Линукс безбедносни системи

Една од причините за огромниот успех на Linux OS на вградени, мобилни уреди и сервери е прилично високиот степен на безбедност на кернелот, поврзаните услуги и апликации. Но ако погледнете одблизу на архитектурата на кернелот Линукс, тогаш е невозможно во него да се најде квадрат одговорен за безбедноста како таков. Каде се крие безбедносниот потсистем Linux и од што се состои?

Позадина на безбедносните модули на Linux и SELinux

Подобрен Linux за безбедност е збир на правила и механизми за пристап базирани на задолжителни и модели за пристап засновани на улоги за заштита на системите на Linux од потенцијални закани и за корегирање на недостатоците на Дискреционата контрола на пристап (DAC), традиционалниот безбедносен систем Unix. Проектот потекнува од утробата на американската Агенција за национална безбедност, а беше директно развиен главно од изведувачите Secure Computing Corporation и MITER, како и голем број истражувачки лаборатории.

Линукс безбедносни модули

Линус Торвалдс даде голем број коментари за новите случувања на NSA, така што тие би можеле да бидат вклучени во главниот кернел на Линукс. Тој опиша општа средина, со збир на пресретнувачи за контрола на операциите со објекти и збир на одредени заштитни полиња во структурите на податоци на јадрото за складирање на соодветните атрибути. Оваа средина потоа може да се користи од модули на кернелот што може да се вчитаат за да се имплементира кој било посакуван безбедносен модел. LSM целосно влезе во кернелот Linux v2.6 во 2003 година.

Рамката LSM вклучува заштитни полиња во структурите на податоци и повици до функции за пресретнување на критичните точки во кодот на јадрото за да се манипулира со нив и да се изврши контрола на пристап. Исто така, додава функционалност за регистрирање безбедносни модули. Интерфејсот /sys/kernel/security/lsm содржи листа на активни модули на системот. LSM куките се зачувани во списоци што се повикуваат по редоследот наведен во CONFIG_LSM. Деталната документација за куките е вклучена во заглавието на датотеката include/linux/lsm_hooks.h.

Потсистемот LSM овозможи да се заврши целосната интеграција на SELinux со истата верзија на стабилниот Linux кернел v2.6. Речиси веднаш, SELinux стана де факто стандард за безбедна околина на Linux и беше вклучен во најпопуларните дистрибуции: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

Поимник на SELinux

• Идентитет — Корисникот на SELinux не е ист како вообичаениот кориснички ID на Unix/Linux; тие можат да коегзистираат на истиот систем, но се сосема различни во суштина. Секоја стандардна сметка на Линукс може да одговара на една или повеќе во SELinux. Идентитетот SELinux е дел од целокупниот безбедносен контекст, кој одредува на кои домени може и не може да им се придружите.
• домени - Во SELinux, доменот е контекст на извршување на предмет, т.е. процес. Доменот директно го одредува пристапот што го има процесот. Доменот во основа е список на тоа што процесите можат да направат или што може да направи еден процес со различни типови. Некои примери на домени се sysadm_t за системска администрација и user_t кој е нормален непривилегиран кориснички домен. Системот init работи во доменот init_t, а именуваниот процес работи во доменот named_t.
• Улоги — Што служи како посредник помеѓу домените и корисниците на SELinux. Улогите одредуваат до кои домени може да припаѓа корисникот и до кои типови на објекти може да пристапи. Овој механизам за контрола на пристап ја спречува заканата од напади за зголемување на привилегиите. Улогите се запишани во безбедносниот модел за контрола на пристап врз основа на улоги (RBAC) што се користи во SELinux.
• Видови — Атрибут Type Enforcement list што се доделува на објект и одредува кој може да му пристапи. Слично на дефиницијата на доменот, освен што доменот се однесува на процес, а типот се однесува на објекти како што се директориуми, датотеки, приклучоци итн.
• Предмети и предмети - Процесите се предмети и се извршуваат во специфичен контекст или безбедносен домен. Ресурси на оперативниот систем: датотеки, директориуми, сокети итн., се објекти на кои им е доделен одреден тип, со други зборови, ниво на приватност.
• Политики на SELinux — SELinux користи различни политики за заштита на системот. Политиката SELinux го дефинира пристапот на корисниците до улоги, улоги до домени и домени до типови. Прво, корисникот е овластен да добие улога, а потоа улогата е овластен да пристапува до домени. Конечно, доменот може да има пристап само до одредени типови на објекти.

LSM и архитектурата SELinux

И покрај името, LSM-овите генерално не се модули на Linux што може да се вчитаат. Сепак, како и SELinux, тој е директно интегриран во кернелот. Секоја промена на изворниот код на LSM бара нова компилација на кернелот. Соодветната опција мора да биде овозможена во поставките на кернелот, инаку LSM-кодот нема да се активира по подигањето. Но, дури и во овој случај, може да се овозможи со опцијата за подигнувач на ОС.

Оџак за проверка на LSM

LSM е опремен со куки во функциите на јадрото на јадрото кои можат да бидат релевантни за проверки. Една од главните карактеристики на LSM е тоа што тие се наредени. Така, стандардните проверки сè уште се вршат, а секој слој на LSM само додава дополнителни контроли и контроли. Тоа значи дека забраната не може да се врати назад. Ова е прикажано на сликата; ако резултатот од рутинските проверки на DAC е неуспех, тогаш материјата нема да стигне ни до LSM куките.

SELinux ја прифаќа безбедносната архитектура Flask на оперативниот систем за истражување Fluke, особено принципот на најмала привилегија. Суштината на овој концепт, како што сугерира неговото име, е да му се доделат на корисникот или да се обработат само оние права кои се неопходни за извршување на планираните дејства. Овој принцип се имплементира со употреба на пишување со принуден пристап, така што контролата на пристапот во SELinux се заснова на моделот тип домен =>.

Благодарение на пишувањето со принуден пристап, SELinux има многу поголеми способности за контрола на пристап од традиционалниот модел DAC што се користи во оперативните системи Unix/Linux. На пример, можете да го ограничите бројот на мрежната порта со која ќе се поврзе серверот ftp, да дозволите пишување и менување датотеки во одредена папка, но не и нивно бришење.

Главните компоненти на SELinux се:

• Сервер за спроведување политики — Главниот механизам за организирање на контрола на пристап.
• База на податоци за безбедносните политики на системот.
• Интеракција со пресретнувачот на настани LSM.
• Selinuxfs - Псевдо-FS, исто како /proc и монтиран во /sys/fs/selinux. Динамично населено со кернелот на Linux при извршување и содржи датотеки што содржат информации за статусот на SELinux.
• Пристап до векторскиот кеш — Помошен механизам за зголемување на продуктивноста.

Како функционира SELinux

Сето тоа функционира вака.

1. Одреден субјект, во термини SELinux, врши дозволено дејство на објект по проверка на DAC, како што е прикажано на горната слика. Ова барање за извршување на операција оди до пресретнувачот на настани LSM.
2. Оттаму, барањето, заедно со безбедносниот контекст на предметот и објектот, се пренесува на модулот SELinux Abstraction and Hook Logic, кој е одговорен за интеракција со LSM.
3. Органот за одлучување за пристапот на субјектот до објектот е серверот за спроведување политики и тој добива податоци од SELinux AnHL.
4. За да донесува одлуки за пристап или одбивање, серверот за спроведување на политики се свртува кон подсистемот за кеширање со векторски кеш за пристап (AVC) за најкористените правила.
5. Ако решението за соодветното правило не се најде во кешот, тогаш барањето се пренесува до базата на податоци за безбедносни политики.
6. Резултатот од пребарувањето од базата на податоци и AVC се враќа на серверот за спроведување на политики.
7. Ако пронајдената политика се совпаѓа со бараното дејство, тогаш операцијата е дозволена. Во спротивно, операцијата е забранета.

Управување со поставките на SELinux

SELinux работи во еден од трите режими:

• Спроведување - Строго придржување кон безбедносните политики.
• Дозволено - Дозволено е прекршување на ограничувањата; соодветната белешка е направена во списанието.
• Оневозможено - Безбедносните политики не се на сила.

Можете да видите во кој режим е SELinux со следнава команда.

[admin@server ~]$ getenforce
Permissive

Промена на режимот пред рестартирање, на пример, поставување на наметнување или 1. Дозволениот параметар одговара на нумеричкиот код 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

Можете исто така да го промените режимот со уредување на датотеката:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=цел

Разликата со setenfoce е во тоа што кога ќе се подигне оперативниот систем, режимот SELinux ќе се постави во согласност со вредноста на параметарот SELINUX во конфигурациската датотека. Дополнително, промените во спроведувањето <=> оневозможено стапуваат на сила само со уредување на датотеката /etc/selinux/config и по рестартирање.

Погледнете краток извештај за статусот:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
За да ги видите атрибутите на SELinux, некои стандардни алатки го користат параметарот -Z.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

Во споредба со нормалниот излез на ls -l, има неколку дополнителни полиња во следниов формат:

<user>:<role>:<type>:<level>

Последното поле означува нешто како безбедносна класификација и се состои од комбинација од два елементи:

• s0 - значење, исто така напишано како интервал од ниско-високо ниво
• c0, c1… c1023 - категорија.

Промена на конфигурацијата за пристап

Користете semodule за вчитување, додавање и отстранување на SELinux модули.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

Прв тим менаџирање на најавување го поврзува корисникот SELinux со корисникот на оперативниот систем, вториот прикажува список. Конечно, последната команда со прекинувачот -r го отстранува мапирањето на корисниците на SELinux на сметките на ОС. Објаснувањето на синтаксата за вредностите на опсегот MLS/MCS е во претходниот дел.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

Тим управување со корисникот се користи за управување со мапирања помеѓу корисниците и улогите на SELinux.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

Командни параметри:

• -додадете приспособен запис за мапирање на улоги;
• -l листа на соодветни корисници и улоги;
• -г да се избрише записот за мапирање на улоги на корисникот;
• -Р листа на улоги прикачени на корисникот;

Датотеки, пристаништа и Булови вредности

Секој модул SELinux обезбедува збир на правила за означување на датотеки, но можете да додадете и свои правила доколку е потребно. На пример, сакаме веб-серверот да има права за пристап до папката /srv/www.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

Првата команда регистрира нови правила за обележување, а втората ги ресетира, или подобро кажано, ги поставува типовите на датотеки во согласност со тековните правила.

Исто така, TCP/UDP портите се означени на таков начин што само соодветните сервиси можат да ги слушаат. На пример, за да може веб-серверот да слуша на портата 8080, треба да ја извршите командата.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

Значителен број на SELinux модули имаат параметри кои можат да земат Булови вредности. Целата листа на такви параметри може да се види со користење на getsebool -a. Можете да ги менувате буловите вредности користејќи setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

Работилница, добијте пристап до Pgadmin-веб интерфејсот

Ајде да погледнеме практичен пример: инсталиравме pgadmin7.6-web на RHEL 4 за да ја администрираме базата на податоци PostgreSQL. Прошетавме малку потрага со поставките на pg_hba.conf, postgresql.conf и config_local.py, поставете дозволи за папки, ги инсталирав исчезнатите Python модули од pip. Сè е подготвено, лансираме и добиваме 500 Внатрешна грешка на серверот.

Започнуваме со типичните осомничени, проверувајќи го /var/log/httpd/error_log. Има некои интересни записи таму.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

Во овој момент, повеќето администратори на Линукс ќе бидат во силно искушение да извршат setencorce 0, и тоа ќе биде крајот на тоа. Искрено, јас го направив токму тоа првиот пат. Ова е секако и излез, но далеку од најдобар.

И покрај незгодните дизајни, SELinux може да биде лесен за користење. Само инсталирајте го пакетот setroubleshoot и погледнете го системскиот дневник.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

Имајте предвид дека ревидираната услуга мора да се рестартира на овој начин и да не се користи systemctl, и покрај присуството на systemd во ОС. Во дневникот на системот ќе бидат назначени не само фактот на блокирање, туку и причината и начин да се надмине забраната.

Ги извршуваме овие команди:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

Го проверуваме пристапот до веб-страницата pgadmin4, сè работи.

Извор: www.habr.com