अभ्यासक्रमाच्या विद्यार्थ्यांसाठी तयार केलेल्या लेखाचे भाषांतर "लिनक्स सुरक्षा"

SELinux किंवा सुरक्षा वर्धित Linux ही दुर्भावनापूर्ण घुसखोरी रोखण्यासाठी यूएस नॅशनल सिक्युरिटी एजन्सी (NSA) द्वारे विकसित केलेली वर्धित प्रवेश नियंत्रण यंत्रणा आहे. हे सक्तीचे (किंवा अनिवार्य) प्रवेश नियंत्रण मॉडेल (इंग्रजी अनिवार्य प्रवेश नियंत्रण, MAC) विद्यमान विवेकाधीन (किंवा निवडक) मॉडेल (इंग्लिश विवेकाधिकारी प्रवेश नियंत्रण, DAC) च्या शीर्षस्थानी लागू करते, म्हणजेच वाचन, लेखन, कार्यान्वित करण्याची परवानगी.

SELinux मध्ये तीन मोड आहेत:

अंमलबजावणी करणे - धोरण नियमांवर आधारित प्रवेश नाकारणे.
अनुज्ञेय — पॉलिसीचे उल्लंघन करणार्‍या कृतींचा लॉग ठेवणे, ज्यांना अंमलबजावणी मोडमध्ये प्रतिबंधित केले जाईल.
अक्षम SELinux पूर्ण अक्षम करणे.

डीफॉल्टनुसार सेटिंग्ज आहेत /etc/selinux/config

SELinux मोड बदलत आहे

वर्तमान मोड शोधण्यासाठी, चालवा

$ getenforce

मोड परमिशनिव्हमध्ये बदलण्यासाठी खालील कमांड चालवा

$ setenforce 0

किंवा, पासून मोड बदलण्यासाठी परवानगी वर अंमलबजावणी, अंमलात आणा

$ setenforce 1

जर तुम्हाला SELinux पूर्णपणे अक्षम करायचे असेल, तर हे फक्त कॉन्फिगरेशन फाइलद्वारे केले जाऊ शकते

$ vi /etc/selinux/config

अक्षम करण्यासाठी, खालीलप्रमाणे SELINUX पॅरामीटर बदला:

SELINUX=disabled

SELinux सेट करत आहे

प्रत्येक फाइल आणि प्रक्रिया SELinux संदर्भासह चिन्हांकित केली जाते, ज्यामध्ये वापरकर्ता, भूमिका, प्रकार इ. यासारखी अतिरिक्त माहिती असते. SELinux सक्षम करण्याची ही तुमची पहिलीच वेळ असल्यास, तुम्हाला प्रथम संदर्भ आणि लेबले कॉन्फिगर करणे आवश्यक आहे. लेबल आणि संदर्भ नियुक्त करण्याची प्रक्रिया टॅगिंग म्हणून ओळखली जाते. मार्किंग सुरू करण्यासाठी, कॉन्फिगरेशन फाइलमध्ये आम्ही मोड बदलतो परवानगी.

$ vi /etc/selinux/config
SELINUX=permissive

मोड सेट केल्यानंतर परवानगी, नावासह रूटमध्ये एक रिकामी लपलेली फाइल तयार करा autorelabel

$ touch /.autorelabel

आणि संगणक रीस्टार्ट करा

$ init 6

टीप: आम्ही मोड वापरतो परवानगी मार्किंगसाठी, मोड वापरल्यापासून अंमलबजावणी रीबूट करताना सिस्टम क्रॅश होऊ शकते.

डाउनलोड काही फाइलवर अडकल्यास काळजी करू नका, चिन्हांकित करण्यास थोडा वेळ लागतो. मार्किंग पूर्ण झाल्यावर आणि तुमची सिस्टम बूट झाल्यावर, तुम्ही कॉन्फिगरेशन फाइलवर जाऊन मोड सेट करू शकता अंमलबजावणीआणि चालवा:

$ setenforce 1

तुम्ही आता तुमच्या संगणकावर SELinux यशस्वीरित्या सक्षम केले आहे.

नोंदींचे निरीक्षण करणे

तुम्हाला चिन्हांकित करताना किंवा सिस्टम चालू असताना काही त्रुटी आल्या असतील. तुमचा SELinux योग्यरितीने काम करत आहे की नाही हे तपासण्यासाठी आणि ते कोणत्याही पोर्ट, ऍप्लिकेशन इ. मध्ये प्रवेश अवरोधित करत नसेल तर, तुम्हाला लॉग पहावे लागतील. SELinux लॉग मध्ये स्थित आहे /var/log/audit/audit.log, परंतु त्रुटी शोधण्यासाठी तुम्हाला संपूर्ण गोष्ट वाचण्याची आवश्यकता नाही. त्रुटी शोधण्यासाठी तुम्ही audit2why युटिलिटी वापरू शकता. खालील आदेश चालवा:

$ audit2why < /var/log/audit/audit.log

परिणामी, तुम्हाला त्रुटींची सूची मिळेल. लॉगमध्ये त्रुटी नसल्यास, कोणतेही संदेश प्रदर्शित केले जाणार नाहीत.

SELinux धोरण कॉन्फिगर करत आहे

SELinux धोरण हे SELinux सुरक्षा यंत्रणा नियंत्रित करणारे नियमांचा संच आहे. धोरण विशिष्ट वातावरणासाठी नियमांचा संच परिभाषित करते. आता आपण निषिद्ध सेवांमध्ये प्रवेश करण्यासाठी धोरणे कशी कॉन्फिगर करायची ते शिकू.

1. तार्किक मूल्ये (स्विच)

स्विचेस (बूलियन) तुम्हाला रनटाइममध्ये पॉलिसीचे काही भाग बदलण्याची परवानगी देतात, नवीन पॉलिसी तयार न करता. ते तुम्हाला SELinux पॉलिसी रिबूट न करता किंवा पुन्हा कंपाइल न करता बदल करण्याची परवानगी देतात.

उदाहरण:
समजा आम्हाला वापरकर्त्याची होम डिरेक्टरी FTP रीड/राइट द्वारे शेअर करायची आहे आणि आम्ही ती आधीच शेअर केली आहे, पण जेव्हा आम्ही त्यात प्रवेश करण्याचा प्रयत्न करतो तेव्हा आम्हाला काहीही दिसत नाही. याचे कारण असे की SELinux धोरण FTP सर्व्हरला वापरकर्त्याच्या होम डिरेक्ट्रीमध्ये वाचन आणि लिहिण्यापासून प्रतिबंधित करते. आम्हाला धोरण बदलण्याची गरज आहे जेणेकरून FTP सर्व्हर होम डिरेक्टरीमध्ये प्रवेश करू शकेल. यासाठी काही स्विचेस आहेत का ते पाहू

$ semanage boolean -l

हा आदेश उपलब्ध स्विचेसची त्यांची वर्तमान स्थिती (चालू किंवा बंद) आणि वर्णनासह सूचीबद्ध करेल. तुम्ही फक्त ftp परिणाम शोधण्यासाठी grep जोडून तुमचा शोध सुधारू शकता:

$ semanage boolean -l | grep ftp

आणि तुम्हाला खालील गोष्टी सापडतील

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

हे स्विच अक्षम केले आहे, म्हणून आम्ही ते सक्षम करू setsebool $ setsebool ftp_home_dir on

आता आमचा एफटीपी डिमन वापरकर्त्याच्या होम डिरेक्टरीमध्ये प्रवेश करण्यास सक्षम असेल.
टीप: तुम्ही वर्णनाशिवाय उपलब्ध स्विचेसची सूची देखील मिळवू शकता getsebool -a

2. लेबल आणि संदर्भ

SELinux धोरणाची अंमलबजावणी करण्याचा हा सर्वात सामान्य मार्ग आहे. प्रत्येक फाइल, फोल्डर, प्रक्रिया आणि पोर्ट SELinux संदर्भाने चिन्हांकित केले आहे:

फाइल्स आणि फोल्डर्ससाठी, लेबले फाइल सिस्टमवर विस्तारित विशेषता म्हणून संग्रहित केली जातात आणि खालील आदेशासह पाहिली जाऊ शकतात:
```
$ ls -Z /etc/httpd
```
प्रक्रिया आणि पोर्टसाठी, लेबलिंग कर्नलद्वारे व्यवस्थापित केले जाते, आणि तुम्ही ही लेबले खालीलप्रमाणे पाहू शकता:

प्रक्रिया

$ ps –auxZ | grep httpd

बंदर

$ netstat -anpZ | grep httpd

उदाहरण:
आता लेबले आणि संदर्भ अधिक चांगल्या प्रकारे समजून घेण्यासाठी एक उदाहरण पाहू. समजा आमच्याकडे निर्देशिका ऐवजी वेब सर्व्हर आहे /var/www/html/ использует /home/dan/html/. SELinux हे धोरणाचे उल्लंघन मानेल आणि तुम्ही तुमची वेब पृष्ठे पाहू शकणार नाही. हे असे आहे कारण आम्ही HTML फाइल्सशी संबंधित सुरक्षा संदर्भ सेट केलेला नाही. डीफॉल्ट सुरक्षा संदर्भ पाहण्यासाठी, खालील आदेश वापरा:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

येथे आम्हाला मिळाले httpd_sys_content_t html फाइल्ससाठी संदर्भ म्हणून. आम्हाला आमच्या वर्तमान निर्देशिकेसाठी हा सुरक्षा संदर्भ सेट करणे आवश्यक आहे, ज्यामध्ये सध्या खालील संदर्भ आहेत:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

फाइल किंवा निर्देशिकेचा सुरक्षितता संदर्भ तपासण्यासाठी पर्यायी आदेश:

$ semanage fcontext -l | grep '/var/www'

एकदा आम्हाला योग्य सुरक्षा संदर्भ सापडला की आम्ही संदर्भ बदलण्यासाठी semanage देखील वापरू. /home/dan/html चा संदर्भ बदलण्यासाठी, खालील आदेश चालवा:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

semanage वापरून संदर्भ बदलल्यानंतर, restorecon कमांड फाइल्स आणि डिरेक्टरींसाठी डीफॉल्ट संदर्भ लोड करेल. आमचा वेब सर्व्हर आता फोल्डरमधील फाइल्स वाचण्यास सक्षम असेल /home/dan/htmlकारण या फोल्डरसाठी सुरक्षा संदर्भ मध्ये बदलला गेला आहे httpd_sys_content_t.

3. स्थानिक धोरणे तयार करा

अशी परिस्थिती असू शकते जेव्हा वरील पद्धतींचा तुम्हाला उपयोग होत नाही आणि तुम्हाला audit.log मध्ये त्रुटी (avc/denial) आढळतात. असे झाल्यावर, तुम्हाला स्थानिक धोरण तयार करावे लागेल. तुम्ही वर वर्णन केल्याप्रमाणे audit2why वापरून सर्व त्रुटी शोधू शकता.

त्रुटींचे निराकरण करण्यासाठी तुम्ही स्थानिक धोरण तयार करू शकता. उदाहरणार्थ, आम्हाला httpd (apache) किंवा smbd (samba) शी संबंधित त्रुटी आढळते, आम्ही त्रुटी समजून घेतो आणि त्यांच्यासाठी धोरण तयार करतो:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

तो आहे http_policy и smb_policy आम्ही तयार केलेल्या स्थानिक धोरणांची नावे आहेत. आता आम्हाला या तयार केलेल्या स्थानिक पॉलिसी सध्याच्या SELinux पॉलिसीमध्ये लोड करणे आवश्यक आहे. हे खालीलप्रमाणे केले जाऊ शकते:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

आमची स्थानिक धोरणे डाउनलोड केली गेली आहेत आणि आम्हाला यापुढे audit.log मध्ये कोणतेही avc किंवा denail प्राप्त होणार नाही.

SELinux समजून घेण्यास मदत करण्याचा हा माझा प्रयत्न होता. मला आशा आहे की हा लेख वाचल्यानंतर तुम्हाला SELinux सह अधिक सोयीस्कर वाटेल.

स्त्रोत: www.habr.com

SELinux साठी नवशिक्या मार्गदर्शक