Linux လုံခြုံရေးစနစ်များ

ထည့်သွင်းထားသော မိုဘိုင်းကိရိယာများနှင့် ဆာဗာများတွင် Linux OS ၏ ကြီးမားသောအောင်မြင်မှု၏အကြောင်းရင်းတစ်ခုမှာ kernel၊ ဆက်စပ်ဝန်ဆောင်မှုများနှင့် အပလီကေးရှင်းများ၏ လုံခြုံရေးအတော်လေးမြင့်မားမှုဖြစ်သည်။ အဲ့လို အနီးကပ်ကြည့်ရှုပါ။ Linux kernel ၏ တည်ဆောက်ပုံအတိုင်းဆိုလျှင် လုံခြုံရေးအတွက် တာဝန်ရှိသော စတုရန်းတစ်ခုကို ရှာရန် မဖြစ်နိုင်ပေ။ Linux လုံခြုံရေးစနစ်ခွဲသည် မည်သည့်နေရာတွင် ဝှက်ထားသနည်း၊ ၎င်းတွင် အဘယ်အရာပါဝင်သနည်း။

Linux Security Modules နှင့် SELinux ၏ နောက်ခံ

Security Enhanced Linux သည် Linux စနစ်များကို ဖြစ်နိုင်ချေရှိသော ခြိမ်းခြောက်မှုများမှ ကာကွယ်ရန်နှင့် သမားရိုးကျ Unix လုံခြုံရေးစနစ် (DAC) ၏ အားနည်းချက်များကို ပြင်ဆင်ရန်အတွက် မဖြစ်မနေ အခြေခံပြီး အခန်းကဏ္ဍအခြေပြု သုံးစွဲခွင့်မော်ဒယ်များပေါ်တွင် အခြေခံထားသော စည်းမျဉ်းများနှင့် ဝင်ရောက်အသုံးပြုသည့် ယန္တရားတစ်ခုဖြစ်သည်။ အဆိုပါပရောဂျက်သည် အမေရိကန်အမျိုးသားလုံခြုံရေးအေဂျင်စီ၏ အူသိမ်အူမမှအစပြုကာ ကန်ထရိုက်တာများ Secure Computing Corporation နှင့် MITER နှင့် သုတေသနဓာတ်ခွဲခန်းများစွာတို့သည် ဖွံ့ဖြိုးတိုးတက်မှုတွင် တိုက်ရိုက်ပါဝင်ခဲ့ကြသည်။

Linux လုံခြုံရေး မော်ဂျူးများ

Linus Torvalds သည် ၎င်းတို့အား Linux kernel ၏ အဓိကဌာနခွဲတွင် ထည့်သွင်းနိုင်စေရန် NSA ဖွံ့ဖြိုးတိုးတက်မှုများဆိုင်ရာ မှတ်ချက်များစွာကို ပံ့ပိုးပေးခဲ့သည်။ အရာဝတ္ထုများပေါ်တွင် လုပ်ဆောင်မှုများကို စီမံခန့်ခွဲရန်အတွက် ကြားဖြတ်ကိရိယာများ အစုံလိုက်နှင့် သက်ဆိုင်သော အရည်အချင်းများကို သိမ်းဆည်းရန်အတွက် kernel ဒေတာတည်ဆောက်ပုံများရှိ အကာအကွယ်နယ်ပယ်အချို့နှင့်အတူ ဘုံပတ်ဝန်းကျင်တစ်ခုကို ဖော်ပြခဲ့သည်။ ထို့နောက် အလိုရှိသော လုံခြုံရေးပုံစံကို အကောင်အထည်ဖော်ရန် တင်နိုင်သော kernel module များမှ ဤပတ်ဝန်းကျင်ကို အသုံးပြုနိုင်သည်။ LSM သည် 2.6 ခုနှစ်တွင် Linux kernel v2003 ကို အပြည့်အဝဝင်ရောက်ခဲ့သည်။

LSM မူဘောင်တွင် ဒေတာဖွဲ့စည်းပုံများတွင် အစောင့်အကွက်များနှင့် ၎င်းတို့ကို စီမံခန့်ခွဲရန်နှင့် ဝင်ရောက်ထိန်းချုပ်ရန်အတွက် kernel ကုဒ်ရှိ အရေးကြီးသောအချက်များတွင် ကြားဖြတ်လုပ်ဆောင်မှုခေါ်ဆိုမှုများ ပါဝင်သည်။ လုံခြုံရေး မော်ဂျူးများကို စာရင်းသွင်းခြင်းအတွက် လုပ်ဆောင်နိုင်စွမ်းကိုလည်း ထည့်သွင်းပေးထားသည်။ /sys/kernel/security/lsm အင်တာဖေ့စ်တွင် စနစ်အတွင်းရှိ တက်ကြွသော module များစာရင်းပါရှိသည်။ LSM ချိတ်များကို CONFIG_LSM တွင် သတ်မှတ်ထားသည့် အစီအစဥ်အတိုင်း ခေါ်ဆိုထားသော စာရင်းများတွင် သိမ်းဆည်းထားသည်။ အသေးစိတ်ချိတ်စာရွက်စာတမ်းများကို include/linux/lsm_hooks.h ခေါင်းစီးဖိုင်တွင် ထည့်သွင်းထားသည်။

LSM စနစ်ခွဲသည် တည်ငြိမ်သော Linux kernel v2.6 ၏ တူညီသောဗားရှင်း၏ SELinux ၏ အပြည့်အဝပေါင်းစပ်မှုကို အပြီးသတ်နိုင်စေခဲ့သည်။ ချက်ချင်းပင်၊ SELinux သည် လုံခြုံသော Linux ပတ်ဝန်းကျင်အတွက် စံသတ်မှတ်ချက်တစ်ခုဖြစ်လာပြီး RedHat Enterprise Linux၊ Fedora၊ Debian၊ Ubuntu တို့၌ ရေပန်းအစားဆုံးသော ဖြန့်ဝေမှုများ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်လာခဲ့သည်။

ဝေါဟာရ

• အထောက်အထား - SELinux အသုံးပြုသူသည် ပုံမှန် Unix/Linux အသုံးပြုသူ ID နှင့် မတူပါ၊ ၎င်းတို့သည် တူညီသောစနစ်တွင် အတူယှဉ်တွဲနေထိုင်နိုင်သော်လည်း ၎င်းတို့သည် အနှစ်သာရအားဖြင့် လုံးဝကွဲပြားပါသည်။ ပုံမှန် Linux အကောင့်တစ်ခုစီသည် SELinux တွင် တစ်ခု သို့မဟုတ် တစ်ခုထက်ပို၍ ဆက်စပ်နိုင်သည်။ SELinux အထောက်အထားသည် သင်ပါဝင်နိုင်သည့် ဒိုမိန်းများကို ဆုံးဖြတ်ပေးသည့် အလုံးစုံလုံခြုံရေးဆိုင်ရာ အကြောင်းအရာ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။
• ဒိုမိန်းများ - SELinux တွင်၊ ဒိုမိန်းသည် ဘာသာရပ်၏ အကောင်အထည်ဖော်ဆောင်ရွက်ချက်ဖြစ်သည်၊ ဆိုလိုသည်မှာ လုပ်ငန်းစဉ်ဖြစ်သည်။ ဒိုမိန်းသည် လုပ်ငန်းစဉ်တစ်ခု၏ ဝင်ရောက်ခွင့်ကို တိုက်ရိုက်သတ်မှတ်သည်။ ဒိုမိန်းသည် အခြေခံအားဖြင့် မည်သည့် လုပ်ငန်းစဉ်များ လုပ်ဆောင်နိုင်သည် သို့မဟုတ် လုပ်ငန်းစဉ်တစ်ခုသည် မတူညီသော အမျိုးအစားများနှင့် လုပ်ဆောင်နိုင်သည့် လုပ်ဆောင်ချက်များ၏ စာရင်းတစ်ခုဖြစ်သည်။ အချို့သော domains များသည် စနစ်စီမံခန့်ခွဲမှုအတွက် sysadm_t နှင့် ပုံမှန်အခွင့်ထူးမခံရသော သုံးစွဲသူဒိုမိန်းတစ်ခုဖြစ်သည့် user_t တို့ဖြစ်သည်။ init စနစ်သည် init_t ဒိုမိန်းတွင် အလုပ်လုပ်ပြီး အမည်ပေးထားသော လုပ်ငန်းစဉ်သည် name_t ဒိုမိန်းတွင် အလုပ်လုပ်သည်။
• အခန်းကဏ္ဍ - ဒိုမိန်းများနှင့် SELinux အသုံးပြုသူများကြားတွင် ကြားခံအဖြစ်ဆောင်ရွက်သော အရာတစ်ခု။ အခန်းကဏ္ဍများသည် သုံးစွဲသူတစ်ဦးပိုင်နိုင်သည့် ဒိုမိန်းများနှင့် အသုံးပြုသူဝင်ရောက်နိုင်သည့် အရာဝတ္ထုအမျိုးအစားများကို သတ်မှတ်သည်။ ထိုသို့သောဝင်ရောက်ထိန်းချုပ်မှုယန္တရားသည် အထူးအခွင့်အရေးတိုးမြင့်သည့်တိုက်ခိုက်မှု၏ခြိမ်းခြောက်မှုကိုကာကွယ်ပေးသည်။ အခန်းကဏ္ဍများကို SELinux တွင်အသုံးပြုသော Role Based Access Control (RBAC) လုံခြုံရေးပုံစံတွင် ရေးသားထားသည်။
• အမျိုးအစားများ — အရာဝတ္တုတစ်ခုအတွက် သတ်မှတ်ပေးထားသည့် ကျင့်သုံးမှုစာရင်း attribute ကိုရိုက်ထည့်ကာ ၎င်းကို မည်သူဝင်ရောက်ခွင့်ရှိမည်ကို ဆုံးဖြတ်သည်။ ဒိုမိန်းသည် လုပ်ငန်းစဉ်နှင့် သက်ဆိုင်သည်မှလွဲ၍ အမျိုးအစားသည် လမ်းညွှန်များ၊ ဖိုင်များ၊ ဆော့ဖ်ဝဲများနှင့် အခြားအရာများအတွက် သက်ဆိုင်နေချိန်တွင် ဒိုမိန်းတစ်ခုကို သတ်မှတ်ခြင်းနှင့် ဆင်တူသည်။
• ဘာသာရပ်နှင့် အရာဝတ္ထုများ - လုပ်ငန်းစဉ်များသည် အကြောင်းအရာများဖြစ်ပြီး သီးခြားအကြောင်းအရာတစ်ခု သို့မဟုတ် လုံခြုံရေးဒိုမိန်းတွင် လုပ်ဆောင်သည်။ လည်ပတ်မှုစနစ်ရင်းမြစ်များ- ဖိုင်များ၊ လမ်းညွှန်များ၊ ဆော့ဖ်ဝဲများ စသည်တို့သည် သီးခြားအမျိုးအစားတစ်ခုအဖြစ် သတ်မှတ်ပေးထားသည့် အရာဝတ္ထုများဖြစ်ပြီး တစ်နည်းအားဖြင့် လျှို့ဝှက်အဆင့်တစ်ခုဖြစ်သည်။
• SELinux မူဝါဒများ - SELinux သည် စနစ်အား ကာကွယ်ရန် မူဝါဒအမျိုးမျိုးကို အသုံးပြုသည်။ SELinux မူဝါဒသည် အသုံးပြုသူဝင်ရောက်ခွင့်ကို အခန်းကဏ္ဍများ၊ ဒိုမိန်းများသို့ အခန်းကဏ္ဍများနှင့် အမျိုးအစားများအတွက် ဒိုမိန်းများကို သတ်မှတ်ပေးသည်။ ပထမဦးစွာ၊ အသုံးပြုသူသည် အခန်းကဏ္ဍတစ်ခုရယူရန် အခွင့်အာဏာရှိပြီး၊ ထို့နောက် အခန်းကဏ္ဍသည် ဒိုမိန်းများကို ဝင်ရောက်ကြည့်ရှုရန် ခွင့်ပြုထားသည်။ နောက်ဆုံးတွင်၊ ဒိုမိန်းတစ်ခုသည် အချို့သော အရာဝတ္ထုအမျိုးအစားများသို့သာ ဝင်ရောက်ခွင့်ရှိနိုင်သည်။

LSM နှင့် SELinux ဗိသုကာ

နာမည်ရှိသော်လည်း၊ LSM များသည် ယေဘုယျအားဖြင့် တင်နိုင်သော Linux module များမဟုတ်ပါ။ သို့သော်၊ SELinux ကဲ့သို့ပင်၊ ၎င်းကို kernel တွင် တိုက်ရိုက်ပေါင်းစပ်ထားသည်။ LSM အရင်းအမြစ်ကုဒ်သို့ ပြောင်းလဲမှုတိုင်းသည် kernel စုစည်းမှုအသစ် လိုအပ်သည်။ သက်ဆိုင်ရာ ရွေးချယ်ခွင့်ကို kernel ဆက်တင်များတွင် ဖွင့်ထားရမည်၊ သို့မဟုတ်ပါက စတင်ဖွင့်ပြီးနောက် LSM ကုဒ်ကို အသက်သွင်းမည်မဟုတ်ပါ။ သို့သော်ဤကိစ္စတွင်ပင်၊ OS bootloader option ဖြင့်ဖွင့်နိုင်သည်။

LSM စစ်ဆေးမှုအတွဲ

LSM တွင် စစ်ဆေးမှုများအတွက် သက်ဆိုင်ရာ core kernel လုပ်ဆောင်ချက်များတွင် ချိတ်များ တပ်ဆင်ထားသည်။ LSM ၏ အဓိကအင်္ဂါရပ်များထဲမှတစ်ခုမှာ ၎င်းတို့သည် stack အခြေခံဖြစ်သည်။ ထို့ကြောင့်၊ စံစစ်ဆေးမှုများကို လုပ်ဆောင်ဆဲဖြစ်ပြီး LSM အလွှာတစ်ခုစီသည် အပိုထိန်းချုပ်မှုများနှင့် ထိန်းချုပ်မှုများကိုသာ ပေါင်းထည့်သည်။ ဆိုလိုတာက တားမြစ်ချက်ကို နောက်ပြန်ဆုတ်လို့မရပါဘူး။ ပုံမှန် DAC စစ်ဆေးမှုများ၏ရလဒ်သည် ချို့ယွင်းပါက၊ ၎င်းသည် LSM ချိတ်များကိုပင် မရောက်နိုင်ပါ။

SELinux သည် အထူးအခွင့်အရေးအနည်းဆုံးဖြစ်သော Fluke သုတေသနလည်ပတ်မှုစနစ်၏ Flask လုံခြုံရေးဗိသုကာကို လက်ခံခဲ့သည်။ ၎င်းတို့၏အမည် အကြံပြုထားသည့်အတိုင်း ဤအယူအဆ၏ အနှစ်သာရမှာ အသုံးပြုသူအား ပေးဆောင်ရန် သို့မဟုတ် ရည်ရွယ်ထားသည့် လုပ်ဆောင်ချက်များကို အကောင်အထည်ဖော်ရန်အတွက် လိုအပ်သော အခွင့်အရေးများကိုသာ အသုံးပြုခွင့်ပေးရန်ဖြစ်သည်။ ဤနိယာမကို အတင်းဝင်ရောက်စာရိုက်ခြင်းဖြင့် အကောင်အထည်ဖော်သည်၊ ထို့ကြောင့် SELinux ၏ ဝင်ရောက်ထိန်းချုပ်မှုသည် ဒိုမိန်း => အမျိုးအစား မော်ဒယ်ပေါ်တွင် အခြေခံထားသည်။

အတင်းအကြပ် ဝင်ရောက်စာရိုက်ခြင်းဖြင့်၊ SELinux သည် Unix/Linux လည်ပတ်မှုစနစ်များတွင် အသုံးပြုသည့် သမားရိုးကျ DAC မော်ဒယ်များထက် ပိုမိုကြီးမားသော ဝင်ရောက်ထိန်းချုပ်နိုင်စွမ်းရှိသည်။ ဥပမာအားဖြင့်၊ သင်သည် ftp ဆာဗာတွင် ဖြစ်ပေါ်လာမည့် ကွန်ရက်ပေါက်နံပါတ်ကို ကန့်သတ်နိုင်ပြီး အချို့ဖိုင်တွဲတစ်ခုတွင် ဖိုင်များရေးသားခြင်းနှင့် ပြောင်းလဲခြင်းကို ခွင့်ပြုသော်လည်း ၎င်းတို့ကို မဖျက်ပါ။

SELinux ၏ အဓိက အစိတ်အပိုင်းများမှာ-

• မူဝါဒကျင့်သုံးမှု ဆာဗာ - ဝင်ရောက်ထိန်းချုပ်မှုအတွက် အဓိက ယန္တရား။
• စနစ်လုံခြုံရေးမူဝါဒများ၏ ဒေတာဘေ့စ်။
• LSM ဖြစ်ရပ် နားထောင်သူနှင့် အပြန်အလှန် တုံ့ပြန်ခြင်း။
• Selinuxfs - Pseudo-FS၊ /proc ကဲ့သို့တူညီပြီး /sys/fs/selinux တွင်တပ်ဆင်ထားသည်။ runtime တွင် Linux kernel မှ ဒိုင်းနမစ်ဖြင့် ဖြည့်သွင်းထားပြီး SELinux အခြေအနေ အချက်အလက်ပါရှိသော ဖိုင်များပါရှိသည်။
• Vector Cache ကို ဝင်သုံးပါ။ - စွမ်းဆောင်ရည်မြှင့်တင်ရန် အရန်ယန္တရား။

SELinux အလုပ်လုပ်ပုံ

ဤအရာအားလုံးသည်အောက်ပါအတိုင်းအလုပ်လုပ်သည်။

1. SELinux စည်းကမ်းချက်များအရ အကြောင်းအရာတစ်ခုသည် DAC စစ်ဆေးပြီးနောက် အရာဝတ္တုတစ်ခုပေါ်တွင် ခွင့်ပြုထားသည့်လုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည်၊ အပေါ်ပုံတွင်ပြထားသည့်အတိုင်း၊ ဤလုပ်ဆောင်ချက်တောင်းဆိုချက်သည် LSM ဖြစ်ရပ်နားဆင်သူထံ ရောက်သွားပါသည်။
2. ထိုနေရာမှ၊ တောင်းဆိုချက်အား အကြောင်းအရာနှင့် အရာဝတ္တု၏ လုံခြုံရေးဆိုင်ရာ ဆက်စပ်မှုနှင့်အတူ LSM နှင့် အပြန်အလှန်အကျိုးသက်ရောက်မှုအတွက် တာဝန်ရှိသော SELinux Abstraction နှင့် Hook Logic module သို့ ပေးပို့ပါသည်။
3. Policy Enforcement Server သည် အရာဝတ္တုသို့ ဘာသာရပ်၏ဝင်ရောက်ခွင့်အတွက် ဆုံးဖြတ်ချက်ချနိုင်သောအခွင့်အာဏာဖြစ်ပြီး ၎င်းသည် SELinux AnHL မှဒေတာကိုလက်ခံရရှိပါသည်။
4. ဝင်ရောက်ခြင်း သို့မဟုတ် တားမြစ်ခြင်းဆိုင်ရာ ဆုံးဖြတ်ချက်တစ်ခုချရန်၊ Policy Enforcement Server သည် အသုံးအများဆုံး Access Vector Cache (AVC) စည်းမျဉ်းများ၏ ကက်ရှ်စနစ်ခွဲကို ရည်ညွှန်းသည်။
5. သက်ဆိုင်ရာ စည်းမျဉ်းအတွက် ဖြေရှင်းချက်ကို ကက်ရှ်တွင် ရှာမတွေ့ပါက တောင်းဆိုချက်အား လုံခြုံရေးမူဝါဒဒေတာဘေ့စ်သို့ ပေးပို့မည်ဖြစ်သည်။
6. ဒေတာဘေ့စ်နှင့် AVC မှ ရှာဖွေမှုရလဒ်ကို မူဝါဒကျင့်သုံးမှုဆာဗာသို့ ပြန်ပို့သည်။
7. တွေ့ရှိသောမူဝါဒသည် တောင်းဆိုထားသောလုပ်ဆောင်ချက်နှင့် ကိုက်ညီပါက၊ လည်ပတ်မှုကို ခွင့်ပြုပါသည်။ မဟုတ်ပါက စစ်ဆင်ရေးကို တားမြစ်ထားသည်။

SELinux ဆက်တင်များကို စီမံခန့်ခွဲခြင်း။

SELinux သည် မုဒ်သုံးမျိုးထဲမှ တစ်ခုတွင် လုပ်ဆောင်သည်-

• Enforcecing - လုံခြုံရေးမူဝါဒများကို တင်းကျပ်စွာ ကျင့်သုံးခြင်း။
• ခွင့်ပြုချက် - ကန့်သတ်ချက်များကို ချိုးဖောက်ခြင်းအား ခွင့်ပြုထားပြီး သက်ဆိုင်ရာ အမှတ်အသားကို မှတ်တမ်းတွင် ပြုလုပ်ထားသည်။
• ပိတ်ထားသည်- လုံခြုံရေးမူဝါဒများသည် အသက်ဝင်ခြင်းမရှိပါ။

အောက်ပါ command ဖြင့် SELinux သည် မည်သည့်မုဒ်တွင် ရှိနေသည်ကို သင်မြင်နိုင်သည်။

[admin@server ~]$ getenforce
Permissive

ပြန်လည်စတင်ခြင်းမပြုမီ မုဒ်ကိုပြောင်းခြင်း ဥပမာအားဖြင့်၊ ၎င်းအား လိုက်နာကျင့်သုံးရန် သတ်မှတ်ခြင်း သို့မဟုတ် 1. ခွင့်ပြုထားသော ကန့်သတ်ဘောင်သည် ဂဏန်းကုဒ် 0 နှင့် သက်ဆိုင်သည်။

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

ဖိုင်ကို တည်းဖြတ်ခြင်းဖြင့် မုဒ်ကိုလည်း သင်ပြောင်းနိုင်သည်-

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=ပစ်မှတ်

setenfoce နှင့် ခြားနားချက်မှာ လည်ပတ်မှုစနစ် စတင်သည့်အခါ၊ SELinux မုဒ်သည် ဖိုင်ဖွဲ့စည်းပုံဖိုင်ရှိ SELINUX ပါရာမီတာ၏ တန်ဖိုးနှင့်အညီ သတ်မှတ်ပေးမည်ဖြစ်သည်။ ထို့အပြင်၊ <=> disabled အပြောင်းအလဲများကို ပြဋ္ဌာန်းထားခြင်းသည် /etc/selinux/config ဖိုင်ကို တည်းဖြတ်ခြင်းနှင့် ပြန်လည်စတင်ပြီးနောက်မှသာ အကျိုးသက်ရောက်သည်။

အနှစ်ချုပ် အခြေအနေ အစီရင်ခံစာကို ကြည့်ပါ-

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux ရည်ညွှန်းချက်များကိုကြည့်ရှုရန်၊ အချို့သောစတော့ရှယ်ယာအသုံးအဆောင်များသည် -Z ရွေးချယ်မှုကိုအသုံးပြုသည်။

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ပုံမှန် ls -l အထွက်နှင့် နှိုင်းယှဉ်ပါက၊ အောက်ပါဖော်မတ်တွင် နောက်ထပ် အကွက်များစွာ ရှိပါသည်။

<user>:<role>:<type>:<level>

နောက်ဆုံးအကွက်သည် လုံခြုံရေးတံဆိပ်တုံးကဲ့သို့ အရာတစ်ခုကို ရည်ညွှန်းပြီး ဒြပ်စင်နှစ်ခုပေါင်းစပ်ပါဝင်သည်-

• s0 - အရေးပါမှု၊ အနိမ့်ဆုံး-အဆင့်မြင့် ကြားကာလတွင် မှတ်တမ်းတင်ထားသည်။
• c0၊ c1… c1023 သည် အမျိုးအစားဖြစ်သည်။

အသုံးပြုခွင့်ပုံစံကို ပြောင်းလဲခြင်း။

SELinux မော်ဂျူးများကို တင်ရန် semodule ကိုသုံးပါ၊ ၎င်းတို့ကို ပေါင်းထည့်ကာ ဖယ်ရှားပါ။

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

ပထမအသင်း Semanage login SELinux အသုံးပြုသူတစ်ဦးအား လည်ပတ်မှုစနစ်အသုံးပြုသူတစ်ဦးနှင့် ချိတ်ဆက်ထားပြီး ဒုတိယက ၎င်းကို စာရင်းပြုစုထားသည်။ နောက်ဆုံးတွင် -r ခလုတ်ပါရှိသော နောက်ဆုံးအမိန့်သည် SELinux အသုံးပြုသူများအား OS အကောင့်များသို့ မြေပုံဆွဲခြင်းကို ဖယ်ရှားပေးပါသည်။ MLS/MCS Range တန်ဖိုးများအတွက် အထားအသို၏ ရှင်းလင်းချက်ကို ယခင်အပိုင်းတွင် တွေ့နိုင်သည်။

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

အဖွဲ့ semanage အသုံးပြုသူ SELinux အသုံးပြုသူများနှင့် အခန်းကဏ္ဍများအကြား မြေပုံဆွဲခြင်းကို စီမံခန့်ခွဲရန် အသုံးပြုသည်။

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

အမိန့်ပေးရွေးချယ်စရာများ-

• -a စိတ်ကြိုက်အခန်းကဏ္ဍမြေပုံဆွဲထည့်သွင်းခြင်း
• -l ကိုက်ညီသော သုံးစွဲသူများနှင့် အခန်းကဏ္ဍများစာရင်း။
• -d စိတ်ကြိုက်အခန်းကဏ္ဍမြေပုံဆွဲထည့်သွင်းမှုကိုဖယ်ရှားပါ။
• -R အသုံးပြုသူနှင့် ပူးတွဲပါရှိသော အခန်းကဏ္ဍများစာရင်း။

ဖိုင်များ၊ အပေါက်များနှင့် ဘူလီယံများ

SELinux module တစ်ခုစီသည် file marking rules အစုံကို ပံ့ပိုးပေးသည်၊ သို့သော် လိုအပ်ပါက သင့်ကိုယ်ပိုင် စည်းမျဉ်းများကိုလည်း ထည့်နိုင်သည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် ဝဘ်ဆာဗာအား /srv/www ဖိုင်တွဲသို့ ဝင်ရောက်ခွင့်ရှိစေလိုပါသည်။

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

ပထမ command သည် အမှတ်အသားစည်းမျဉ်းအသစ်များကို မှတ်ပုံတင်ပြီး ဒုတိယသည် လက်ရှိစည်းမျဉ်းများနှင့်အညီ ဖိုင်အမျိုးအစားများကို ပြန်လည်သတ်မှတ်ခြင်း သို့မဟုတ် ထုတ်ဖော်ပြသခြင်းဖြစ်သည်။

အလားတူ၊ TCP/UDP ပေါက်များကို သင့်လျော်သောဝန်ဆောင်မှုများကသာ ၎င်းတို့ကို နားဆင်နိုင်စေသည့်နည်းဖြင့် အမှတ်အသားပြုထားသည်။ ဥပမာအားဖြင့်၊ ဝဘ်ဆာဗာတစ်ခုသည် port 8080 တွင်နားထောင်ရန်အတွက်၊ သင်သည် command တစ်ခုကို run ရန်လိုအပ်သည်။

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux module များတွင် သိသာထင်ရှားသော အရေအတွက်သည် boolean တန်ဖိုးများကို ယူဆောင်နိုင်သော ဘောင်များရှိသည်။ ထိုကဲ့သို့သောရွေးချယ်မှုများ၏စာရင်းတစ်ခုလုံးကို getsebool -a ဖြင့်ကြည့်ရှုနိုင်သည်။ setsebool ကို အသုံးပြု၍ Boolean တန်ဖိုးများကို ပြောင်းလဲနိုင်သည်။

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

လက်တွေ့လုပ်ဆောင်ပါ၊ Pgadmin-ဝဘ်အင်တာဖေ့စ်ကိုဝင်ရောက်ပါ။

လက်တွေ့နမူနာကို သုံးသပ်ကြည့်ပါ၊ PostgreSQL ဒေတာဘေ့စ်ကို စီမံခန့်ခွဲရန်အတွက် RHEL 7.6 တွင် pgadmin4-web ကို ထည့်သွင်းထားပါသည်။ ကျွန်တော်တို့ ငယ်ငယ်က ကျော်ဖြတ်ခဲ့တယ်။ ရှာဖှေခွငျး pg_hba.conf၊ postgresql.conf နှင့် config_local.py ကို စနစ်ထည့်သွင်းခြင်းဖြင့်၊ ဖိုင်တွဲများအတွက် လုပ်ပိုင်ခွင့်များကို သတ်မှတ်ပြီး pip မှ ပျောက်ဆုံးနေသော Python modules များကို ထည့်သွင်းပါ။ အားလုံးအဆင်သင့်ဖြစ်နေပါပြီ၊ ပြေးပြီးရယူလိုက်ပါ။ Internal Server 500 အမှား.

ကျွန်ုပ်တို့သည် ပုံမှန်သံသယရှိသူများနှင့် စတင်သည်၊ /var/log/httpd/error_log ကိုစစ်ဆေးပါ။ အဲဒီမှာ စိတ်ဝင်စားစရာကောင်းတဲ့ အချက်တွေရှိတယ်။

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

ဤအချိန်တွင်၊ Linux စီမံခန့်ခွဲသူအများစုသည် setencorce 0 ကိုလည်ပတ်ရန် ပြင်းပြင်းထန်ထန်သွေးဆောင်ခံရပြီး ၎င်းကိုလုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ ရိုးရိုးသားသားပြောရရင် ဒါပထမဆုံးအကြိမ်လုပ်တာပါ။ ဒါကလည်း ထွက်ပေါက်တစ်ခုဖြစ်ပေမယ့် အကောင်းဆုံးနဲ့ ဝေးပါတယ်။

ခက်ခဲသောဒီဇိုင်းများရှိနေသော်လည်း SELinux သည် အသုံးပြုသူနှင့် အဆင်ပြေနိုင်သည်။ setroubleshoot package ကို install လုပ်ပြီး system log ကိုကြည့်ရုံပါပဲ။

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

OS တွင် systemd ရှိနေသော်လည်း systemctl ဖြင့်မဟုတ်ဘဲ စာရင်းစစ်ဝန်ဆောင်မှုကို ဤနည်းဖြင့် ပြန်လည်စတင်ရမည်ဖြစ်ကြောင်း သတိပြုပါ။ စနစ်မှတ်တမ်းတွင် ညွှန်ပြလိမ့်မည်။ ပိတ်ဆို့ခြင်း၏အမှန်တရားသာမက၊ အကြောင်းပြချက်နှင့်လည်းဖြစ်သည်။ တားမြစ်ချက်ကိုကျော်လွှားရန်နည်းလမ်း.

ကျွန်ုပ်တို့သည် ဤအမိန့်များကို လုပ်ဆောင်သည်-

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

ကျွန်ုပ်တို့သည် pgadmin4-ဝဘ်ဝဘ်စာမျက်နှာသို့ ဝင်ရောက်ကြည့်ရှုနိုင်သည်၊ အရာအားလုံး အဆင်ပြေပါသည်။

source: www.habr.com