🥇 SELinux वर सिस्टम प्रशासकांसाठी चीट शीट: महत्त्वाच्या प्रश्नांची ४२ उत्तरे

लेखाचा अनुवाद विशेषतः अभ्यासक्रमाच्या विद्यार्थ्यांसाठी तयार केला होता "लिनक्स प्रशासक".

येथे तुम्हाला जीवन, विश्व आणि Linux मधील प्रत्येक गोष्टीबद्दलच्या महत्त्वाच्या प्रश्नांची उत्तरे सुधारित सुरक्षिततेसह मिळतील.

"गोष्टी नेहमी जशा दिसतात तशा नसतात हे महत्त्वाचे सत्य सामान्य ज्ञान आहे..."

-डग्लस ऍडम्स, आकाशगंगा साठी Hitchhiker's मार्गदर्शक

सुरक्षितता. वाढलेली विश्वासार्हता. पत्रव्यवहार. धोरण. Apocalypse sysadmin चे चार घोडेस्वार. आमच्या दैनंदिन कामांव्यतिरिक्त - निरीक्षण, बॅकअप, अंमलबजावणी, कॉन्फिगरेशन, अपडेट करणे इ. - आम्ही आमच्या सिस्टमच्या सुरक्षिततेसाठी देखील जबाबदार आहोत. अगदी त्या सिस्टीम जेथे तृतीय-पक्ष प्रदात्याने आम्ही वर्धित सुरक्षा अक्षम करण्याची शिफारस केली आहे. काम वाटतं इथन हंट "मिशन: अशक्य" मधून.

या कोंडीला तोंड देत, काही यंत्रणा प्रशासक घेण्याचा निर्णय घेतात निळी गोळी, कारण त्यांना असे वाटते की त्यांना जीवनाच्या, विश्वाच्या आणि त्या सर्वांच्या मोठ्या प्रश्नाचे उत्तर कधीच कळणार नाही. आणि जसे आपण सर्व जाणतो, ते उत्तर 42 आहे.

The Hitchhiker's Guide to the Galaxy च्या भावनेनुसार, नियंत्रण आणि वापराविषयी महत्त्वाच्या प्रश्नांची ४२ उत्तरे येथे आहेत. SELinux तुमच्या सिस्टमवर.

1. SELinux ही सक्तीने प्रवेश नियंत्रण प्रणाली आहे, याचा अर्थ प्रत्येक प्रक्रियेला एक लेबल असते. प्रत्येक फाइल, निर्देशिका आणि सिस्टम ऑब्जेक्टमध्ये लेबले देखील असतात. धोरण नियम टॅग केलेल्या प्रक्रिया आणि ऑब्जेक्ट्स दरम्यान प्रवेश नियंत्रित करतात. कर्नल या नियमांची अंमलबजावणी करते.

2. दोन सर्वात महत्वाच्या संकल्पना आहेत: लेबलिंग — खुणा (फाइल, प्रक्रिया, पोर्ट इ.) आणि अंमलबजावणीचा प्रकार (जे प्रकारांवर आधारित प्रक्रियांना एकमेकांपासून वेगळे करते).

3. योग्य लेबल स्वरूप user:role:type:level (पर्यायी).

4. बहु-स्तरीय सुरक्षा प्रदान करण्याचा उद्देश (बहु-स्तरीय सुरक्षा - MLS) म्हणजे ते वापरत असलेल्या डेटाच्या सुरक्षिततेच्या स्तरावर आधारित प्रक्रिया (डोमेन) व्यवस्थापित करणे. उदाहरणार्थ, गुप्त प्रक्रिया शीर्ष गुप्त डेटा वाचू शकत नाही.

5. बहु-श्रेणी सुरक्षा सुनिश्चित करणे (बहु-श्रेणी सुरक्षा - MCS) समान प्रक्रियांचे एकमेकांपासून संरक्षण करते (उदाहरणार्थ, व्हर्च्युअल मशीन्स, ओपनशिफ्ट इंजिन, SELinux सँडबॉक्सेस, कंटेनर इ.).

6. बूट करताना SELinux मोड बदलण्यासाठी कर्नल पर्याय:

autorelabel=1 → प्रणालीला रिलेबलिंग चालवण्यास कारणीभूत ठरते
selinux=0 → कर्नल SELinux इन्फ्रास्ट्रक्चर लोड करत नाही
enforcing=0 → परवानगी मोडमध्ये लोड होत आहे

7. तुम्हाला संपूर्ण सिस्टीम रिलेबल करायची असल्यास:

# touch /.autorelabel #reboot

सिस्टीम मार्किंगमध्ये मोठ्या प्रमाणात त्रुटी असल्यास, तुम्हाला यशस्वी होण्यासाठी रिमार्किंगसाठी परवानगी मोडमध्ये बूट करावे लागेल.

8. SELinux सक्षम आहे का ते तपासण्यासाठी: # getenforce

9. SELinux तात्पुरते सक्षम/अक्षम करण्यासाठी: # setenforce [1|0]

10. SELinux स्थिती तपासत आहे: # sestatus

11. कॉन्फिगरेशन फाइल: /etc/selinux/config

12. SELinux कसे कार्य करते? Apache वेब सर्व्हरसाठी चिन्हांकित करण्याचे उदाहरण येथे आहे:

बायनरी प्रतिनिधित्व: /usr/sbin/httpd→httpd_exec_t
कॉन्फिगरेशन निर्देशिका: /etc/httpd→httpd_config_t
लॉग फाइल निर्देशिका: /var/log/httpd → httpd_log_t
सामग्री निर्देशिका: /var/www/html → httpd_sys_content_t
स्क्रिप्ट लाँच करा: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
प्रक्रिया: /usr/sbin/httpd -DFOREGROUND → httpd_t
बंदरे: 80/tcp, 443/tcp → httpd_t, http_port_t

संदर्भात चालू असलेली प्रक्रिया httpd_t, लेबल केलेल्या ऑब्जेक्टशी संवाद साधू शकतो httpd_something_t.

13. अनेक आज्ञा एक युक्तिवाद स्वीकारतात -Z संदर्भ पाहण्यासाठी, तयार करण्यासाठी आणि बदलण्यासाठी:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

जेव्हा फायली त्यांच्या मूळ निर्देशिकेच्या संदर्भावर आधारित तयार केल्या जातात तेव्हा संदर्भ स्थापित केले जातात (काही अपवादांसह). RPM प्रतिष्ठापनवेळी संदर्भ स्थापित करू शकतात.

14. SELinux त्रुटींची चार मुख्य कारणे आहेत, ज्यांचे अधिक तपशीलवार वर्णन खालील बिंदू 15-21 मध्ये केले आहे:

लेबलिंग समस्या
SELinux ला माहित असणे आवश्यक असलेल्या एखाद्या गोष्टीमुळे
SELinux धोरण/अनुप्रयोगात त्रुटी
तुमच्या माहितीशी तडजोड होऊ शकते

15. लेबलिंग समस्या: जर तुमच्या फायली असतील /srv/myweb चुकीच्या पद्धतीने चिन्हांकित केले आहे, प्रवेश नाकारला जाऊ शकतो. याचे निराकरण करण्याचे काही मार्ग येथे आहेत:

तुम्हाला लेबल माहित असल्यास:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
तुम्हाला समतुल्य खुणा असलेली फाइल माहित असल्यास:
# semanage fcontext -a -e /srv/myweb /var/www
संदर्भ पुनर्संचयित करणे (दोन्ही प्रकरणांसाठी):
# restorecon -vR /srv/myweb

16. लेबलिंग समस्या: तुम्ही फाइल कॉपी करण्याऐवजी हलवल्यास, फाइलचा मूळ संदर्भ कायम राहील. या समस्येचे निराकरण करण्यासाठी:

लेबलसह संदर्भ आदेश बदला:
# chcon -t httpd_system_content_t /var/www/html/index.html
लिंक लेबलसह संदर्भ कमांड बदला:
# chcon --reference /var/www/html/ /var/www/html/index.html
संदर्भ पुनर्संचयित करा (दोन्ही प्रकरणांसाठी): # restorecon -vR /var/www/html/

17. तर SELinux तुम्हाला माहित असणे आवश्यक आहेHTTPD पोर्ट 8585 वर ऐकत आहे, SELinux ला सांगा:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux तुम्हाला माहित असणे आवश्यक आहे बुलियन मूल्ये जी SELinux पॉलिसीचे काही भाग रनटाइममध्ये बदलण्याची परवानगी देतात SELinux पॉलिसी ओव्हरराईट केल्याशिवाय. उदाहरणार्थ, जर तुम्हाला httpd ने ईमेल पाठवायचा असेल तर, प्रविष्ट करा: # setsebool -P httpd_can_sendmail 1

19. SELinux तुम्हाला माहित असणे आवश्यक आहे SELinux सेटिंग्ज सक्षम/अक्षम करण्यासाठी तार्किक मूल्ये:

सर्व बुलियन मूल्ये पाहण्यासाठी: # getsebool -a
प्रत्येकाचे वर्णन पाहण्यासाठी: # semanage boolean -l
बुलियन मूल्य सेट करण्यासाठी: # setsebool [_boolean_] [1|0]
कायमस्वरूपी स्थापनेसाठी, जोडा -P. उदाहरणार्थः # setsebool httpd_enable_ftp_server 1 -P

20. SELinux पॉलिसी/अनुप्रयोगांमध्ये त्रुटी असू शकतात, यासह:

असामान्य कोड पथ
कॉन्फिग्युरासी
stdout पुनर्निर्देशित करत आहे
फाइल वर्णन गळती
एक्झिक्युटेबल मेमरी
निकृष्टपणे बांधलेली लायब्ररी

तिकिटे उघडा (बगझिलाकडे अहवाल सबमिट करू नका; बगझिलाला SLA नाही).

21. तुमच्या माहितीशी तडजोड होऊ शकतेतुमच्याकडे प्रतिबंधित डोमेन असल्यास:

कर्नल मॉड्यूल लोड करा
लागू केलेला SELinux मोड अक्षम करा
ला लिहा etc_t/shadow_t
iptables नियम बदला

22. पॉलिसी मॉड्यूल्स विकसित करण्यासाठी SELinux साधने:

# yum -y install setroubleshoot setroubleshoot-server

रीबूट करा किंवा रीस्टार्ट करा auditd प्रतिष्ठापन नंतर.

23. वापरा

journalctl

संबंधित सर्व लॉगची सूची प्रदर्शित करण्यासाठी setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. वापरा journalctl विशिष्ट SELinux टॅगशी संबंधित सर्व लॉगची यादी करण्यासाठी. उदाहरणार्थ:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. SELinux त्रुटी आढळल्यास, लॉग वापरा setroubleshoot अनेक संभाव्य उपाय ऑफर.
उदाहरणार्थ, पासून journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. लॉगिंग: SELinux अनेक ठिकाणी माहिती रेकॉर्ड करते:

/ var / लॉग / संदेश
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. लॉगिंग: ऑडिट लॉगमध्ये SELinux त्रुटी शोधत आहे:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. विशिष्ट सेवेसाठी SELinux Access Vector Cache (AVC) संदेश शोधण्यासाठी:

# ausearch -m avc -c httpd

29. उपयुक्तता audit2allow प्रतिबंधित ऑपरेशन्सच्या लॉगमधून माहिती गोळा करते आणि नंतर SELinux परवानगी धोरण नियम तयार करते. उदाहरणार्थ:

प्रवेश का नाकारला जातो याचे मानवी वाचनीय वर्णन तयार करण्यासाठी: # audit2allow -w -a
प्रवेश नाकारण्याची परवानगी देणारा प्रकार अंमलबजावणी नियम पाहण्यासाठी: # audit2allow -a
सानुकूल मॉड्यूल तयार करण्यासाठी: # audit2allow -a -M mypolicy
पर्याय -M निर्दिष्ट नावासह एक प्रकार अंमलबजावणी फाइल (.te) तयार करते आणि पॉलिसी पॅकेज (.pp) मध्ये नियम संकलित करते: mypolicy.pp mypolicy.te
सानुकूल मॉड्यूल स्थापित करण्यासाठी: # semodule -i mypolicy.pp

30. परवानगी मोडमध्ये कार्य करण्यासाठी स्वतंत्र प्रक्रिया (डोमेन) कॉन्फिगर करण्यासाठी: # semanage permissive -a httpd_t

31. तुम्ही यापुढे डोमेनला परवानगी देऊ इच्छित नसल्यास: # semanage permissive -d httpd_t

32. सर्व परवानगी देणारी डोमेन अक्षम करण्यासाठी: # semodule -d permissivedomains

33. MLS SELinux धोरण सक्षम करणे: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

SELinux अनुज्ञेय मोडमध्ये चालत असल्याची खात्री करा: # setenforce 0
स्क्रिप्ट वापरा fixfilesपुढील रीबूटवर फाइल्स पुन्हा लेबल केल्या आहेत याची खात्री करण्यासाठी:

# fixfiles -F onboot # reboot

34. विशिष्ट MLS श्रेणीसह वापरकर्ता तयार करा: # useradd -Z staff_u john

आदेश वापरून useradd, नवीन वापरकर्त्याला विद्यमान SELinux वापरकर्त्याशी मॅप करा (या प्रकरणात, staff_u).

35. SELinux आणि Linux वापरकर्त्यांमधील मॅपिंग पाहण्यासाठी: # semanage login -l

36. वापरकर्त्यासाठी विशिष्ट श्रेणी परिभाषित करा: # semanage login --modify --range s2:c100 john

37. वापरकर्त्याचे होम डिरेक्टरी लेबल दुरुस्त करण्यासाठी (आवश्यक असल्यास): # chcon -R -l s2:c100 /home/john

38. वर्तमान श्रेणी पाहण्यासाठी: # chcat -L

39. श्रेण्या बदलण्यासाठी किंवा तुमची स्वतःची निर्मिती सुरू करण्यासाठी, खालीलप्रमाणे फाइल संपादित करा:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. विशिष्ट फाइल, भूमिका आणि वापरकर्ता संदर्भात कमांड किंवा स्क्रिप्ट चालवण्यासाठी:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t फाइल संदर्भ
-r भूमिका संदर्भ
-u वापरकर्ता संदर्भ

41. SELinux सह चालणारे कंटेनर अक्षम केले आहेत:

पॉडमॅन: # podman run --security-opt label=disable …
डॉकर: # docker run --security-opt label=disable …

42. तुम्हाला कंटेनरला सिस्टममध्ये पूर्ण प्रवेश देण्याची आवश्यकता असल्यास:

पॉडमॅन: # podman run --privileged …
डॉकर: # docker run --privileged …

आणि आता तुम्हाला उत्तर आधीच माहित आहे. त्यामुळे कृपया: घाबरू नका आणि SELinux सक्षम करू नका.

दुवे:

स्त्रोत: www.habr.com

सिस्टम प्रशासकांसाठी SELinux चीट शीट: महत्त्वाच्या प्रश्नांची 42 उत्तरे

दुवे:

एक टिप्पणी जोडा Отменить ответ