लिनक्स सुरक्षा प्रणाली

एम्बेडेड, मोबाइल उपकरणे आणि सर्व्हरवर लिनक्स ओएसच्या जबरदस्त यशाचे एक कारण म्हणजे कर्नल, संबंधित सेवा आणि अनुप्रयोगांची उच्च दर्जाची सुरक्षा. पण जर जवळून पहा लिनक्स कर्नलच्या आर्किटेक्चरसाठी, तर त्यामध्ये सुरक्षिततेसाठी जबाबदार असलेला स्क्वेअर शोधणे अशक्य आहे. लिनक्स सुरक्षा उपप्रणाली कुठे लपलेली आहे आणि त्यात काय समाविष्ट आहे?

लिनक्स सुरक्षा मॉड्यूल्स आणि SELinux वरील पार्श्वभूमी

सुरक्षा वर्धित लिनक्स हे लिनक्स सिस्टमला संभाव्य धोक्यांपासून संरक्षण करण्यासाठी आणि पारंपारिक युनिक्स सुरक्षा प्रणाली, विवेकाधीन प्रवेश नियंत्रण (डीएसी) च्या त्रुटी दूर करण्यासाठी अनिवार्य आणि रोल-आधारित ऍक्सेस मॉडेल्सवर आधारित नियम आणि ऍक्सेस यंत्रणांचा संच आहे. या प्रकल्पाचा उगम यूएस नॅशनल सिक्युरिटी एजन्सीच्या आतड्यांमध्ये झाला आहे आणि तो थेट मुख्यत्वे सेक्योर कॉम्प्युटिंग कॉर्पोरेशन आणि MITER, तसेच अनेक संशोधन प्रयोगशाळांनी विकसित केला आहे.

लिनक्स सुरक्षा मॉड्यूल्स

लिनस टोरवाल्ड्सने नवीन NSA घडामोडींबद्दल अनेक टिप्पण्या केल्या आहेत जेणेकरून ते मुख्य लाइन लिनक्स कर्नलमध्ये समाविष्ट केले जाऊ शकतात. ऑब्जेक्ट्ससह ऑपरेशन्स नियंत्रित करण्यासाठी इंटरसेप्टर्सचा एक संच आणि संबंधित विशेषता संग्रहित करण्यासाठी कर्नल डेटा स्ट्रक्चर्समध्ये विशिष्ट संरक्षणात्मक फील्डचा संच असलेल्या सामान्य वातावरणाचे त्यांनी वर्णन केले. हे वातावरण नंतर लोड करण्यायोग्य कर्नल मॉड्यूलद्वारे कोणतेही इच्छित सुरक्षा मॉडेल लागू करण्यासाठी वापरले जाऊ शकते. LSM ने 2.6 मध्ये लिनक्स कर्नल v2003 मध्ये पूर्णपणे प्रवेश केला.

एलएसएम फ्रेमवर्कमध्ये डेटा स्ट्रक्चर्समधील गार्ड फील्ड आणि कर्नल कोडमधील क्रिटिकल पॉईंट्सवर इंटरसेप्शन फंक्शन्सचा समावेश होतो आणि ते हाताळण्यासाठी आणि ऍक्सेस कंट्रोल करण्यासाठी कॉल. हे सुरक्षा मॉड्यूल्सची नोंदणी करण्यासाठी कार्यक्षमता देखील जोडते. /sys/kernel/security/lsm इंटरफेसमध्ये प्रणालीवरील सक्रिय मॉड्यूल्सची सूची समाविष्ट असते. LSM हुक सूचीमध्ये संग्रहित केले जातात, ज्यांना CONFIG_LSM मध्ये निर्दिष्ट केलेल्या क्रमाने कॉल केले जाते. हुकवरील तपशीलवार दस्तऐवजीकरण हेडर फाईलमध्ये समाविष्ट केले आहे include/linux/lsm_hooks.h.

LSM उपप्रणालीने SELinux चे पूर्ण एकत्रीकरण स्थिर Linux कर्नल v2.6 च्या समान आवृत्तीसह पूर्ण करणे शक्य केले. जवळजवळ लगेचच, SELinux सुरक्षित लिनक्स वातावरणासाठी वास्तविक मानक बनले आणि सर्वात लोकप्रिय वितरणांमध्ये समाविष्ट केले गेले: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

SELinux शब्दावली

• ओळख — SELinux वापरकर्ता नेहमीच्या Unix/Linux वापरकर्ता आयडी सारखा नसतो; ते एकाच प्रणालीवर एकत्र राहू शकतात, परंतु ते पूर्णपणे भिन्न असतात. प्रत्येक मानक लिनक्स खाते SELinux मधील एक किंवा अधिकशी संबंधित असू शकते. SELinux ओळख संपूर्ण सुरक्षा संदर्भाचा एक भाग आहे, जे तुम्ही कोणत्या डोमेनमध्ये सामील होऊ शकता आणि नाही हे ठरवते.
• डोमेन - SELinux मध्ये, डोमेन हा विषयाच्या अंमलबजावणीचा संदर्भ असतो, म्हणजे प्रक्रिया. डोमेन थेट प्रक्रियेला असलेला प्रवेश निश्चित करतो. डोमेन ही मुळात प्रक्रिया काय करू शकते किंवा विविध प्रकारांसह प्रक्रिया काय करू शकते याची यादी असते. डोमेनची काही उदाहरणे म्हणजे सिस्टीम प्रशासनासाठी sysadm_t आणि user_t जे एक सामान्य गैर-विशेषाधिकारित वापरकर्ता डोमेन आहे. init प्रणाली init_t डोमेनमध्ये चालते, आणि नामित प्रक्रिया name_t डोमेनमध्ये चालते.
• भूमिका — डोमेन आणि SELinux वापरकर्त्यांमध्ये मध्यस्थ म्हणून काय काम करते. वापरकर्ता कोणत्या डोमेनशी संबंधित आहे आणि ते कोणत्या प्रकारच्या वस्तूंमध्ये प्रवेश करू शकतात हे भूमिका निर्धारित करतात. ही प्रवेश नियंत्रण यंत्रणा विशेषाधिकार वाढवण्याच्या हल्ल्यांच्या धोक्यास प्रतिबंध करते. SELinux मध्ये वापरल्या जाणार्‍या रोल बेस्ड ऍक्सेस कंट्रोल (RBAC) सुरक्षा मॉडेलमध्ये भूमिका लिहिल्या जातात.
• प्रकार — एक प्रकार अंमलबजावणी सूची विशेषता जी ऑब्जेक्टला नियुक्त केली जाते आणि त्यात कोण प्रवेश करू शकते हे निर्धारित करते. डोमेनच्या व्याख्येप्रमाणेच, त्याशिवाय डोमेन एखाद्या प्रक्रियेस लागू होतो आणि प्रकार डिरेक्टरी, फाइल्स, सॉकेट्स इत्यादी ऑब्जेक्ट्सवर लागू होतो.
• विषय आणि वस्तू - प्रक्रिया विषय आहेत आणि विशिष्ट संदर्भ किंवा सुरक्षा डोमेनमध्ये चालवल्या जातात. ऑपरेटिंग सिस्टम संसाधने: फाईल्स, डिरेक्टरी, सॉकेट्स इ. या वस्तू आहेत ज्यांना विशिष्ट प्रकार नियुक्त केला जातो, दुसऱ्या शब्दांत, एक गोपनीयता स्तर.
• SELinux धोरणे — SELinux प्रणालीचे संरक्षण करण्यासाठी विविध धोरणांचा वापर करते. SELinux धोरण वापरकर्त्यांना भूमिकांमध्ये प्रवेश, डोमेनसाठी भूमिका आणि डोमेनच्या प्रकारांमध्ये प्रवेश परिभाषित करते. प्रथम, वापरकर्त्याला भूमिका मिळविण्यासाठी अधिकृत केले जाते, नंतर भूमिका डोमेनमध्ये प्रवेश करण्यासाठी अधिकृत आहे. शेवटी, डोमेनला केवळ विशिष्ट प्रकारच्या वस्तूंमध्ये प्रवेश असू शकतो.

LSM आणि SELinux आर्किटेक्चर

नाव असूनही, LSMs सामान्यतः लोड करण्यायोग्य Linux मॉड्यूल नाहीत. तथापि, SELinux प्रमाणे, ते थेट कर्नलमध्ये समाकलित केले जाते. LSM स्त्रोत कोडमधील कोणत्याही बदलासाठी नवीन कर्नल संकलन आवश्यक आहे. संबंधित पर्याय कर्नल सेटिंग्जमध्ये सक्षम करणे आवश्यक आहे, अन्यथा LSM कोड बूट केल्यानंतर सक्रिय होणार नाही. परंतु या प्रकरणातही, ते OS बूटलोडर पर्यायाद्वारे सक्षम केले जाऊ शकते.

LSM चेक स्टॅक

LSM कोर कर्नल फंक्शन्समध्ये हुकसह सुसज्ज आहे जे चेकसाठी संबंधित असू शकतात. LSM चे मुख्य वैशिष्ट्य म्हणजे ते स्टॅक केलेले आहेत. अशा प्रकारे, मानक तपासण्या अजूनही केल्या जातात आणि LSM च्या प्रत्येक स्तरामध्ये फक्त अतिरिक्त नियंत्रणे आणि नियंत्रणे जोडली जातात. म्हणजे बंदी मागे घेता येणार नाही. हे आकृतीमध्ये दर्शविले आहे; जर नियमित DAC तपासण्यांचा परिणाम अयशस्वी झाला, तर प्रकरण LSM हुकपर्यंत पोहोचणार नाही.

SELinux फ्लुक रिसर्च ऑपरेटिंग सिस्टमचे फ्लास्क सुरक्षा आर्किटेक्चर स्वीकारते, विशेषत: किमान विशेषाधिकाराचे तत्त्व. या संकल्पनेचे सार, त्याच्या नावाप्रमाणे, वापरकर्त्यास प्रदान करणे किंवा केवळ तेच अधिकार प्रदान करणे जे इच्छित कृती पार पाडण्यासाठी आवश्यक आहेत. हे तत्त्व सक्तीने अ‍ॅक्सेस टायपिंग वापरून लागू केले जाते, अशा प्रकारे SELinux मधील प्रवेश नियंत्रण डोमेन => प्रकार मॉडेलवर आधारित आहे.

सक्तीने अ‍ॅक्सेस टायपिंग केल्याबद्दल धन्यवाद, SELinux मध्ये Unix/Linux ऑपरेटिंग सिस्टीममध्ये वापरल्या जाणार्‍या पारंपारिक DAC मॉडेलपेक्षा खूप जास्त प्रवेश नियंत्रण क्षमता आहे. उदाहरणार्थ, ftp सर्व्हर कनेक्ट करेल तो नेटवर्क पोर्ट नंबर तुम्ही मर्यादित करू शकता, विशिष्ट फोल्डरमध्ये फायली लिहिण्यास आणि बदलण्यास परवानगी देऊ शकता, परंतु त्यांना हटवू शकत नाही.

SELinux चे मुख्य घटक आहेत:

• धोरण अंमलबजावणी सर्व्हर - प्रवेश नियंत्रण आयोजित करण्यासाठी मुख्य यंत्रणा.
• सिस्टम सुरक्षा धोरण डेटाबेस.
• एलएसएम इव्हेंट इंटरसेप्टरसह संवाद.
• सेलिनक्सफ्स - स्यूडो-एफएस, /proc प्रमाणेच आणि /sys/fs/selinux मध्ये आरोहित. रनटाइमच्या वेळी लिनक्स कर्नलद्वारे डायनॅमिकली पॉप्युलेट केले जाते आणि SELinux स्थिती माहिती असलेल्या फायली असतात.
• वेक्टर कॅशेमध्ये प्रवेश करा - उत्पादकता वाढवण्यासाठी सहायक यंत्रणा.

SELinux कसे कार्य करते

हे सर्व असे कार्य करते.

1. वरच्या चित्रात दाखवल्याप्रमाणे, विशिष्ट विषय, SELinux शब्दात, DAC तपासणीनंतर ऑब्जेक्टवर परवानगी असलेली क्रिया करतो. ऑपरेशन करण्याची ही विनंती LSM इव्हेंट इंटरसेप्टरकडे जाते.
2. तेथून, विनंती, विषय आणि ऑब्जेक्ट सुरक्षा संदर्भासह, SELinux ऍब्स्ट्रॅक्शन आणि हुक लॉजिक मॉड्यूलकडे पाठविली जाते, जी LSM शी संवाद साधण्यासाठी जबाबदार आहे.
3. एखाद्या ऑब्जेक्टवर विषयाच्या प्रवेशावर निर्णय घेण्याचा अधिकार पॉलिसी एनफोर्समेंट सर्व्हर आहे आणि तो SELinux AnHL कडून डेटा प्राप्त करतो.
4. प्रवेश किंवा नकार याबाबत निर्णय घेण्यासाठी, पॉलिसी अंमलबजावणी सर्व्हर सर्वात जास्त वापरल्या जाणार्‍या नियमांसाठी ऍक्सेस वेक्टर कॅशे (AVC) कॅशिंग उपप्रणालीकडे वळते.
5. कॅशेमध्ये संबंधित नियमासाठी उपाय सापडला नाही, तर विनंती सुरक्षा धोरण डेटाबेसकडे पाठविली जाते.
6. डेटाबेस आणि AVC मधील शोध परिणाम पॉलिसी अंमलबजावणी सर्व्हरवर परत केला जातो.
7. आढळलेले धोरण विनंती केलेल्या कृतीशी जुळत असल्यास, ऑपरेशनला परवानगी आहे. अन्यथा, ऑपरेशन प्रतिबंधित आहे.

SELinux सेटिंग्ज व्यवस्थापित करणे

SELinux तीनपैकी एका मोडमध्ये कार्य करते:

• अंमलबजावणी - सुरक्षा धोरणांचे कठोर पालन.
• अनुज्ञेय - निर्बंधांचे उल्लंघन करण्याची परवानगी आहे; जर्नलमध्ये संबंधित टीप तयार केली आहे.
• अक्षम-सुरक्षा धोरणे प्रभावी नाहीत.

खालील कमांडद्वारे SELinux कोणत्या मोडमध्ये आहे ते तुम्ही पाहू शकता.

[admin@server ~]$ getenforce
Permissive

रीबूट करण्यापूर्वी मोड बदलणे, उदाहरणार्थ, अंमलबजावणीवर सेट करणे किंवा 1. परवानगी देणारा पॅरामीटर अंकीय कोड 0 शी संबंधित आहे.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

तुम्ही फाइल संपादित करून मोड देखील बदलू शकता:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=लक्ष्य

setenfoce मधील फरक असा आहे की जेव्हा ऑपरेटिंग सिस्टम बूट होते, तेव्हा SELinux मोड कॉन्फिगरेशन फाइलमधील SELINUX पॅरामीटरच्या मूल्यानुसार सेट केला जातो. या व्यतिरिक्त, <=> अक्षम करण्यात आलेले बदल केवळ /etc/selinux/config फाइल संपादित करून आणि रीबूट केल्यानंतर प्रभावी होतात.

संक्षिप्त स्थिती अहवाल पहा:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux विशेषता पाहण्यासाठी, काही मानक उपयुक्तता -Z पॅरामीटर वापरतात.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l च्या सामान्य आउटपुटच्या तुलनेत, खालील फॉरमॅटमध्ये अनेक अतिरिक्त फील्ड आहेत:

<user>:<role>:<type>:<level>

शेवटचे फील्ड सुरक्षा वर्गीकरणासारखे काहीतरी दर्शवते आणि त्यात दोन घटकांचे संयोजन असते:

• s0 - महत्त्व, निम्न-स्तरीय-उच्च-स्तरीय अंतराल म्हणून देखील लिहिलेले आहे
• c0, c1… c1023 - श्रेणी.

प्रवेश कॉन्फिगरेशन बदलत आहे

SELinux मॉड्यूल लोड करण्यासाठी, जोडण्यासाठी आणि काढण्यासाठी सेमोड्यूल वापरा.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

पहिला संघ semanage लॉगिन SELinux वापरकर्त्याला ऑपरेटिंग सिस्टम वापरकर्त्याशी जोडते, दुसरी सूची दाखवते. शेवटी, -r स्विचसह शेवटची कमांड SELinux वापरकर्त्यांचे OS खात्यांवरील मॅपिंग काढून टाकते. MLS/MCS श्रेणी मूल्यांसाठी वाक्यरचनाचे स्पष्टीकरण मागील विभागात आहे.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

संघ semanage वापरकर्ता SELinux वापरकर्ते आणि भूमिकांमधील मॅपिंग व्यवस्थापित करण्यासाठी वापरले जाते.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

कमांड पॅरामीटर्स:

• - सानुकूल भूमिका मॅपिंग एंट्री जोडा;
• -l जुळणारे वापरकर्ते आणि भूमिकांची यादी;
• -d वापरकर्ता भूमिका मॅपिंग एंट्री हटवा;
• - वापरकर्त्याशी संलग्न भूमिकांची सूची;

फाइल्स, पोर्ट्स आणि बुलियन व्हॅल्यू

प्रत्येक SELinux मॉड्यूल फाइल टॅगिंग नियमांचा संच पुरवतो, परंतु आवश्यक असल्यास तुम्ही तुमचे स्वतःचे नियम देखील जोडू शकता. उदाहरणार्थ, आम्हाला वेब सर्व्हरला /srv/www फोल्डरमध्ये प्रवेश अधिकार हवे आहेत.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

पहिली कमांड नवीन मार्किंग नियमांची नोंदणी करते आणि दुसरी रिसेट करते किंवा त्याऐवजी सध्याच्या नियमांनुसार फाइल प्रकार सेट करते.

त्याचप्रमाणे, TCP/UDP पोर्ट अशा प्रकारे चिन्हांकित केले जातात की केवळ योग्य सेवाच त्यावर ऐकू शकतात. उदाहरणार्थ, पोर्ट 8080 वर वेब सर्व्हर ऐकण्यासाठी, तुम्हाला कमांड चालवावी लागेल.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux मॉड्यूल्सच्या लक्षणीय संख्येत पॅरामीटर्स आहेत जे बुलियन मूल्ये घेऊ शकतात. अशा पॅरामीटर्सची संपूर्ण यादी getsebool -a वापरून पाहिली जाऊ शकते. तुम्ही setsebool वापरून बुलियन व्हॅल्यू बदलू शकता.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

कार्यशाळा, Pgadmin-वेब इंटरफेसमध्ये प्रवेश मिळवा

चला एक व्यावहारिक उदाहरण पाहू: PostgreSQL डेटाबेस प्रशासित करण्यासाठी आम्ही RHEL 7.6 वर pgadmin4-web स्थापित केले. आम्ही थोडे चाललो शोध pg_hba.conf, postgresql.conf आणि config_local.py च्या सेटिंग्जसह, फोल्डर परवानग्या सेट करा, pip वरून गहाळ Python मॉड्यूल स्थापित करा. सर्व काही तयार आहे, आम्ही लॉन्च करतो आणि प्राप्त करतो 500 अंतर्गत सर्व्हर त्रुटी.

आम्ही ठराविक संशयितांपासून सुरुवात करतो, /var/log/httpd/error_log तपासत आहोत. तेथे काही मनोरंजक नोंदी आहेत.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

या टप्प्यावर, बहुतेक लिनक्स प्रशासकांना setencorce 0 चालवण्याचा जोरदार मोह होईल आणि तेच त्याचा शेवट होईल. खरे सांगायचे तर, मी प्रथमच असे केले. हा नक्कीच एक मार्ग आहे, परंतु सर्वोत्तम पासून दूर आहे.

अवजड डिझाइन असूनही, SELinux वापरकर्ता-अनुकूल असू शकते. फक्त सेटरबलशूट पॅकेज स्थापित करा आणि सिस्टम लॉग पहा.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

कृपया लक्षात घ्या की ऑडिट सेवा अशा प्रकारे रीस्टार्ट करणे आवश्यक आहे आणि OS मध्ये systemd ची उपस्थिती असूनही systemctl वापरत नाही. सिस्टम लॉगमध्ये सूचित केले जाईल केवळ अवरोधित करण्याची वस्तुस्थितीच नाही तर कारण आणि बंदी दूर करण्याचा मार्ग.

आम्ही या आज्ञा कार्यान्वित करतो:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

आम्ही pgadmin4-वेब पृष्ठावर प्रवेश तपासतो, सर्वकाही कार्य करते.

स्त्रोत: www.habr.com