ਕੋਰਸ ਦੇ ਵਿਦਿਆਰਥੀਆਂ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਲੇਖ ਦਾ ਅਨੁਵਾਦ "ਲੀਨਕਸ ਸੁਰੱਖਿਆ"

SELinux ਜਾਂ ਸਕਿਓਰਿਟੀ ਐਨਹਾਂਸਡ ਲੀਨਕਸ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਵਿਧੀ ਹੈ ਜੋ ਯੂਐਸ ਨੈਸ਼ਨਲ ਸਕਿਉਰਿਟੀ ਏਜੰਸੀ (NSA) ਦੁਆਰਾ ਖਤਰਨਾਕ ਘੁਸਪੈਠ ਨੂੰ ਰੋਕਣ ਲਈ ਵਿਕਸਤ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਮੌਜੂਦਾ ਅਖਤਿਆਰੀ (ਜਾਂ ਚੋਣਵੇਂ) ਮਾਡਲ (ਅੰਗਰੇਜ਼ੀ ਅਖਤਿਆਰੀ ਪਹੁੰਚ ਨਿਯੰਤਰਣ, ਡੀਏਸੀ) ਦੇ ਸਿਖਰ 'ਤੇ ਇੱਕ ਜ਼ਬਰਦਸਤੀ (ਜਾਂ ਲਾਜ਼ਮੀ) ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਮਾਡਲ (ਅੰਗਰੇਜ਼ੀ ਲਾਜ਼ਮੀ ਪਹੁੰਚ ਨਿਯੰਤਰਣ, MAC) ਲਾਗੂ ਕਰਦਾ ਹੈ, ਅਰਥਾਤ, ਪੜ੍ਹਨ, ਲਿਖਣ, ਚਲਾਉਣ ਦੀਆਂ ਇਜਾਜ਼ਤਾਂ।

SELinux ਦੇ ਤਿੰਨ ਮੋਡ ਹਨ:

ਲਾਗੂ ਕਰਨਾ - ਨੀਤੀ ਨਿਯਮਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ।
ਆਗਿਆਕਾਰੀ - ਨੀਤੀ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਦਾ ਇੱਕ ਲੌਗ ਰੱਖਣਾ, ਜੋ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਮੋਡ ਵਿੱਚ ਮਨਾਹੀ ਹੋਵੇਗੀ।
ਅਯੋਗ - SELinux ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਅਯੋਗ ਕਰਨਾ।

ਮੂਲ ਰੂਪ ਵਿੱਚ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਹਨ /etc/selinux/config

SELinux ਮੋਡਾਂ ਨੂੰ ਬਦਲਣਾ

ਮੌਜੂਦਾ ਮੋਡ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਚਲਾਓ

$ getenforce

ਮੋਡ ਨੂੰ ਅਨੁਮਤੀ ਵਿੱਚ ਬਦਲਣ ਲਈ ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਚਲਾਓ

$ setenforce 0

ਜਾਂ, ਤੋਂ ਮੋਡ ਬਦਲਣ ਲਈ ਰਵਾਇਤੀ 'ਤੇ ਲਾਗੂ ਕਰ ਰਿਹਾ ਹੈ, ਚਲਾਓ

$ setenforce 1

ਜੇਕਰ ਤੁਹਾਨੂੰ SELinux ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਅਯੋਗ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਇਹ ਕੇਵਲ ਸੰਰਚਨਾ ਫਾਇਲ ਰਾਹੀਂ ਹੀ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ

$ vi /etc/selinux/config

ਅਯੋਗ ਕਰਨ ਲਈ, SELINUX ਪੈਰਾਮੀਟਰ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰ ਬਦਲੋ:

SELINUX=disabled

SELinux ਦੀ ਸਥਾਪਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

ਹਰੇਕ ਫਾਈਲ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਇੱਕ SELinux ਸੰਦਰਭ ਨਾਲ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਵਾਧੂ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਉਪਭੋਗਤਾ, ਭੂਮਿਕਾ, ਕਿਸਮ, ਆਦਿ। ਜੇਕਰ ਤੁਸੀਂ ਪਹਿਲੀ ਵਾਰ SELinux ਨੂੰ ਯੋਗ ਕਰ ਰਹੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਪਹਿਲਾਂ ਸੰਦਰਭ ਅਤੇ ਲੇਬਲਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰਨੀ ਪਵੇਗੀ। ਲੇਬਲ ਅਤੇ ਸੰਦਰਭ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਟੈਗਿੰਗ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਮਾਰਕ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਸੰਰਚਨਾ ਫਾਈਲ ਵਿੱਚ ਅਸੀਂ ਮੋਡ ਨੂੰ ਇਸ ਵਿੱਚ ਬਦਲਦੇ ਹਾਂ ਰਵਾਇਤੀ.

$ vi /etc/selinux/config
SELINUX=permissive

ਮੋਡ ਸੈੱਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਰਵਾਇਤੀ, ਨਾਮ ਨਾਲ ਰੂਟ ਵਿੱਚ ਇੱਕ ਖਾਲੀ ਲੁਕਵੀਂ ਫਾਈਲ ਬਣਾਓ autorelabel

$ touch /.autorelabel

ਅਤੇ ਕੰਪਿਊਟਰ ਨੂੰ ਰੀਬੂਟ ਕਰੋ

$ init 6

ਨੋਟ: ਅਸੀਂ ਮੋਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ ਰਵਾਇਤੀ ਮਾਰਕ ਕਰਨ ਲਈ, ਮੋਡ ਦੀ ਵਰਤੋਂ ਤੋਂ ਬਾਅਦ ਲਾਗੂ ਕਰ ਰਿਹਾ ਹੈ ਰੀਬੂਟ ਦੌਰਾਨ ਸਿਸਟਮ ਕਰੈਸ਼ ਹੋ ਸਕਦਾ ਹੈ।

ਚਿੰਤਾ ਨਾ ਕਰੋ ਜੇਕਰ ਡਾਉਨਲੋਡ ਕਿਸੇ ਫਾਈਲ 'ਤੇ ਅਟਕ ਜਾਂਦਾ ਹੈ, ਮਾਰਕ ਕਰਨ ਵਿੱਚ ਕੁਝ ਸਮਾਂ ਲੱਗਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਮਾਰਕ ਕਰਨਾ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ ਅਤੇ ਤੁਹਾਡਾ ਸਿਸਟਮ ਬੂਟ ਹੋ ਗਿਆ ਹੈ, ਤੁਸੀਂ ਸੰਰਚਨਾ ਫਾਈਲ ਤੇ ਜਾ ਸਕਦੇ ਹੋ ਅਤੇ ਮੋਡ ਸੈਟ ਕਰ ਸਕਦੇ ਹੋ ਲਾਗੂ ਕਰ ਰਿਹਾ ਹੈਅਤੇ ਇਹ ਵੀ ਚਲਾਓ:

$ setenforce 1

ਤੁਸੀਂ ਹੁਣ ਆਪਣੇ ਕੰਪਿਊਟਰ ਉੱਤੇ SELinux ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਯੋਗ ਕਰ ਲਿਆ ਹੈ।

ਲਾਗ ਦੀ ਨਿਗਰਾਨੀ

ਤੁਹਾਨੂੰ ਮਾਰਕ ਕਰਨ ਦੌਰਾਨ ਜਾਂ ਸਿਸਟਮ ਦੇ ਚੱਲਣ ਦੌਰਾਨ ਕੁਝ ਗਲਤੀਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਸਕਦਾ ਹੈ। ਇਹ ਦੇਖਣ ਲਈ ਕਿ ਕੀ ਤੁਹਾਡਾ SELinux ਸਹੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ ਅਤੇ ਜੇਕਰ ਇਹ ਕਿਸੇ ਪੋਰਟ, ਐਪਲੀਕੇਸ਼ਨ ਆਦਿ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਰੋਕ ਨਹੀਂ ਰਿਹਾ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਲੌਗਸ ਨੂੰ ਦੇਖਣ ਦੀ ਲੋੜ ਹੈ। SELinux ਲੌਗ ਵਿੱਚ ਸਥਿਤ ਹੈ /var/log/audit/audit.log, ਪਰ ਤੁਹਾਨੂੰ ਗਲਤੀਆਂ ਲੱਭਣ ਲਈ ਪੂਰੀ ਚੀਜ਼ ਨੂੰ ਪੜ੍ਹਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਤੁਸੀਂ audit2why ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਗਲਤੀਆਂ ਲੱਭਣ ਲਈ ਕਰ ਸਕਦੇ ਹੋ। ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਚਲਾਓ:

$ audit2why < /var/log/audit/audit.log

ਨਤੀਜੇ ਵਜੋਂ, ਤੁਹਾਨੂੰ ਗਲਤੀਆਂ ਦੀ ਇੱਕ ਸੂਚੀ ਪ੍ਰਾਪਤ ਹੋਵੇਗੀ। ਜੇਕਰ ਲੌਗ ਵਿੱਚ ਕੋਈ ਗਲਤੀ ਨਹੀਂ ਹੈ, ਤਾਂ ਕੋਈ ਸੁਨੇਹੇ ਪ੍ਰਦਰਸ਼ਿਤ ਨਹੀਂ ਹੋਣਗੇ।

SELinux ਨੀਤੀ ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

ਇੱਕ SELinux ਪਾਲਿਸੀ ਨਿਯਮਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੈ ਜੋ SELinux ਸੁਰੱਖਿਆ ਵਿਧੀ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦੀ ਹੈ। ਇੱਕ ਨੀਤੀ ਇੱਕ ਖਾਸ ਵਾਤਾਵਰਣ ਲਈ ਨਿਯਮਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਹੁਣ ਅਸੀਂ ਸਿੱਖਾਂਗੇ ਕਿ ਵਰਜਿਤ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣ ਲਈ ਨੀਤੀਆਂ ਨੂੰ ਕਿਵੇਂ ਸੰਰਚਿਤ ਕਰਨਾ ਹੈ।

1. ਲਾਜ਼ੀਕਲ ਮੁੱਲ (ਸਵਿੱਚ)

ਸਵਿੱਚਾਂ (ਬੂਲੀਅਨਜ਼) ਤੁਹਾਨੂੰ ਰਨਟਾਈਮ 'ਤੇ ਨੀਤੀ ਦੇ ਹਿੱਸੇ ਬਦਲਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ, ਬਿਨਾਂ ਨਵੀਆਂ ਨੀਤੀਆਂ ਬਣਾਏ। ਉਹ ਤੁਹਾਨੂੰ SELinux ਪਾਲਿਸੀਆਂ ਨੂੰ ਰੀਬੂਟ ਕੀਤੇ ਜਾਂ ਦੁਬਾਰਾ ਕੰਪਾਇਲ ਕੀਤੇ ਬਿਨਾਂ ਤਬਦੀਲੀਆਂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ।

ਉਦਾਹਰਨ:
ਮੰਨ ਲਓ ਕਿ ਅਸੀਂ FTP ਰੀਡ/ਰਾਈਟ ਰਾਹੀਂ ਉਪਭੋਗਤਾ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਸਾਂਝਾ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਾਂ, ਅਤੇ ਅਸੀਂ ਇਸਨੂੰ ਪਹਿਲਾਂ ਹੀ ਸਾਂਝਾ ਕਰ ਚੁੱਕੇ ਹਾਂ, ਪਰ ਜਦੋਂ ਅਸੀਂ ਇਸਨੂੰ ਐਕਸੈਸ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਾਂ, ਤਾਂ ਸਾਨੂੰ ਕੁਝ ਨਹੀਂ ਦਿਖਾਈ ਦਿੰਦਾ। ਇਹ ਇਸ ਲਈ ਹੈ ਕਿਉਂਕਿ SELinux ਨੀਤੀ FTP ਸਰਵਰ ਨੂੰ ਉਪਭੋਗਤਾ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਪੜ੍ਹਨ ਅਤੇ ਲਿਖਣ ਤੋਂ ਰੋਕਦੀ ਹੈ। ਸਾਨੂੰ ਨੀਤੀ ਨੂੰ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ ਤਾਂ ਜੋ FTP ਸਰਵਰ ਹੋਮ ਡਾਇਰੈਕਟਰੀਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕੇ। ਆਓ ਦੇਖੀਏ ਕਿ ਕੀ ਇਸ ਲਈ ਕੋਈ ਸਵਿੱਚ ਹਨ

$ semanage boolean -l

ਇਹ ਕਮਾਂਡ ਉਪਲਬਧ ਸਵਿੱਚਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਮੌਜੂਦਾ ਸਥਿਤੀ (ਚਾਲੂ ਜਾਂ ਬੰਦ) ਅਤੇ ਵਰਣਨ ਨਾਲ ਸੂਚੀਬੱਧ ਕਰੇਗੀ। ਤੁਸੀਂ ਸਿਰਫ ftp-ਨਤੀਜੇ ਲੱਭਣ ਲਈ grep ਜੋੜ ਕੇ ਆਪਣੀ ਖੋਜ ਨੂੰ ਸੁਧਾਰ ਸਕਦੇ ਹੋ:

$ semanage boolean -l | grep ftp

ਅਤੇ ਤੁਹਾਨੂੰ ਹੇਠ ਲਿਖਿਆਂ ਨੂੰ ਮਿਲੇਗਾ

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

ਇਹ ਸਵਿੱਚ ਅਸਮਰੱਥ ਹੈ, ਇਸਲਈ ਅਸੀਂ ਇਸਨੂੰ ਇਸ ਨਾਲ ਸਮਰੱਥ ਕਰਾਂਗੇ setsebool $ setsebool ftp_home_dir on

ਹੁਣ ਸਾਡਾ ftp ਡੈਮਨ ਉਪਭੋਗਤਾ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ।
ਨੋਟ: ਤੁਸੀਂ ਕਰ ਕੇ ਵਰਣਨ ਤੋਂ ਬਿਨਾਂ ਉਪਲਬਧ ਸਵਿੱਚਾਂ ਦੀ ਸੂਚੀ ਵੀ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹੋ getsebool -a

2. ਲੇਬਲ ਅਤੇ ਸੰਦਰਭ

ਇਹ SELinux ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਆਮ ਤਰੀਕਾ ਹੈ। ਹਰੇਕ ਫਾਈਲ, ਫੋਲਡਰ, ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਪੋਰਟ ਨੂੰ SELinux ਸੰਦਰਭ ਨਾਲ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਗਿਆ ਹੈ:

ਫਾਈਲਾਂ ਅਤੇ ਫੋਲਡਰਾਂ ਲਈ, ਲੇਬਲਾਂ ਨੂੰ ਫਾਈਲ ਸਿਸਟਮ ਉੱਤੇ ਵਿਸਤ੍ਰਿਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਜੋਂ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਹਨਾਂ ਨੂੰ ਹੇਠ ਲਿਖੀ ਕਮਾਂਡ ਨਾਲ ਦੇਖਿਆ ਜਾ ਸਕਦਾ ਹੈ:
```
$ ls -Z /etc/httpd
```
ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਪੋਰਟਾਂ ਲਈ, ਲੇਬਲਿੰਗ ਕਰਨਲ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਅਤੇ ਤੁਸੀਂ ਇਹਨਾਂ ਲੇਬਲਾਂ ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਦੇਖ ਸਕਦੇ ਹੋ:

ਕਾਰਜ ਨੂੰ

$ ps –auxZ | grep httpd

ਬੰਦਰਗਾਹ

$ netstat -anpZ | grep httpd

ਉਦਾਹਰਨ:
ਹੁਣ ਲੇਬਲਾਂ ਅਤੇ ਸੰਦਰਭਾਂ ਨੂੰ ਬਿਹਤਰ ਤਰੀਕੇ ਨਾਲ ਸਮਝਣ ਲਈ ਇੱਕ ਉਦਾਹਰਨ ਵੇਖੀਏ। ਮੰਨ ਲਓ ਕਿ ਸਾਡੇ ਕੋਲ ਇੱਕ ਵੈੱਬ ਸਰਵਰ ਹੈ ਜੋ ਇੱਕ ਡਾਇਰੈਕਟਰੀ ਦੀ ਬਜਾਏ /var/www/html/ использует /home/dan/html/. SELinux ਇਸ ਨੂੰ ਨੀਤੀ ਦੀ ਉਲੰਘਣਾ ਮੰਨੇਗਾ ਅਤੇ ਤੁਸੀਂ ਆਪਣੇ ਵੈੱਬ ਪੰਨਿਆਂ ਨੂੰ ਦੇਖਣ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੋਗੇ। ਇਹ ਇਸ ਲਈ ਹੈ ਕਿਉਂਕਿ ਅਸੀਂ HTML ਫਾਈਲਾਂ ਨਾਲ ਸਬੰਧਿਤ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਸੈੱਟ ਨਹੀਂ ਕੀਤਾ ਹੈ। ਡਿਫਾਲਟ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਦੇਖਣ ਲਈ, ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

ਇੱਥੇ ਸਾਨੂੰ ਮਿਲੀ httpd_sys_content_t html ਫਾਈਲਾਂ ਲਈ ਸੰਦਰਭ ਵਜੋਂ. ਸਾਨੂੰ ਸਾਡੀ ਮੌਜੂਦਾ ਡਾਇਰੈਕਟਰੀ ਲਈ ਇਸ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਨੂੰ ਸੈੱਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਜਿਸ ਵਿੱਚ ਵਰਤਮਾਨ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੇ ਸੰਦਰਭ ਹਨ:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

ਇੱਕ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਦੇ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਵਿਕਲਪਕ ਕਮਾਂਡ:

$ semanage fcontext -l | grep '/var/www'

ਇੱਕ ਵਾਰ ਜਦੋਂ ਸਾਨੂੰ ਸਹੀ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਮਿਲ ਜਾਂਦਾ ਹੈ ਤਾਂ ਅਸੀਂ ਸੰਦਰਭ ਨੂੰ ਬਦਲਣ ਲਈ ਸੇਮਨੇਜ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਾਂਗੇ। /home/dan/html ਦੇ ਸੰਦਰਭ ਨੂੰ ਬਦਲਣ ਲਈ, ਹੇਠ ਲਿਖੀਆਂ ਕਮਾਂਡਾਂ ਚਲਾਓ:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

ਸੇਮੈਨੇਜ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੰਦਰਭ ਨੂੰ ਬਦਲਣ ਤੋਂ ਬਾਅਦ, ਰੀਸਟੋਰਕੋਨ ਕਮਾਂਡ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਲਈ ਡਿਫੌਲਟ ਪ੍ਰਸੰਗ ਨੂੰ ਲੋਡ ਕਰੇਗੀ। ਸਾਡਾ ਵੈਬ ਸਰਵਰ ਹੁਣ ਫੋਲਡਰ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ /home/dan/htmlਕਿਉਂਕਿ ਇਸ ਫੋਲਡਰ ਲਈ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਵਿੱਚ ਬਦਲਿਆ ਗਿਆ ਹੈ httpd_sys_content_t.

3. ਸਥਾਨਕ ਨੀਤੀਆਂ ਬਣਾਓ

ਅਜਿਹੀਆਂ ਸਥਿਤੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ ਜਿੱਥੇ ਉਪਰੋਕਤ ਤਰੀਕਿਆਂ ਦਾ ਤੁਹਾਡੇ ਲਈ ਕੋਈ ਲਾਭ ਨਹੀਂ ਹੁੰਦਾ ਅਤੇ ਤੁਹਾਨੂੰ audit.log ਵਿੱਚ ਗਲਤੀਆਂ (avc/denial) ਮਿਲਦੀਆਂ ਹਨ। ਜਦੋਂ ਅਜਿਹਾ ਹੁੰਦਾ ਹੈ, ਤੁਹਾਨੂੰ ਇੱਕ ਸਥਾਨਕ ਨੀਤੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਤੁਸੀਂ audit2why ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਾਰੀਆਂ ਗਲਤੀਆਂ ਲੱਭ ਸਕਦੇ ਹੋ, ਜਿਵੇਂ ਕਿ ਉੱਪਰ ਦੱਸਿਆ ਗਿਆ ਹੈ।

ਤੁਸੀਂ ਗਲਤੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਇੱਕ ਸਥਾਨਕ ਨੀਤੀ ਬਣਾ ਸਕਦੇ ਹੋ। ਉਦਾਹਰਨ ਲਈ, ਸਾਨੂੰ httpd (apache) ਜਾਂ smbd (samba) ਨਾਲ ਸੰਬੰਧਿਤ ਇੱਕ ਗਲਤੀ ਮਿਲਦੀ ਹੈ, ਅਸੀਂ ਗਲਤੀਆਂ ਨੂੰ ਸਮਝਦੇ ਹਾਂ ਅਤੇ ਉਹਨਾਂ ਲਈ ਇੱਕ ਨੀਤੀ ਬਣਾਉਂਦੇ ਹਾਂ:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

ਇਹ ਇਸ ਲਈ ਹੈ http_policy и smb_policy ਉਹ ਸਥਾਨਕ ਨੀਤੀਆਂ ਦੇ ਨਾਮ ਹਨ ਜੋ ਅਸੀਂ ਬਣਾਈਆਂ ਹਨ। ਹੁਣ ਸਾਨੂੰ ਇਹਨਾਂ ਬਣਾਈਆਂ ਗਈਆਂ ਸਥਾਨਕ ਨੀਤੀਆਂ ਨੂੰ ਮੌਜੂਦਾ SELinux ਪਾਲਿਸੀ ਵਿੱਚ ਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

ਸਾਡੀਆਂ ਸਥਾਨਕ ਨੀਤੀਆਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਸਾਨੂੰ ਹੁਣ audit.log ਵਿੱਚ ਕੋਈ avc ਜਾਂ denail ਪ੍ਰਾਪਤ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਇਹ SELinux ਨੂੰ ਸਮਝਣ ਵਿੱਚ ਤੁਹਾਡੀ ਮਦਦ ਕਰਨ ਦੀ ਮੇਰੀ ਕੋਸ਼ਿਸ਼ ਸੀ। ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਕਿ ਇਸ ਲੇਖ ਨੂੰ ਪੜ੍ਹਨ ਤੋਂ ਬਾਅਦ ਤੁਸੀਂ SELinux ਨਾਲ ਵਧੇਰੇ ਆਰਾਮਦਾਇਕ ਮਹਿਸੂਸ ਕਰੋਗੇ।

ਸਰੋਤ: www.habr.com

SELinux ਲਈ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਗਾਈਡ