Превод на написот подготвен за студенти на курсеви „Безбедност на Линукс“

SELinux или Security Enhanced Linux е подобрен механизам за контрола на пристап развиен од американската Агенција за национална безбедност (NSA) за да се спречат малициозни упади. Имплементира принуден (или задолжителен) модел за контрола на пристап (англиски задолжителна контрола на пристап, MAC) на врвот на постоечкиот дискреционен (или селективен) модел (англиска дискрециона контрола на пристап, DAC), односно дозволи за читање, пишување, извршување.

SELinux има три режими:

Спроведување — Одбивање пристап врз основа на правилата на политиката.
Дозволено — водење дневник на дејствија што ја прекршуваат политиката, што би било забрането во режимот на извршување.
Исклучено — целосно оневозможување на SELinux.

Стандардно, поставките се внатре /etc/selinux/config

Промена на режимите на SELinux

За да го дознаете тековниот режим, стартувајте

$ getenforce

За да го промените режимот во попустлив, извршете ја следнава команда

$ setenforce 0

или, за да го промените режимот од попустлив на спроведување, изврши

$ setenforce 1

Ако треба целосно да го оневозможите SELinux, тогаш тоа може да се направи само преку конфигурациската датотека

$ vi /etc/selinux/config

За да го исклучите, променете го параметарот SELINUX на следниов начин:

SELINUX=disabled

Поставување на SELinux

Секоја датотека и процес се означени со контекст SELinux, кој содржи дополнителни информации како корисник, улога, тип итн. Ако ова ви е прв пат да го овозможите SELinux, прво ќе треба да ги конфигурирате контекстот и етикетите. Процесот на доделување етикети и контекст е познат како означување. За да започнете со обележување, во конфигурациската датотека го менуваме режимот во попустлив.

$ vi /etc/selinux/config
SELINUX=permissive

По поставувањето на режимот попустлив, креирајте празна скриена датотека во коренот со името autorelabel

$ touch /.autorelabel

и рестартирајте го компјутерот

$ init 6

Забелешка: Ние го користиме режимот попустлив за означување, од употребата на режимот спроведување може да предизвика пад на системот при рестартирање.

Не грижете се ако преземањето се заглави на некоја датотека, обележувањето трае малку. Откако ќе заврши обележувањето и вашиот систем ќе се подигне, можете да отидете во конфигурациската датотека и да го поставите режимот спроведувањеи исто така трчајте:

$ setenforce 1

Сега успешно го вклучивте SELinux на вашиот компјутер.

Следење на дневниците

Можеби сте наишле на некои грешки за време на обележувањето или додека системот работи. За да проверите дали вашиот SELinux работи правилно и дали не го блокира пристапот до која било порта, апликација итн., треба да ги погледнете дневниците. Дневникот SELinux се наоѓа во /var/log/audit/audit.log, но не треба да ја читате целата работа за да најдете грешки. Можете да ја користите алатката audit2why за да пронајдете грешки. Извршете ја следнава команда:

$ audit2why < /var/log/audit/audit.log

Како резултат на тоа, ќе добиете листа на грешки. Ако немаше грешки во дневникот, тогаш нема да се прикажат пораки.

Конфигурирање на политиката на SELinux

Политиката SELinux е збир на правила што го регулираат безбедносниот механизам SELinux. Политиката дефинира збир на правила за одредена средина. Сега ќе научиме како да ги конфигурираме политиките за да дозволиме пристап до забранети услуги.

1. Логички вредности (прекинувачи)

Прекинувачите (булови) ви дозволуваат да менувате делови од политиката при извршување, без да треба да креирате нови политики. Тие ви дозволуваат да правите промени без рестартирање или прекомпајлирање на политиките на SELinux.

Пример
Да речеме дека сакаме да го споделиме домашниот директориум на корисникот преку FTP читање/запишување, и веќе сме го споделиле, но кога се обидуваме да пристапиме до него, не гледаме ништо. Ова е затоа што политиката SELinux го спречува FTP-серверот да чита и пишува во домашниот директориум на корисникот. Треба да ја смениме политиката за да може FTP-серверот да пристапи до домашните директориуми. Ајде да видиме дали има прекинувачи за ова со тоа

$ semanage boolean -l

Оваа команда ќе ги наведе достапните прекинувачи со нивната моментална состојба (вклучено или исклучено) и опис. Можете да го усовршите вашето пребарување со додавање grep за да најдете резултати само за ftp:

$ semanage boolean -l | grep ftp

и ќе го најдете следново

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

Овој прекинувач е оневозможен, па ќе го овозможиме со setsebool $ setsebool ftp_home_dir on

Сега нашиот ftp демон ќе може да пристапи до домашниот директориум на корисникот.
Забелешка: Можете исто така да добиете листа на достапни прекинувачи без опис со тоа getsebool -a

2. Етикети и контекст

Ова е најчестиот начин за спроведување на политиката SELinux. Секоја датотека, папка, процес и порта е означена со контекстот SELinux:

За датотеките и папките, етикетите се зачувуваат како продолжени атрибути на датотечниот систем и може да се гледаат со следнава команда:
```
$ ls -Z /etc/httpd
```
За процесите и портите, етикетирањето го управува кернелот и можете да ги прегледате овие етикети на следниов начин:

процес

$ ps –auxZ | grep httpd

пристаништето

$ netstat -anpZ | grep httpd

Пример
Сега да погледнеме пример за подобро да ги разбереме етикетите и контекстот. Да речеме дека имаме веб-сервер кој наместо директориум /var/www/html/ использует /home/dan/html/. SELinux ќе го смета ова за прекршување на политиката и нема да можете да ги гледате вашите веб-страници. Ова е затоа што не го поставивме безбедносниот контекст поврзан со HTML-датотеките. За да го видите стандардниот безбедносен контекст, користете ја следнава команда:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

Еве го добивме httpd_sys_content_t како контекст за html датотеки. Треба да го поставиме овој безбедносен контекст за нашиот тековен директориум, кој моментално го има следниот контекст:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

Алтернативна команда за проверка на безбедносниот контекст на датотека или директориум:

$ semanage fcontext -l | grep '/var/www'

Ние, исто така, ќе користиме semanage за да го промениме контекстот откако ќе го најдеме точниот безбедносен контекст. За да го промените контекстот на /home/dan/html, извршете ги следните команди:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

Откако ќе се смени контекстот со користење на semanage, командата restorecon ќе го вчита стандардниот контекст за датотеките и директориумите. Нашиот веб-сервер сега ќе може да чита датотеки од папката /home/dan/htmlбидејќи безбедносниот контекст за оваа папка е променет во httpd_sys_content_t.

3. Креирајте локални политики

Може да има ситуации кога горенаведените методи не ви се од корист и добивате грешки (avc/denial) во audit.log. Кога тоа ќе се случи, треба да креирате локална политика. Можете да ги најдете сите грешки користејќи audit2why, како што е опишано погоре.

Можете да креирате локална политика за да ги решите грешките. На пример, добиваме грешка поврзана со httpd (апачи) или smbd (самба), ги префаќаме грешките и создаваме политика за нив:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

Тука http_policy и smb_policy се имињата на локалните политики што ги создадовме. Сега треба да ги вчитаме овие креирани локални политики во тековната политика на SELinux. Ова може да се направи на следниов начин:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

Нашите локални политики се преземени и повеќе не треба да добиваме avc или denail во audit.log.

Ова беше мојот обид да ви помогнам да го разберете SELinux. Се надевам дека откако ќе ја прочитате оваа статија ќе се чувствувате поудобно со SELinux.

Извор: www.habr.com

Водич за почетници за SELinux