पाठ्यक्रम विद्यार्थीहरूको लागि तयार लेखको अनुवाद "लिनक्स सुरक्षा"

SELinux वा सेक्युरिटी एन्हान्स्ड लिनक्स यूएस नेशनल सेक्युरिटी एजेन्सी (NSA) द्वारा दुर्भावनापूर्ण घुसपैठ रोक्नको लागि विकसित गरिएको पहुँच नियन्त्रण संयन्त्र हो। यसले बाध्यकारी (वा अनिवार्य) पहुँच नियन्त्रण मोडेल (अंग्रेजी अनिवार्य पहुँच नियन्त्रण, MAC) अवस्थित विवेकात्मक (वा चयनात्मक) मोडेल (अंग्रेजी विवेकाधिकार पहुँच नियन्त्रण, DAC) को शीर्षमा लागू गर्दछ, त्यो हो, पढ्न, लेख्न, कार्यान्वयन गर्ने अनुमतिहरू।

SELinux मा तीन मोडहरू छन्:

प्रवर्धन गर्दै - नीति नियमहरूमा आधारित पहुँच अस्वीकार।
अनुमति दिने - नीति उल्लङ्घन गर्ने कार्यहरूको लग राख्ने, जुन लागू गर्ने मोडमा निषेधित हुनेछ।
अक्षम - SELinux को पूर्ण असक्षम गर्दै।

पूर्वनिर्धारित रूपमा सेटिङहरू छन् /etc/selinux/config

SELinux मोडहरू परिवर्तन गर्दै

हालको मोड पत्ता लगाउन, चलाउनुहोस्

$ getenforce

अनुमतिमा मोड परिवर्तन गर्न निम्न आदेश चलाउनुहोस्

$ setenforce 0

वा, बाट मोड परिवर्तन गर्न Permissive मा लागू गर्दै, कार्यान्वयन

$ setenforce 1

यदि तपाइँ SELinux लाई पूर्ण रूपमा असक्षम गर्न आवश्यक छ भने, यो कन्फिगरेसन फाइल मार्फत मात्र गर्न सकिन्छ

$ vi /etc/selinux/config

असक्षम गर्न, निम्नानुसार SELINUX प्यारामिटर परिवर्तन गर्नुहोस्:

SELINUX=disabled

SELinux सेटअप गर्दै

प्रत्येक फाइल र प्रक्रियालाई SELinux सन्दर्भसँग चिन्ह लगाइन्छ, जसमा प्रयोगकर्ता, भूमिका, प्रकार, आदि जस्ता थप जानकारी समावेश हुन्छ। यदि यो तपाइँको पहिलो पटक SELinux सक्षम गर्दै हुनुहुन्छ भने, तपाइँ पहिले सन्दर्भ र लेबलहरू कन्फिगर गर्न आवश्यक हुनेछ। लेबल र सन्दर्भ असाइन गर्ने प्रक्रियालाई ट्यागिङ भनिन्छ। मार्किङ सुरु गर्न, कन्फिगरेसन फाइलमा हामी मोड परिवर्तन गर्छौं Permissive.

$ vi /etc/selinux/config
SELINUX=permissive

मोड सेट गरेपछि Permissive, नामको साथ रूटमा खाली लुकेको फाइल सिर्जना गर्नुहोस् autorelabel

$ touch /.autorelabel

र कम्प्युटर रिबुट गर्नुहोस्

$ init 6

नोट: हामी मोड प्रयोग गर्छौं Permissive मार्किङको लागि, मोडको प्रयोगदेखि लागू गर्दै रिबुट गर्दा प्रणाली क्र्यास हुन सक्छ।

चिन्ता नगर्नुहोस् यदि डाउनलोड केही फाइलमा अड्कियो भने, चिन्ह लगाउन केही समय लाग्छ। मार्किङ पूरा भएपछि र तपाईंको प्रणाली बुट भएपछि, तपाईं कन्फिगरेसन फाइलमा गएर मोड सेट गर्न सक्नुहुन्छ लागू गर्दैर पनि चलाउनुहोस्:

$ setenforce 1

तपाईंले अब सफलतापूर्वक आफ्नो कम्प्युटरमा SELinux सक्षम गर्नुभएको छ।

लगहरू निगरानी गर्दै

तपाईंले मार्किङ गर्दा वा प्रणाली चलिरहेको बेलामा केही त्रुटिहरू सामना गर्नुभएको हुन सक्छ। तपाईको SELinux ले ठीकसँग काम गरिरहेको छ वा छैन भनी जाँच गर्न र यदि यसले कुनै पनि पोर्ट, एप्लिकेसन आदिमा पहुँच रोकिरहेको छैन भने, तपाईले लगहरू हेर्नु पर्छ। SELinux लग मा स्थित छ /var/log/audit/audit.log, तर त्रुटिहरू फेला पार्न तपाईंले सम्पूर्ण कुरा पढ्न आवश्यक छैन। तपाईं त्रुटिहरू फेला पार्न adit2why उपयोगिता प्रयोग गर्न सक्नुहुन्छ। निम्न आदेश चलाउनुहोस्:

$ audit2why < /var/log/audit/audit.log

नतिजाको रूपमा, तपाईंले त्रुटिहरूको सूची प्राप्त गर्नुहुनेछ। यदि लग मा कुनै त्रुटि छैन भने, कुनै सन्देशहरू प्रदर्शन गरिने छैन।

SELinux नीति कन्फिगर गर्दै

SELinux नीति SELinux सुरक्षा संयन्त्रलाई नियन्त्रित गर्ने नियमहरूको सेट हो। नीतिले निश्चित वातावरणको लागि नियमहरूको सेट परिभाषित गर्दछ। अब हामी प्रतिबन्धित सेवाहरूमा पहुँच अनुमति दिन नीतिहरू कन्फिगर गर्ने तरिका सिक्ने छौँ।

1. तार्किक मानहरू (स्विचहरू)

स्विचहरू (बूलियनहरू) ले तपाईंलाई रनटाइममा नीतिको भागहरू परिवर्तन गर्न अनुमति दिन्छ, नयाँ नीतिहरू सिर्जना नगरीकन। तिनीहरूले तपाईंलाई SELinux नीतिहरू रिबुट वा पुन: कम्पाइल नगरी परिवर्तनहरू गर्न अनुमति दिन्छ।

उदाहरण:
मानौं कि हामी FTP पढ्न/लेखन मार्फत प्रयोगकर्ताको गृह डाइरेक्टरी साझा गर्न चाहन्छौं, र हामीले यसलाई पहिले नै साझा गरिसकेका छौं, तर जब हामी यसलाई पहुँच गर्ने प्रयास गर्छौं, हामीले केही देख्दैनौं। यो किनभने SELinux नीतिले FTP सर्भरलाई प्रयोगकर्ताको गृह डाइरेक्टरीमा पढ्न र लेख्नबाट रोक्छ। हामीले नीति परिवर्तन गर्न आवश्यक छ ताकि FTP सर्भरले गृह डाइरेक्टरीहरू पहुँच गर्न सक्छ। यसका लागि कुनै स्विचहरू छन् भने हेरौं

$ semanage boolean -l

यो आदेशले उपलब्ध स्विचहरूलाई तिनीहरूको हालको अवस्था (अन वा अफ) र विवरणसँग सूचीबद्ध गर्नेछ। तपाईं ftp-मात्र नतिजाहरू फेला पार्न grep थपेर आफ्नो खोजलाई परिष्कृत गर्न सक्नुहुन्छ:

$ semanage boolean -l | grep ftp

र तपाइँ निम्न पाउनुहुनेछ

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

यो स्विच असक्षम गरिएको छ, त्यसैले हामी यसलाई सक्षम गर्नेछौं setsebool $ setsebool ftp_home_dir on

अब हाम्रो एफटीपी डेमनले प्रयोगकर्ताको गृह निर्देशिकामा पहुँच गर्न सक्षम हुनेछ।
नोट: तपाईले बिना वर्णन उपलब्ध स्विचहरूको सूची पनि प्राप्त गर्न सक्नुहुन्छ getsebool -a

2. लेबल र सन्दर्भ

यो SELinux नीति लागू गर्ने सबैभन्दा सामान्य तरिका हो। प्रत्येक फाइल, फोल्डर, प्रक्रिया र पोर्ट SELinux सन्दर्भसँग चिन्ह लगाइएको छ:

फाइलहरू र फोल्डरहरूको लागि, लेबलहरू फाइल प्रणालीमा विस्तारित विशेषताहरूको रूपमा भण्डारण गरिन्छ र निम्न आदेशको साथ हेर्न सकिन्छ:
```
$ ls -Z /etc/httpd
```
प्रक्रियाहरू र पोर्टहरूका लागि, लेबलिङ कर्नेलद्वारा व्यवस्थित गरिन्छ, र तपाईंले यी लेबलहरूलाई निम्न रूपमा हेर्न सक्नुहुन्छ:

प्रक्रिया

$ ps –auxZ | grep httpd

पोर्ट

$ netstat -anpZ | grep httpd

उदाहरण:
अब लेबल र सन्दर्भलाई राम्रोसँग बुझ्नको लागि एउटा उदाहरण हेरौं। मानौं हामीसँग एउटा वेब सर्भर छ, डाइरेक्टरीको सट्टा /var/www/html/ использует /home/dan/html/। SELinux ले यसलाई नीतिको उल्लङ्घन मान्नेछ र तपाइँ आफ्नो वेब पृष्ठहरू हेर्न सक्षम हुनुहुने छैन। यो किनभने हामीले HTML फाइलहरूसँग सम्बन्धित सुरक्षा सन्दर्भ सेट गरेका छैनौं। पूर्वनिर्धारित सुरक्षा सन्दर्भ हेर्न, निम्न आदेश प्रयोग गर्नुहोस्:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

यहाँ हामीले पायौं httpd_sys_content_t html फाइलहरूको सन्दर्भको रूपमा। हामीले हाम्रो हालको निर्देशिकाको लागि यो सुरक्षा सन्दर्भ सेट गर्न आवश्यक छ, जसमा हाल निम्न सन्दर्भहरू छन्:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

फाइल वा डाइरेक्टरीको सुरक्षा सन्दर्भ जाँच गर्न वैकल्पिक आदेश:

$ semanage fcontext -l | grep '/var/www'

एकपटक हामीले सही सुरक्षा सन्दर्भ फेला पारेपछि हामी सन्दर्भ परिवर्तन गर्न semanage प्रयोग गर्नेछौं। /home/dan/html को सन्दर्भ परिवर्तन गर्न, निम्न आदेशहरू चलाउनुहोस्:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

सेम्यानेज प्रयोग गरेर सन्दर्भ परिवर्तन भएपछि, रिस्टोरकन आदेशले फाइलहरू र डाइरेक्टरीहरूको लागि पूर्वनिर्धारित सन्दर्भ लोड गर्नेछ। हाम्रो वेब सर्भरले अब फोल्डरबाट फाइलहरू पढ्न सक्षम हुनेछ /home/dan/htmlकिनभने यस फोल्डरको लागि सुरक्षा सन्दर्भमा परिवर्तन गरिएको छ httpd_sys_content_t.

3. स्थानीय नीतिहरू सिर्जना गर्नुहोस्

माथिका विधिहरू तपाईंको लागि उपयोगी नहुने र तपाईंले audit.log मा त्रुटिहरू (avc/denial) पाउन सक्ने अवस्थाहरू हुन सक्छन्। जब यो हुन्छ, तपाईंले स्थानीय नीति बनाउन आवश्यक छ। तपाईंले माथि वर्णन गरिए अनुसार, audit2why प्रयोग गरेर सबै त्रुटिहरू फेला पार्न सक्नुहुन्छ।

तपाईं त्रुटिहरू समाधान गर्न स्थानीय नीति बनाउन सक्नुहुन्छ। उदाहरणका लागि, हामीले httpd (apache) वा smbd (samba) सँग सम्बन्धित त्रुटि पाउँछौं, हामी त्रुटिहरू ग्रेप गर्छौं र तिनीहरूको लागि नीति बनाउँछौं:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

यो छ http_policy и smb_policy हामीले बनाएका स्थानीय नीतिहरूको नामहरू हुन्। अब हामीले यी सिर्जना गरिएका स्थानीय नीतिहरूलाई हालको SELinux नीतिमा लोड गर्न आवश्यक छ। यो निम्नानुसार गर्न सकिन्छ:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

हाम्रा स्थानीय नीतिहरू डाउनलोड गरिएका छन् र हामीले अब audit.log मा कुनै पनि avc वा denail प्राप्त गर्नु हुँदैन।

यो SELinux बुझ्न मद्दत गर्ने मेरो प्रयास थियो। मलाई आशा छ कि यो लेख पढिसकेपछि तपाईले SELinux सँग थप सहज महसुस गर्नुहुनेछ।

स्रोत: www.habr.com

SELinux को लागी एक शुरुआती गाइड