🥇 SELinux मा प्रणाली प्रशासकहरूको लागि चीट पाना: महत्त्वपूर्ण प्रश्नहरूको 42 उत्तरहरू

लेखको अनुवाद पाठ्यक्रमका विद्यार्थीहरूको लागि विशेष गरी तयार गरिएको थियो "लिनक्स प्रशासक".

यहाँ तपाईँले जीवन, ब्रह्माण्ड र Linux मा सुधारिएको सुरक्षाको साथ सबै कुराको बारेमा महत्त्वपूर्ण प्रश्नहरूको जवाफ पाउनुहुनेछ।

"कुराहरू सधैं जस्तो देखिँदैनन् भन्ने महत्त्वपूर्ण सत्य सामान्य ज्ञान हो ..."

-डगलस एडम्स, The Hitchhiker's Guide to the Galaxy

सुरक्षा। बढेको विश्वसनीयता। पत्राचार। नीति। Apocalypse sysadmin को चार Horsemen। हाम्रो दैनिक कार्यहरू - अनुगमन, ब्याकअप, कार्यान्वयन, कन्फिगरेसन, अपडेट गर्ने, आदिका अतिरिक्त - हामी हाम्रा प्रणालीहरूको सुरक्षाको लागि पनि जिम्मेवार छौं। ती प्रणालीहरू पनि जहाँ तेस्रो-पक्ष प्रदायकले हामीलाई परिष्कृत सुरक्षा असक्षम पार्न सिफारिस गर्छ। काम जस्तो लाग्छ इथान हन्ट "मिशन: असम्भव" बाट।

यस दुविधाको सामना गर्दै, केहि प्रणाली प्रशासकहरूले लिने निर्णय गर्छन् नीलो गोली, किनभने तिनीहरू सोच्छन् कि तिनीहरूले जीवन, ब्रह्माण्ड र ती सबैको ठूलो प्रश्नको जवाफ कहिल्यै थाहा पाउने छैनन्। र हामी सबैलाई थाहा छ, त्यो जवाफ 42 हो।

The Hitchhiker's Guide to the Galaxy को भावनामा, यहाँ नियन्त्रण र प्रयोगको बारेमा महत्त्वपूर्ण प्रश्नहरूको ४२ उत्तरहरू छन्। SELinux तपाईंको प्रणालीहरूमा।

1. SELinux एक जबरजस्ती पहुँच नियन्त्रण प्रणाली हो, जसको मतलब प्रत्येक प्रक्रियामा लेबल हुन्छ। प्रत्येक फाइल, डाइरेक्टरी र प्रणाली वस्तुमा पनि लेबलहरू छन्। नीति नियमहरूले ट्याग गरिएका प्रक्रियाहरू र वस्तुहरू बीच पहुँच नियन्त्रण गर्दछ। कर्नेलले यी नियमहरू लागू गर्दछ।

2. दुई सबैभन्दा महत्त्वपूर्ण अवधारणाहरू हुन्: लेबलिंग — चिन्हहरू (फाइलहरू, प्रक्रियाहरू, पोर्टहरू, आदि) र प्रकार प्रवर्तन (जसले प्रकारका आधारमा एकअर्काबाट प्रक्रियाहरूलाई अलग गर्छ)।

3. सही लेबल ढाँचा user:role:type:level (वैकल्पिक)।

4. बहु-स्तरीय सुरक्षा प्रदान गर्ने उद्देश्य (बहु-स्तरीय सुरक्षा - MLS) तिनीहरूले प्रयोग गर्ने डेटाको सुरक्षाको स्तरमा आधारित प्रक्रियाहरू (डोमेनहरू) व्यवस्थापन गर्न हो। उदाहरणका लागि, गोप्य प्रक्रियाले शीर्ष गोप्य डाटा पढ्न सक्दैन।

5. बहु-श्रेणी सुरक्षा सुनिश्चित गर्दै (बहु-श्रेणी सुरक्षा - MCS) समान प्रक्रियाहरूलाई एकअर्काबाट सुरक्षित गर्दछ (उदाहरणका लागि, भर्चुअल मेसिनहरू, ओपनशिफ्ट इन्जिनहरू, SELinux स्यान्डबक्सहरू, कन्टेनरहरू, आदि)।

6. बुटमा SELinux मोडहरू परिवर्तन गर्न कर्नेल विकल्पहरू:

autorelabel=1 → प्रणालीलाई रिलेबलिङ चलाउनको लागि कारण बनाउँछ
selinux=0 → कर्नेलले SELinux पूर्वाधार लोड गर्दैन
enforcing=0 → अनुमति मोडमा लोड गर्दै

7. यदि तपाईंलाई सम्पूर्ण प्रणाली पुन: लेबल गर्न आवश्यक छ भने:

# touch /.autorelabel #reboot

यदि प्रणाली मार्किङमा त्रुटिहरूको ठूलो संख्या समावेश छ भने, तपाईंले सफल हुनको लागि टिप्पणी गर्न अनुमति मोडमा बुट गर्न आवश्यक पर्दछ।

8. SELinux सक्षम छ कि छैन जाँच गर्न: # getenforce

9. SELinux लाई अस्थायी रूपमा सक्षम/असक्षम पार्न: # setenforce [1|0]

10। SELinux स्थिति जाँच गर्दै: # sestatus

11। कन्फिगरेसन फाइल: /etc/selinux/config

12। SELinux कसरी काम गर्छ? यहाँ Apache वेब सर्भर को लागी एक उदाहरण चिन्ह लगाइएको छ:

बाइनरी प्रतिनिधित्व: /usr/sbin/httpd→httpd_exec_t
कन्फिगरेसन निर्देशिका: /etc/httpd→httpd_config_t
लग फाइल निर्देशिका: /var/log/httpd → httpd_log_t
सामग्री निर्देशिका: /var/www/html → httpd_sys_content_t
स्क्रिप्ट सुरु गर्नुहोस्: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
प्रक्रिया: /usr/sbin/httpd -DFOREGROUND → httpd_t
पोर्टहरू: 80/tcp, 443/tcp → httpd_t, http_port_t

सन्दर्भमा चलिरहेको प्रक्रिया httpd_t, लेबल गरिएको वस्तुसँग अन्तरक्रिया गर्न सक्छ httpd_something_t.

13। धेरै आदेशहरूले तर्क स्वीकार गर्छन् -Z हेर्न, सिर्जना गर्न र सन्दर्भ परिवर्तन गर्न:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

सन्दर्भहरू स्थापित हुन्छन् जब फाइलहरू तिनीहरूको अभिभावक डाइरेक्टरीको सन्दर्भमा आधारित हुन्छन् (केही अपवादहरू सहित)। RPM ले स्थापनाको क्रममा सन्दर्भहरू स्थापना गर्न सक्छ।

14। SELinux त्रुटिहरूका चार मुख्य कारणहरू छन्, जसलाई तलको अंक १५-२१ मा थप विवरणमा वर्णन गरिएको छ:

लेबलिङ समस्याहरू
SELinux लाई थाहा हुनु पर्ने कुराको कारणले
SELinux नीति/अनुप्रयोगमा त्रुटि
तपाईंको जानकारी सम्झौता हुन सक्छ

15। लेबलिङ समस्या: यदि तपाइँका फाइलहरू छन् /srv/myweb गलत रूपमा चिन्ह लगाइएको छ, पहुँच अस्वीकार हुन सक्छ। यहाँ यसलाई ठीक गर्न केही तरिकाहरू छन्:

यदि तपाईंलाई लेबल थाहा छ भने:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
यदि तपाईलाई बराबर चिन्हहरू भएको फाइल थाहा छ भने:
# semanage fcontext -a -e /srv/myweb /var/www
सन्दर्भ पुनर्स्थापना गर्दै (दुवै अवस्थामा):
# restorecon -vR /srv/myweb

16। लेबलिङ समस्या: यदि तपाईंले फाइललाई प्रतिलिपि गर्नुको सट्टा सार्नु भयो भने, फाइलले यसको मूल सन्दर्भ कायम राख्नेछ। यो समस्या समाधान गर्न:

लेबलको साथ सन्दर्भ आदेश परिवर्तन गर्नुहोस्:
# chcon -t httpd_system_content_t /var/www/html/index.html
लिङ्क लेबलको साथ सन्दर्भ आदेश परिवर्तन गर्नुहोस्:
# chcon --reference /var/www/html/ /var/www/html/index.html
सन्दर्भ पुनर्स्थापना गर्नुहोस् (दुवै केसहरूको लागि): # restorecon -vR /var/www/html/

17। यदि SELinux तपाईंले जान्न आवश्यक छHTTPD ले पोर्ट ८५८५ मा सुनिरहेको छ, SELinux लाई भन्नुहोस्:

# semanage port -a -t http_port_t -p tcp 8585

18। SELinux तपाईंले जान्न आवश्यक छ बुलियन मानहरू जसले SELinux नीतिका भागहरूलाई रनटाइममा परिवर्तन गर्न अनुमति दिन्छ SELinux नीति अधिलेखन भएको जानकारी बिना। उदाहरणका लागि, यदि तपाइँ httpd इमेल पठाउन चाहनुहुन्छ भने, प्रविष्ट गर्नुहोस्: # setsebool -P httpd_can_sendmail 1

19। SELinux तपाईंले जान्न आवश्यक छ SELinux सेटिङहरू सक्षम/असक्षम गर्नका लागि तार्किक मानहरू:

सबै बुलियन मानहरू हेर्न: # getsebool -a
प्रत्येकको विवरण हेर्नको लागि: # semanage boolean -l
बुलियन मान सेट गर्न: # setsebool [_boolean_] [1|0]
स्थायी स्थापनाको लागि, थप्नुहोस् -P। उदाहरणका लागि: # setsebool httpd_enable_ftp_server 1 -P

20। SELinux नीतिहरू/अनुप्रयोगहरूमा त्रुटिहरू हुन सक्छन्, जसमा:

असामान्य कोड पथहरू
कन्फिग्युरासी
stdout रिडिरेक्ट गर्दै
फाइल विवरण चुहावट
कार्यान्वयन योग्य मेमोरी
नराम्रोसँग बनेका पुस्तकालयहरू

टिकटहरू खोल्नुहोस् (बगजिलामा प्रतिवेदन पेश नगर्नुहोस्; बगजिलाको कुनै SLA छैन)।

21। तपाईंको जानकारी सम्झौता हुन सक्छयदि तपाइँसँग प्रतिबन्धित डोमेनहरू प्रयास गर्दै हुनुहुन्छ भने:

कर्नेल मोड्युलहरू लोड गर्नुहोस्
लागू गरिएको SELinux मोड असक्षम गर्नुहोस्
मा लेख्नुहोस् etc_t/shadow_t
iptables नियमहरू परिवर्तन गर्नुहोस्

22। नीति मोड्युलहरू विकास गर्न SELinux उपकरणहरू:

# yum -y install setroubleshoot setroubleshoot-server

रिबुट वा रिस्टार्ट गर्नुहोस् auditd स्थापना पछि।

23। प्रयोग गर्नुहोस्

journalctl

सम्बन्धित सबै लगहरूको सूची प्रदर्शन गर्न setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24। प्रयोग गर्नुहोस् journalctl विशेष SELinux ट्यागसँग सम्बन्धित सबै लगहरू सूचीबद्ध गर्न। उदाहरणका लागि:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25। यदि SELinux त्रुटि देखा पर्‍यो भने, लग प्रयोग गर्नुहोस् setroubleshoot धेरै सम्भावित समाधानहरू प्रदान गर्दै।
उदाहरणका लागि, बाट journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26। लगिङ: SELinux ले धेरै ठाउँमा जानकारी रेकर्ड गर्छ:

/ var / लग / सन्देशहरू
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27। लगिङ: अडिट लगमा SELinux त्रुटिहरूको खोजी गर्दै:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28। विशेष सेवाको लागि SELinux पहुँच भेक्टर क्यास (AVC) सन्देशहरू फेला पार्न:

# ausearch -m avc -c httpd

29। उपयोगिता audit2allow निषेधित कार्यहरूको लगबाट जानकारी सङ्कलन गर्दछ र त्यसपछि SELinux अनुमति नीति नियमहरू उत्पन्न गर्दछ। उदाहरणका लागि:

किन पहुँच अस्वीकार गरिएको छ भन्ने मानव-पठनीय विवरण सिर्जना गर्न: # audit2allow -w -a
अस्वीकृत पहुँच अनुमति दिने प्रकार प्रवर्तन नियम हेर्न: # audit2allow -a
अनुकूलन मोड्युल सिर्जना गर्न: # audit2allow -a -M mypolicy
विकल्प -M निर्दिष्ट नामको साथ एक प्रकार प्रवर्तन फाइल (.te) सिर्जना गर्दछ र नीति प्याकेज (.pp) मा नियम कम्पाइल गर्दछ: mypolicy.pp mypolicy.te
अनुकूलन मोड्युल स्थापना गर्न: # semodule -i mypolicy.pp

30। अनुमति मोडमा काम गर्न छुट्टै प्रक्रिया (डोमेन) कन्फिगर गर्न: # semanage permissive -a httpd_t

31। यदि तपाईं अब डोमेनलाई अनुमति दिन चाहनुहुन्न भने: # semanage permissive -d httpd_t

32। सबै अनुमति डोमेनहरू असक्षम गर्न: # semodule -d permissivedomains

33। MLS SELinux नीति सक्षम गर्दै: # yum install selinux-policy-mls в /etc/selinux/config:

SELINUX=permissive SELINUXTYPE=mls

निश्चित गर्नुहोस् कि SELinux अनुमति मोडमा चलिरहेको छ: # setenforce 0
स्क्रिप्ट प्रयोग गर्नुहोस् fixfilesअर्को रिबुटमा फाइलहरू पुन: लेबल गरिएको छ भनेर सुनिश्चित गर्न:

# fixfiles -F onboot # reboot

34। विशिष्ट MLS दायराको साथ प्रयोगकर्ता सिर्जना गर्नुहोस्: # useradd -Z staff_u john

आदेश प्रयोग गर्दै useradd, नयाँ प्रयोगकर्तालाई अवस्थित SELinux प्रयोगकर्तामा नक्सा गर्नुहोस् (यस अवस्थामा, staff_u).

35। SELinux र Linux प्रयोगकर्ताहरू बीचको म्यापिङ हेर्नको लागि: # semanage login -l

36। प्रयोगकर्ताको लागि विशिष्ट दायरा परिभाषित गर्नुहोस्: # semanage login --modify --range s2:c100 john

37। प्रयोगकर्ताको गृह डाइरेक्टरी लेबल सच्याउन (यदि आवश्यक भए): # chcon -R -l s2:c100 /home/john

38। वर्तमान कोटिहरू हेर्नको लागि: # chcat -L

39। कोटिहरू परिवर्तन गर्न वा आफ्नै सिर्जना गर्न सुरु गर्न, निम्नानुसार फाइल सम्पादन गर्नुहोस्:

/etc/selinux/_<selinuxtype>_/setrans.conf

40। निर्दिष्ट फाइल, भूमिका, र प्रयोगकर्ता सन्दर्भमा आदेश वा स्क्रिप्ट चलाउन:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t फाइल सन्दर्भ
-r भूमिका सन्दर्भ
-u प्रयोगकर्ता सन्दर्भ

41। SELinux असक्षम पारिएको कन्टेनरहरू:

पोडम्यान: # podman run --security-opt label=disable …
डकर: # docker run --security-opt label=disable …

42। यदि तपाइँ कन्टेनरलाई प्रणालीमा पूर्ण पहुँच दिन आवश्यक छ भने:

पोडम्यान: # podman run --privileged …
डकर: # docker run --privileged …

र अब तपाईलाई पहिले नै जवाफ थाहा छ। त्यसैले कृपया: नडराउनुहोस् र SELinux सक्षम गर्नुहोस्।

सन्दर्भहरू:

स्रोत: www.habr.com

प्रणाली प्रशासकहरूको लागि SELinux धोखा पाना: महत्त्वपूर्ण प्रश्नहरूको 42 जवाफ

सन्दर्भहरू:

एक टिप्पणी थप्न Отменить ответ