pieņemšanas iestāde par subjekta piekļuvi objektam, un tas saņem datus no SELinux AnHL.
Lai pieņemtu lēmumus par piekļuvi vai atteikumu, politikas izpildes serveris visbiežāk izmantotajām kārtulām izmanto Access Vector Cache (AVC) kešatmiņas apakšsistēmu.
Ja kešatmiņā atbilstošā noteikuma risinājums netiek atrasts, pieprasījums tiek nodots drošības politikas datu bāzei.
Meklēšanas rezultāts no datu bāzes un AVC tiek atgriezts politikas izpildes serverī.
Ja atrastā politika atbilst pieprasītajai darbībai, darbība ir atļauta. Pretējā gadījumā operācija ir aizliegta.

SELinux iestatījumu pārvaldība

SELinux darbojas vienā no trim režīmiem:

Izpilde – stingra drošības politikas izpilde.
Atļauja - Ierobežojumu pārkāpums ir pieļaujams, žurnālā tiek veikta atbilstoša atzīme.
Atspējots — drošības politikas nav spēkā.

Jūs varat redzēt, kādā režīmā ir SELinux, izmantojot šādu komandu.

[admin@server ~]$ getenforce
Permissive

Piemēram, mainot režīmu pirms atsāknēšanas, iestatiet to uz piespiedu vai 1. Atļaujošais parametrs atbilst ciparu kodam 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

Varat arī mainīt režīmu, rediģējot failu:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE=mērķis

Atšķirība no setenfoce ir tāda, ka operētājsistēmas sāknēšanas laikā SELinux režīms tiks iestatīts atbilstoši SELINUX parametra vērtībai konfigurācijas failā. Turklāt <=> atspējoto izmaiņu piespiedu izpilde stājas spēkā tikai rediģējot /etc/selinux/config failu un pēc atsāknēšanas.

Skatīt kopsavilkuma statusa pārskatu:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
Lai skatītu SELinux atribūtus, dažas akciju utilītas izmanto opciju -Z.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

Salīdzinot ar parasto ls -l izvadi, ir vairāki papildu lauki šādā formātā:

<user>:<role>:<type>:<level>

Pēdējais lauks apzīmē kaut ko līdzīgu drošības zīmogam un sastāv no divu elementu kombinācijas:

s0 - nozīmīgums, ierakstīts arī zema līmeņa-augsta līmeņa intervālā
c0, c1… c1023 ir kategorija.

Piekļuves konfigurācijas maiņa

Izmantojiet semodule, lai ielādētu SELinux moduļus, pievienotu un noņemtu tos.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

Pirmā komanda semanage pieteikšanās saista SELinux lietotāju ar operētājsistēmas lietotāju, otrajā to uzskaita. Visbeidzot, pēdējā komanda ar slēdzi -r noņem SELinux lietotāju kartēšanu OS kontiem. MLS/MCS diapazona vērtību sintakses skaidrojums ir sniegts iepriekšējā sadaļā.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
Komanda semanage lietotājs izmanto, lai pārvaldītu kartējumus starp SELinux lietotājiem un lomām.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

Komandu opcijas:

-a pievienot pielāgotu lomu kartēšanas ierakstu;
-l atbilstošo lietotāju un lomu saraksts;
-d dzēst lietotāja lomu kartēšanas ierakstu;
-R lietotājam piesaistīto lomu saraksts;

Faili, porti un Būla vērtības

Katrs SELinux modulis nodrošina failu marķēšanas noteikumu kopu, taču, ja nepieciešams, varat pievienot arī savus noteikumus. Piemēram, mēs vēlamies, lai tīmekļa serverim būtu piekļuves tiesības /srv/www mapei.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

Pirmā komanda reģistrē jaunus marķēšanas noteikumus, bet otrā atiestata vai drīzāk atklāj failu tipus saskaņā ar pašreizējiem noteikumiem.

Tāpat TCP/UDP porti ir marķēti tā, lai tos varētu klausīties tikai atbilstošie pakalpojumi. Piemēram, lai tīmekļa serveris klausītos portā 8080, jums ir jāpalaiž komanda.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

Ievērojamam skaitam SELinux moduļu ir parametri, kas var iegūt Būla vērtības. Visu šādu opciju sarakstu var redzēt ar getsebool -a. Būla vērtības var mainīt, izmantojot setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

Seminārs, iegūstiet piekļuvi Pgadmin tīmekļa saskarnei

Apsveriet piemēru no prakses, mēs instalējām pgadmin7.6-web uz RHEL 4, lai administrētu PostgreSQL datu bāzi. Pabraucām garām mazam quest iestatot pg_hba.conf, postgresql.conf un config_local.py, iestatiet tiesības uz mapēm, instalējiet trūkstošos Python moduļus no pip. Viss gatavs, skrien un saņemies 500 Iekšējā servera kļūda.

Mēs sākam ar tipiskiem aizdomās turamajiem, pārbaudiet /var/log/httpd/error_log. Tur ir daži interesanti ieraksti.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

Šajā brīdī lielākajai daļai Linux administratoru būs liels kārdinājums palaist setencorce 0 un ar to tikt galā. Godīgi sakot, šī ir pirmā reize, kad es to daru. Tas, protams, ir arī izeja, taču tālu no labākās.

Neskatoties uz apgrūtinošo dizainu, SELinux var būt lietotājam draudzīgs. Vienkārši instalējiet problēmu novēršanas pakotni un skatiet sistēmas žurnālu.

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

Ņemiet vērā, ka auditētais pakalpojums ir jārestartē šādā veidā, nevis ar systemctl, neskatoties uz systemd klātbūtni OS. Sistēmas žurnālā tiks norādīts ne tikai bloķēšanas fakts, bet arī iemesls un veids, kā pārvarēt aizliegumu.

Mēs izpildām šīs komandas:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1 [admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

Pārbaudām piekļuvi pgadmin4-web lapai, viss darbojas.

Avots: www.habr.com

Linux drošības sistēmas