သင်တန်းသားများအတွက် ပြင်ဆင်ထားသော ဆောင်းပါးကို ဘာသာပြန်ခြင်း။ "Linux လုံခြုံရေး"

SELinux သို့မဟုတ် Security Enhanced Linux သည် အန္တရာယ်ရှိသော ကျူးကျော်ဝင်ရောက်မှုများကို ကာကွယ်ရန် US National Security Agency (NSA) မှ တီထွင်ထားသော ပိုမိုကောင်းမွန်သော ဝင်ရောက်ထိန်းချုပ်မှု ယန္တရားတစ်ခုဖြစ်သည်။ ၎င်းသည် ရှိရင်းစွဲလိုသလို (သို့မဟုတ် ရွေးချယ်ထားသော) မော်ဒယ် (အင်္ဂလိပ်လိုသလို သုံးစွဲခွင့်ထိန်းချုပ်မှု DAC) ၏ထိပ်တွင် အတင်းအကျပ် (သို့မဟုတ် မဖြစ်မနေ) ဝင်ရောက်ထိန်းချုပ်မှုပုံစံ (အင်္ဂလိပ်မသင်မနေရ Access Control၊ MAC) ကို အကောင်အထည်ဖော်သည်။

SELinux တွင် မုဒ်သုံးမျိုးရှိသည်။

ဖိအားပေးရန် — မူဝါဒစည်းမျဉ်းများအပေါ် အခြေခံ၍ ငြင်းပယ်ခြင်းကို ဝင်ရောက်ခွင့်။
ခွင့်ပြုသည်။ — စည်းမျဥ်းစည်းကမ်းကို ချိုးဖောက်သည့် လုပ်ဆောင်ချက်မှတ်တမ်းကို ထားရှိခြင်း
မသန်စွမ်း - SELinux ကို လုံးဝပိတ်ထားပါ။

ပုံမှန်အားဖြင့် ဆက်တင်များ ပါဝင်ပါသည်။ /etc/selinux/config

SELinux မုဒ်များကို ပြောင်းလဲခြင်း။

လက်ရှိမုဒ်ကို သိရှိရန်၊ ဖွင့်ပါ။

$ getenforce

ခွင့်ပြုရန်မုဒ်ကိုပြောင်းရန် အောက်ပါ command ကို run ပါ။

$ setenforce 0

သို့မဟုတ် မုဒ်မှပြောင်းရန် ခွင့်ပြုသည် အပေါ် လိုက်နာကျင့်သုံးခြင်း။, အပြစ်ဒဏ်

$ setenforce 1

SELinux ကို လုံးဝပိတ်ရန် လိုအပ်ပါက၊ ၎င်းကို configuration file ဖြင့်သာ လုပ်ဆောင်နိုင်သည်။

$ vi /etc/selinux/config

ပိတ်ရန်၊ SELINUX ဘောင်ကို အောက်ပါအတိုင်း ပြောင်းပါ-

SELINUX=disabled

SELinux ကို စနစ်ထည့်သွင်းခြင်း။

ဖိုင်နှင့် လုပ်ငန်းစဉ်တစ်ခုစီကို သုံးစွဲသူ၊ အခန်းကဏ္ဍ၊ အမျိုးအစား၊ စသည်ဖြင့် ထပ်လောင်းအချက်အလက်များပါရှိသော SELinux ဆက်စပ်မှုဖြင့် မှတ်သားထားသည်။ အကယ်၍ ဤသည်မှာ SELinux ကို သင်ပထမဆုံးဖွင့်ခြင်းဖြစ်ပါက၊ သင်သည် ပထမဦးစွာ အကြောင်းအရာနှင့် အညွှန်းများကို configure လုပ်ရန် လိုအပ်ပါသည်။ အညွှန်းများနှင့် အကြောင်းအရာများကို သတ်မှတ်ပေးခြင်းလုပ်ငန်းစဉ်ကို တဂ်ခြင်းဟုခေါ်သည်။ အမှတ်အသားပြုရန်၊ ဖွဲ့စည်းမှုဖိုင်တွင် ကျွန်ုပ်တို့သည် မုဒ်သို့ပြောင်းသည်။ ခွင့်ပြုသည်.

$ vi /etc/selinux/config
SELINUX=permissive

မုဒ်ကို သတ်မှတ်ပြီးနောက် ခွင့်ပြုသည်၊ အမည်ဖြင့် အမြစ်တွင် ဝှက်ထားသော အလွတ်ဖိုင်တစ်ခုကို ဖန်တီးပါ။ autorelabel

$ touch /.autorelabel

ပြီးလျှင် ကွန်ပျူတာကို ပြန်လည်စတင်ပါ။

$ init 6

မှတ်ချက်- ကျွန်ုပ်တို့သည် မုဒ်ကို အသုံးပြုသည်။ ခွင့်ပြုသည် မုဒ်ကိုအသုံးပြုကတည်းက အမှတ်အသားပြုလုပ်ရန် လိုက်နာကျင့်သုံးခြင်း။ ပြန်လည်စတင်ချိန်တွင် စနစ်ပျက်သွားနိုင်သည်။

ဒေါင်းလုဒ်သည် ဖိုင်အချို့တွင် ပိတ်မိနေပါက အမှတ်အသားပြုလုပ်ရန် အချိန်အနည်းငယ်ကြာမည်ကို စိတ်မပူပါနှင့်။ အမှတ်အသား ပြီးသွားသည်နှင့် သင့်စနစ် စတင်သည်နှင့်၊ သင်သည် configuration file သို့သွား၍ မုဒ်ကို သတ်မှတ်နိုင်သည်။ လိုက်နာကျင့်သုံးခြင်း။နှင့်လည်း run:

$ setenforce 1

ယခု သင့်ကွန်ပြူတာတွင် SELinux ကို အောင်မြင်စွာ ဖွင့်နိုင်ပါပြီ။

မှတ်တမ်းများကို စောင့်ကြည့်ခြင်း။

အမှတ်အသားလုပ်နေစဉ် သို့မဟုတ် စနစ်လုပ်ဆောင်နေချိန်တွင် သင်သည် အမှားအယွင်းအချို့ကို ကြုံတွေ့ရနိုင်သည်။ သင်၏ SELinux သည် မှန်ကန်မှုရှိမရှိ စစ်ဆေးရန်နှင့် မည်သည့် port ၊ အပလီကေးရှင်း စသည်တို့သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ပင်ထားခြင်း မရှိပါက၊ မှတ်တမ်းများကို ကြည့်ရှုရန် လိုအပ်ပါသည်။ SELinux မှတ်တမ်းတွင် တည်ရှိသည်။ /var/log/audit/audit.logဒါပေမယ့် အမှားတွေရှာဖို့ အားလုံးကို ဖတ်ဖို့ မလိုအပ်ပါဘူး။ အမှားများကိုရှာဖွေရန် audit2why utility ကိုသင်သုံးနိုင်သည်။ အောက်ပါ command ကို run ပါ။

$ audit2why < /var/log/audit/audit.log

ရလဒ်အနေဖြင့် သင်သည် အမှားများစာရင်းကို လက်ခံရရှိမည်ဖြစ်သည်။ မှတ်တမ်းတွင် အမှားအယွင်းများမရှိခဲ့ပါက မက်ဆေ့ချ်များကို ပြသမည်မဟုတ်ပါ။

SELinux မူဝါဒကို ပြင်ဆင်ခြင်း

SELinux မူဝါဒသည် SELinux လုံခြုံရေးယန္တရားအား ထိန်းချုပ်သည့် စည်းမျဉ်းများဖြစ်သည်။ မူဝါဒတစ်ခုသည် သီးခြားပတ်ဝန်းကျင်တစ်ခုအတွက် စည်းမျဉ်းများသတ်မှတ်သည်။ ယခု ကျွန်ုပ်တို့သည် တားမြစ်ထားသော ဝန်ဆောင်မှုများကို ဝင်ရောက်ခွင့်ပြုရန် မူဝါဒများကို မည်သို့ပြင်ဆင်ရမည်ကို လေ့လာပါမည်။

1. ယုတ္တိတန်ဖိုးများ (ခလုတ်များ)၊

ခလုတ်များ (booleans) သည် သင့်အား မူဝါဒအသစ်များဖန်တီးရန်မလိုဘဲ runtime တွင် မူဝါဒအစိတ်အပိုင်းများကို ပြောင်းလဲနိုင်စေပါသည်။ ၎င်းတို့သည် သင့်အား SELinux မူဝါဒများကို ပြန်လည်စတင်ခြင်း သို့မဟုတ် ပြန်လည်ပေါင်းစည်းခြင်းမပြုဘဲ အပြောင်းအလဲများကို ပြုလုပ်နိုင်စေပါသည်။

နမူနာ
FTP read/write မှတစ်ဆင့် သုံးစွဲသူတစ်ဦး၏ ပင်မလမ်းညွှန်ကို မျှဝေလိုပြီး ၎င်းကို မျှဝေထားပြီးဖြစ်သော်လည်း ၎င်းကို ဝင်ရောက်ရန် ကြိုးစားသောအခါတွင် မည်သည့်အရာကိုမျှ မတွေ့ရတော့ပါ။ SELinux မူဝါဒသည် FTP ဆာဗာအား အသုံးပြုသူ၏ ပင်မလမ်းညွှန်သို့ စာရေးခြင်းအား တားဆီးထားသောကြောင့် ဖြစ်သည်။ FTP ဆာဗာသည် ပင်မလမ်းညွှန်များကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် မူဝါဒကို ပြောင်းလဲရန် လိုအပ်ပါသည်။ ဒီအတွက် switches တွေရှိမရှိ ကြည့်ရအောင်

$ semanage boolean -l

ဤ command သည် ရရှိနိုင်သော ခလုတ်များကို ၎င်းတို့၏ လက်ရှိအခြေအနေ (ဖွင့် သို့မဟုတ် ပိတ်) နှင့် ဖော်ပြချက်ဖြင့် စာရင်းပြုစုမည်ဖြစ်သည်။ ftp သီးသန့်ရလဒ်များကိုရှာဖွေရန် grep ကိုထည့်ခြင်းဖြင့် သင်၏ရှာဖွေမှုကို ပြန်လည်ပြင်ဆင်နိုင်သည်-

$ semanage boolean -l | grep ftp

အောက်ပါတို့ကို သင်တွေ့လိမ့်မည်။

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

ဤခလုတ်ကို ပိတ်ထားသောကြောင့် ၎င်းကို ကျွန်ုပ်တို့ ဖွင့်ပေးပါမည်။ setsebool $ setsebool ftp_home_dir on

ယခု ကျွန်ုပ်တို့၏ ftp daemon သည် သုံးစွဲသူ၏ ပင်မလမ်းညွှန်ကို ဝင်ရောက်ကြည့်ရှုနိုင်မည်ဖြစ်သည်။
မှတ်ချက်- လုပ်ဆောင်ခြင်းဖြင့် ဖော်ပြချက်မပါဘဲ ရရှိနိုင်သော ခလုတ်များစာရင်းကိုလည်း သင်ရနိုင်သည်။ getsebool -a

2. အညွှန်းများနှင့် အကြောင်းအရာ

ဤသည်မှာ SELinux မူဝါဒကို အကောင်အထည်ဖော်ရန် အသုံးအများဆုံးနည်းလမ်းဖြစ်သည်။ ဖိုင်၊ ဖိုင်တွဲ၊ လုပ်ငန်းစဉ်နှင့် ဆိပ်ကမ်းတိုင်းကို SELinux ဆက်စပ်မှုဖြင့် မှတ်သားထားသည်-

ဖိုင်များနှင့် ဖိုင်တွဲများအတွက်၊ အညွှန်းများကို ဖိုင်စနစ်တွင် တိုးချဲ့ထားသော ဂုဏ်ရည်များအဖြစ် သိမ်းဆည်းထားပြီး အောက်ပါ command ဖြင့် ကြည့်ရှုနိုင်သည်-
```
$ ls -Z /etc/httpd
```
လုပ်ငန်းစဉ်များနှင့် ဆိပ်ကမ်းများအတွက်၊ အညွှန်းတပ်ခြင်းကို kernel မှ စီမံခန့်ခွဲပြီး ဤတံဆိပ်များကို အောက်ပါအတိုင်း သင်ကြည့်ရှုနိုင်သည်-

ဖြစ်စဉ်

$ ps –auxZ | grep httpd

port ကို

$ netstat -anpZ | grep httpd

နမူနာ
ယခု အညွှန်းများနှင့် အကြောင်းအရာများကို ပိုမိုကောင်းမွန်စွာ နားလည်ရန် ဥပမာတစ်ခုကို ကြည့်ကြပါစို့။ လမ်းညွှန်တစ်ခုအစား ဝဘ်ဆာဗာတစ်ခုရှိသည် ဆိုကြပါစို့ /var/www/html/ использует /home/dan/html/. SELinux သည် ၎င်းကို မူဝါဒချိုးဖောက်မှုတစ်ခုဟု ယူဆမည်ဖြစ်ပြီး သင့်ဝဘ်စာမျက်နှာများကို သင်ကြည့်ရှုနိုင်မည်မဟုတ်ပါ။ အကြောင်းမှာ HTML ဖိုင်များနှင့် ဆက်စပ်နေသည့် လုံခြုံရေးဆိုင်ရာ အကြောင်းအရာကို ကျွန်ုပ်တို့ မသတ်မှတ်ထားသောကြောင့် ဖြစ်သည်။ မူရင်းလုံခြုံရေးအကြောင်းအရာကို ကြည့်ရန်၊ အောက်ပါ command ကို အသုံးပြုပါ-

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

ဒီမှာ ငါတို့ရတယ်။ httpd_sys_content_t html ဖိုင်များအတွက် အကြောင်းအရာအဖြစ်။ လောလောဆယ် အောက်ပါအကြောင်းအရာပါရှိသော ကျွန်ုပ်တို့၏လက်ရှိလမ်းညွှန်အတွက် ဤလုံခြုံရေးအကြောင်းအရာကို သတ်မှတ်ရန် လိုအပ်သည်-

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ဖိုင် သို့မဟုတ် လမ်းညွှန်၏ လုံခြုံရေးဆိုင်ရာ အကြောင်းအရာကို စစ်ဆေးရန် အခြား ညွှန်ကြားချက်တစ်ခု-

$ semanage fcontext -l | grep '/var/www'

မှန်ကန်သောလုံခြုံရေးအကြောင်းအရာကို ကျွန်ုပ်တို့တွေ့ရှိပြီးသည်နှင့် ဆက်စပ်အကြောင်းအရာကို ပြောင်းလဲရန် Semanage ကိုလည်း အသုံးပြုပါမည်။ /home/dan/html ၏ ဆက်စပ်အကြောင်းအရာကို ပြောင်းလဲရန်၊ အောက်ပါ command များကို လုပ်ဆောင်ပါ။

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

semanage ကို အသုံးပြု၍ အကြောင်းအရာကို ပြောင်းလဲပြီးနောက်၊ restorecon ညွှန်ကြားချက်သည် ဖိုင်များနှင့် လမ်းညွှန်များအတွက် ပုံသေအကြောင်းအရာကို တင်မည်ဖြစ်သည်။ ကျွန်ုပ်တို့၏ ဝဘ်ဆာဗာသည် ယခုအခါ ဖိုဒါမှ ဖိုင်များကို ဖတ်နိုင်တော့မည်ဖြစ်သည်။ /home/dan/htmlဤဖိုင်တွဲအတွက် လုံခြုံရေးအကြောင်းအရာကို ပြောင်းလဲထားသောကြောင့်ဖြစ်သည်။ httpd_sys_content_t.

3. ဒေသဆိုင်ရာမူဝါဒများဖန်တီးပါ။

အထက်ဖော်ပြပါ နည်းလမ်းများသည် သင့်အတွက် အသုံးမဝင်သည့် အခြေအနေများ ရှိပြီး audit.log တွင် အမှားများ (avc/denial) ရရှိနိုင်ပါသည်။ ဤသို့ဖြစ်သောအခါ၊ သင်သည် ဒေသဆိုင်ရာမူဝါဒကို ဖန်တီးရန် လိုအပ်သည်။ အထက်တွင်ဖော်ပြထားသည့်အတိုင်း audit2why ကို အသုံးပြု၍ အမှားအယွင်းအားလုံးကို သင်ရှာတွေ့နိုင်ပါသည်။

အမှားများကိုဖြေရှင်းရန် ဒေသတွင်းမူဝါဒကို သင်ဖန်တီးနိုင်သည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် httpd (apache) သို့မဟုတ် smbd (samba) နှင့် သက်ဆိုင်သည့် အမှားတစ်ခုကို ကျွန်ုပ်တို့ ရရှိသည်)၊ ကျွန်ုပ်တို့သည် အမှားများကို ပိုင်းဖြတ်ပြီး ၎င်းတို့အတွက် မူဝါဒတစ်ခု ဖန်တီးသည်-

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

ဒါဟာဖြစ်ပါတယ် http_policy и smb_policy ကျွန်ုပ်တို့ဖန်တီးခဲ့သော ဒေသဆိုင်ရာမူဝါဒများ၏ အမည်များဖြစ်သည်။ ယခု ကျွန်ုပ်တို့သည် ဤဖန်တီးထားသော ဒေသဆိုင်ရာမူဝါဒများကို လက်ရှိ SELinux မူဝါဒတွင် ထည့်သွင်းရန် လိုအပ်ပါသည်။ ၎င်းကို အောက်ပါအတိုင်း လုပ်ဆောင်နိုင်ပါသည်။

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

ကျွန်ုပ်တို့၏ ဒေသန္တရမူဝါဒများကို ဒေါင်းလုဒ်လုပ်ပြီးပါပြီ၊ audit.log တွင် မည်သည့် avc သို့မဟုတ် denail ကိုမှ ရရှိတော့မည်မဟုတ်ပါ။

ဤသည်မှာ SELinux ကို နားလည်ရန် ကျွန်ုပ်၏ ကြိုးပမ်းမှုဖြစ်သည်။ ဤဆောင်းပါးကိုဖတ်ပြီးနောက်သင် SELinux ကိုပိုမိုသက်တောင့်သက်သာခံစားရလိမ့်မည်ဟုမျှော်လင့်ပါသည်။

source: www.habr.com

SELinux အတွက် စတင်သူလမ်းညွှန်

SELinux မုဒ်များကို ပြောင်းလဲခြင်း။

SELinux ကို စနစ်ထည့်သွင်းခြင်း။

မှတ်တမ်းများကို စောင့်ကြည့်ခြင်း။

SELinux မူဝါဒကို ပြင်ဆင်ခြင်း

1. ယုတ္တိတန်ဖိုးများ (ခလုတ်များ)၊

2. အညွှန်းများနှင့် အကြောင်းအရာ

3. ဒေသဆိုင်ရာမူဝါဒများဖန်တီးပါ။

မှတ်ချက် Add

SELinux အတွက် စတင်သူလမ်းညွှန်

SELinux မုဒ်များကို ပြောင်းလဲခြင်း။

SELinux ကို စနစ်ထည့်သွင်းခြင်း။

မှတ်တမ်းများကို စောင့်ကြည့်ခြင်း။

SELinux မူဝါဒကို ပြင်ဆင်ခြင်း

1. ယုတ္တိတန်ဖိုးများ (ခလုတ်များ)၊

2. အညွှန်းများနှင့် အကြောင်းအရာ

3. ဒေသဆိုင်ရာမူဝါဒများဖန်တီးပါ။

မှတ်ချက် Add ပြန်ကြားချက်ကိုပယ်ဖျက်

မှတ်ချက် Add