ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕਾਂ ਲਈ SELinux ਚੀਟ ਸ਼ੀਟ: ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ 42 ਜਵਾਬ

ਲੇਖ ਦਾ ਅਨੁਵਾਦ ਕੋਰਸ ਦੇ ਵਿਦਿਆਰਥੀਆਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ "ਲੀਨਕਸ ਪ੍ਰਸ਼ਾਸਕ".

ਇੱਥੇ ਤੁਹਾਨੂੰ ਬਿਹਤਰ ਸੁਰੱਖਿਆ ਨਾਲ ਲੀਨਕਸ ਵਿੱਚ ਜੀਵਨ, ਬ੍ਰਹਿਮੰਡ ਅਤੇ ਹਰ ਚੀਜ਼ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ ਜਵਾਬ ਮਿਲਣਗੇ।

"ਮਹੱਤਵਪੂਰਨ ਸੱਚਾਈ ਇਹ ਹੈ ਕਿ ਚੀਜ਼ਾਂ ਹਮੇਸ਼ਾਂ ਉਹ ਨਹੀਂ ਹੁੰਦੀਆਂ ਜੋ ਉਹ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ ਆਮ ਗਿਆਨ ..."

-ਡੁਗਲਸ ਐਡਮਸ, ਗਲੈਕਸੀ ਲਈ ਹਿਚਹਾਈਕਰ ਦੀ ਗਾਈਡ

ਸੁਰੱਖਿਆ। ਵਧੀ ਹੋਈ ਭਰੋਸੇਯੋਗਤਾ। ਲਿਖਤ - ਪੜ੍ਹਤ. ਨੀਤੀ ਨੂੰ. ਐਪੋਕਲਿਪਸ ਸਿਸਾਡਮਿਨ ਦੇ ਚਾਰ ਘੋੜਸਵਾਰ. ਸਾਡੇ ਰੋਜ਼ਾਨਾ ਦੇ ਕੰਮਾਂ ਤੋਂ ਇਲਾਵਾ - ਨਿਗਰਾਨੀ, ਬੈਕਅੱਪ, ਲਾਗੂ ਕਰਨਾ, ਸੰਰਚਨਾ, ਅੱਪਡੇਟ ਕਰਨਾ, ਆਦਿ - ਅਸੀਂ ਆਪਣੇ ਸਿਸਟਮਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਵੀ ਜ਼ਿੰਮੇਵਾਰ ਹਾਂ। ਇੱਥੋਂ ਤੱਕ ਕਿ ਉਹ ਪ੍ਰਣਾਲੀਆਂ ਜਿੱਥੇ ਤੀਜੀ-ਧਿਰ ਪ੍ਰਦਾਤਾ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹੈ ਕਿ ਅਸੀਂ ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਨੂੰ ਅਸਮਰੱਥ ਕਰਦੇ ਹਾਂ। ਇਹ ਕੰਮ ਵਾਂਗ ਮਹਿਸੂਸ ਹੁੰਦਾ ਹੈ ਈਥਨ ਹੰਟ "ਮਿਸ਼ਨ: ਅਸੰਭਵ" ਤੋਂ

ਇਸ ਦੁਬਿਧਾ ਦਾ ਸਾਹਮਣਾ ਕਰਦੇ ਹੋਏ, ਕੁਝ ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕ ਲੈਣ ਦਾ ਫੈਸਲਾ ਕਰਦੇ ਹਨ ਨੀਲੀ ਗੋਲੀ, ਕਿਉਂਕਿ ਉਹ ਸੋਚਦੇ ਹਨ ਕਿ ਉਹ ਜੀਵਨ, ਬ੍ਰਹਿਮੰਡ ਅਤੇ ਇਸ ਸਭ ਦੇ ਵੱਡੇ ਸਵਾਲ ਦਾ ਜਵਾਬ ਕਦੇ ਨਹੀਂ ਜਾਣ ਸਕਣਗੇ। ਅਤੇ ਜਿਵੇਂ ਕਿ ਅਸੀਂ ਸਾਰੇ ਜਾਣਦੇ ਹਾਂ, ਉਹ ਜਵਾਬ 42 ਹੈ.

The Hitchhiker's Guide to the Galaxy ਦੀ ਭਾਵਨਾ ਵਿੱਚ, ਇੱਥੇ ਕੰਟਰੋਲ ਅਤੇ ਵਰਤੋਂ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ 42 ਜਵਾਬ ਹਨ। SELinux ਤੁਹਾਡੇ ਸਿਸਟਮਾਂ 'ਤੇ।

1. SELinux ਇੱਕ ਜ਼ਬਰਦਸਤੀ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸਿਸਟਮ ਹੈ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਹਰੇਕ ਪ੍ਰਕਿਰਿਆ ਦਾ ਇੱਕ ਲੇਬਲ ਹੁੰਦਾ ਹੈ। ਹਰੇਕ ਫਾਈਲ, ਡਾਇਰੈਕਟਰੀ ਅਤੇ ਸਿਸਟਮ ਆਬਜੈਕਟ ਦੇ ਲੇਬਲ ਵੀ ਹੁੰਦੇ ਹਨ। ਨੀਤੀ ਨਿਯਮ ਟੈਗ ਕੀਤੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਵਸਤੂਆਂ ਵਿਚਕਾਰ ਪਹੁੰਚ ਨੂੰ ਕੰਟਰੋਲ ਕਰਦੇ ਹਨ। ਕਰਨਲ ਇਹਨਾਂ ਨਿਯਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

2. ਦੋ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਧਾਰਨਾਵਾਂ ਹਨ: ਲੇਬਲਿੰਗ - ਮਾਰਕਿੰਗ (ਫਾਇਲਾਂ, ਪ੍ਰਕਿਰਿਆਵਾਂ, ਪੋਰਟਾਂ, ਆਦਿ) ਅਤੇ ਲਾਗੂਕਰਨ ਦੀ ਕਿਸਮ (ਜੋ ਕਿ ਕਿਸਮਾਂ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਦੂਜੇ ਤੋਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਅਲੱਗ ਕਰਦਾ ਹੈ)।

3. ਸਹੀ ਲੇਬਲ ਫਾਰਮੈਟ user:role:type:level (ਵਿਕਲਪਿਕ)।

4. ਬਹੁ-ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਨ ਦਾ ਉਦੇਸ਼ (ਬਹੁ-ਪੱਧਰੀ ਸੁਰੱਖਿਆ - MLS) ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਦੇ ਪੱਧਰ ਦੇ ਅਧਾਰ ਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (ਡੋਮੇਨਾਂ) ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਗੁਪਤ ਪ੍ਰਕਿਰਿਆ ਚੋਟੀ ਦੇ ਗੁਪਤ ਡੇਟਾ ਨੂੰ ਨਹੀਂ ਪੜ੍ਹ ਸਕਦੀ।

5. ਬਹੁ-ਸ਼੍ਰੇਣੀ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣਾ (ਬਹੁ-ਸ਼੍ਰੇਣੀ ਸੁਰੱਖਿਆ - MCS) ਇੱਕ ਦੂਜੇ ਤੋਂ ਸਮਾਨ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ (ਉਦਾਹਰਨ ਲਈ, ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ, ਓਪਨਸ਼ਿਫਟ ਇੰਜਣ, SELinux ਸੈਂਡਬੌਕਸ, ਕੰਟੇਨਰ, ਆਦਿ)।

6. ਬੂਟ ਹੋਣ 'ਤੇ SELinux ਮੋਡਾਂ ਨੂੰ ਬਦਲਣ ਲਈ ਕਰਨਲ ਵਿਕਲਪ:

• autorelabel=1 → ਸਿਸਟਮ ਨੂੰ ਰੀਲੇਬਲਿੰਗ ਚਲਾਉਣ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ
• selinux=0 → ਕਰਨਲ SELinux ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਲੋਡ ਨਹੀਂ ਕਰਦਾ ਹੈ
• enforcing=0 → ਪਰਮਿਸ਼ਨ ਮੋਡ ਵਿੱਚ ਲੋਡ ਹੋ ਰਿਹਾ ਹੈ

7. ਜੇਕਰ ਤੁਹਾਨੂੰ ਪੂਰੇ ਸਿਸਟਮ ਨੂੰ ਰੀਲੇਬਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:

# touch /.autorelabel
#reboot

ਜੇਕਰ ਸਿਸਟਮ ਮਾਰਕਿੰਗ ਵਿੱਚ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਤਰੁੱਟੀਆਂ ਹਨ, ਤਾਂ ਤੁਹਾਨੂੰ ਸਫਲ ਹੋਣ ਲਈ ਰੀਮਾਰਕਿੰਗ ਲਈ ਅਨੁਮਤੀ ਮੋਡ ਵਿੱਚ ਬੂਟ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ।

8. ਇਹ ਜਾਂਚ ਕਰਨ ਲਈ ਕਿ ਕੀ SELinux ਯੋਗ ਹੈ: # getenforce

9. SELinux ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਸਮਰੱਥ/ਅਯੋਗ ਕਰਨ ਲਈ: # setenforce [1|0]

10. SELinux ਸਥਿਤੀ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ: # sestatus

11. ਸੰਰਚਨਾ ਫਾਇਲ: /etc/selinux/config

12. SELinux ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ? ਇੱਥੇ ਅਪਾਚੇ ਵੈੱਬ ਸਰਵਰ ਲਈ ਮਾਰਕ ਕਰਨ ਦਾ ਇੱਕ ਉਦਾਹਰਨ ਹੈ:

• ਬਾਈਨਰੀ ਪ੍ਰਤੀਨਿਧਤਾ: /usr/sbin/httpd→httpd_exec_t
• ਸੰਰਚਨਾ ਡਾਇਰੈਕਟਰੀ: /etc/httpd→httpd_config_t
• ਲੌਗ ਫਾਈਲ ਡਾਇਰੈਕਟਰੀ: /var/log/httpd → httpd_log_t
• ਸਮੱਗਰੀ ਡਾਇਰੈਕਟਰੀ: /var/www/html → httpd_sys_content_t
• ਸਕ੍ਰਿਪਟ ਲਾਂਚ ਕਰੋ: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• ਪ੍ਰਕਿਰਿਆ: /usr/sbin/httpd -DFOREGROUND → httpd_t
• ਬੰਦਰਗਾਹਾਂ: 80/tcp, 443/tcp → httpd_t, http_port_t

ਸੰਦਰਭ ਵਿੱਚ ਚੱਲ ਰਹੀ ਪ੍ਰਕਿਰਿਆ httpd_t, ਲੇਬਲ ਕੀਤੀ ਵਸਤੂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ httpd_something_t.

13. ਕਈ ਹੁਕਮ ਇੱਕ ਦਲੀਲ ਨੂੰ ਸਵੀਕਾਰ ਕਰਦੇ ਹਨ -Z ਸੰਦਰਭ ਦੇਖਣ, ਬਣਾਉਣ ਅਤੇ ਬਦਲਣ ਲਈ:

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

ਸੰਦਰਭ ਸਥਾਪਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜਦੋਂ ਫਾਈਲਾਂ ਉਹਨਾਂ ਦੀ ਮੂਲ ਡਾਇਰੈਕਟਰੀ ਦੇ ਸੰਦਰਭ ਦੇ ਅਧਾਰ ਤੇ ਬਣਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ (ਕੁਝ ਅਪਵਾਦਾਂ ਦੇ ਨਾਲ)। RPMs ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਪ੍ਰਸੰਗ ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹਨ।

14. SELinux ਗਲਤੀਆਂ ਦੇ ਚਾਰ ਮੁੱਖ ਕਾਰਨ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਹੇਠਾਂ ਬਿੰਦੂ 15-21 ਵਿੱਚ ਵਧੇਰੇ ਵਿਸਥਾਰ ਵਿੱਚ ਦੱਸਿਆ ਗਿਆ ਹੈ:

• ਲੇਬਲਿੰਗ ਮੁੱਦੇ
• ਕਿਸੇ ਚੀਜ਼ ਦੇ ਕਾਰਨ ਜੋ SELinux ਨੂੰ ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ
• SELinux ਨੀਤੀ/ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਗਲਤੀ
• ਤੁਹਾਡੀ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ

15. ਲੇਬਲਿੰਗ ਸਮੱਸਿਆ: ਜੇਕਰ ਤੁਹਾਡੀਆਂ ਫਾਈਲਾਂ ਵਿੱਚ ਹਨ /srv/myweb ਗਲਤ ਤਰੀਕੇ ਨਾਲ ਚਿੰਨ੍ਹਿਤ ਕੀਤੇ ਗਏ ਹਨ, ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇੱਥੇ ਇਸਨੂੰ ਠੀਕ ਕਰਨ ਦੇ ਕੁਝ ਤਰੀਕੇ ਹਨ:

• ਜੇ ਤੁਸੀਂ ਲੇਬਲ ਨੂੰ ਜਾਣਦੇ ਹੋ:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• ਜੇਕਰ ਤੁਸੀਂ ਬਰਾਬਰ ਨਿਸ਼ਾਨਾਂ ਵਾਲੀ ਇੱਕ ਫਾਈਲ ਜਾਣਦੇ ਹੋ:
  # semanage fcontext -a -e /srv/myweb /var/www
• ਸੰਦਰਭ ਨੂੰ ਬਹਾਲ ਕਰਨਾ (ਦੋਵੇਂ ਮਾਮਲਿਆਂ ਲਈ):
  # restorecon -vR /srv/myweb

16. ਲੇਬਲਿੰਗ ਸਮੱਸਿਆ: ਜੇਕਰ ਤੁਸੀਂ ਇਸ ਨੂੰ ਕਾਪੀ ਕਰਨ ਦੀ ਬਜਾਏ ਫਾਈਲ ਨੂੰ ਮੂਵ ਕਰਦੇ ਹੋ, ਤਾਂ ਫਾਈਲ ਇਸਦੇ ਅਸਲੀ ਸੰਦਰਭ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖੇਗੀ। ਇਸ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ:

• ਲੇਬਲ ਦੇ ਨਾਲ ਪ੍ਰਸੰਗ ਕਮਾਂਡ ਨੂੰ ਬਦਲੋ:
  # chcon -t httpd_system_content_t /var/www/html/index.html
• ਲਿੰਕ ਲੇਬਲ ਦੇ ਨਾਲ ਪ੍ਰਸੰਗ ਕਮਾਂਡ ਨੂੰ ਬਦਲੋ:
  # chcon --reference /var/www/html/ /var/www/html/index.html
• ਸੰਦਰਭ ਨੂੰ ਬਹਾਲ ਕਰੋ (ਦੋਵੇਂ ਮਾਮਲਿਆਂ ਲਈ): # restorecon -vR /var/www/html/

17. ਜੇ SELinux ਤੁਹਾਨੂੰ ਜਾਣਨ ਦੀ ਲੋੜ ਹੈਕਿ HTTPD ਪੋਰਟ 8585 'ਤੇ ਸੁਣ ਰਿਹਾ ਹੈ, SELinux ਨੂੰ ਦੱਸੋ:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux ਤੁਹਾਨੂੰ ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ ਬੁਲੀਅਨ ਮੁੱਲ ਜੋ SELinux ਪਾਲਿਸੀ ਦੇ ਭਾਗਾਂ ਨੂੰ SELinux ਪਾਲਿਸੀ ਨੂੰ ਓਵਰਰਾਈਟ ਕੀਤੇ ਜਾਣ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਰਨਟਾਈਮ 'ਤੇ ਬਦਲਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਜੇਕਰ ਤੁਸੀਂ httpd ਨੂੰ ਈਮੇਲ ਭੇਜਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਦਾਖਲ ਕਰੋ: # setsebool -P httpd_can_sendmail 1

19. SELinux ਤੁਹਾਨੂੰ ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ SELinux ਸੈਟਿੰਗਾਂ ਨੂੰ ਸਮਰੱਥ/ਅਯੋਗ ਕਰਨ ਲਈ ਲਾਜ਼ੀਕਲ ਮੁੱਲ:

• ਸਾਰੇ ਬੂਲੀਅਨ ਮੁੱਲ ਦੇਖਣ ਲਈ: # getsebool -a
• ਹਰੇਕ ਦਾ ਵੇਰਵਾ ਦੇਖਣ ਲਈ: # semanage boolean -l
• ਬੂਲੀਅਨ ਮੁੱਲ ਸੈੱਟ ਕਰਨ ਲਈ: # setsebool [_boolean_] [1|0]
• ਇੱਕ ਸਥਾਈ ਇੰਸਟਾਲੇਸ਼ਨ ਲਈ, ਸ਼ਾਮਿਲ ਕਰੋ -P. ਉਦਾਹਰਣ ਲਈ: # setsebool httpd_enable_ftp_server 1 -P

20. SELinux ਨੀਤੀਆਂ/ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਗਲਤੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਅਸਧਾਰਨ ਕੋਡ ਮਾਰਗ
• ਸੰਰਚਨਾਵਾਂ
• stdout ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
• ਫਾਈਲ ਡਿਸਕ੍ਰਿਪਟਰ ਲੀਕ
• ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਮੈਮੋਰੀ
• ਖ਼ਰਾਬ ਬਣੀਆਂ ਲਾਇਬ੍ਰੇਰੀਆਂ

ਓਪਨ ਟਿਕਟਾਂ (ਬਗਜ਼ੀਲਾ ਨੂੰ ਰਿਪੋਰਟ ਨਾ ਦਿਓ; ਬੱਗਜ਼ੀਲਾ ਦਾ ਕੋਈ SLA ਨਹੀਂ ਹੈ)।

21. ਤੁਹਾਡੀ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਪ੍ਰਤਿਬੰਧਿਤ ਡੋਮੇਨ ਹਨ ਜੋ ਇਹ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਹੇ ਹਨ:

• ਕਰਨਲ ਮੋਡੀਊਲ ਲੋਡ ਕਰੋ
• ਲਾਗੂ ਕੀਤੇ SELinux ਮੋਡ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ
• ਨੂੰ ਲਿਖੋ etc_t/shadow_t
• iptables ਨਿਯਮ ਬਦਲੋ

22. ਨੀਤੀ ਮਾਡਿਊਲ ਵਿਕਸਿਤ ਕਰਨ ਲਈ SELinux ਟੂਲ:

# yum -y install setroubleshoot setroubleshoot-server

ਰੀਬੂਟ ਕਰੋ ਜਾਂ ਰੀਸਟਾਰਟ ਕਰੋ auditd ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਬਾਅਦ.

23. ਵਰਤੋਂ ਕਰੋ

journalctl

ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਲਾਗਾਂ ਦੀ ਸੂਚੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ਵਰਤੋਂ ਕਰੋ journalctl ਇੱਕ ਖਾਸ SELinux ਟੈਗ ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਲਾਗਾਂ ਨੂੰ ਸੂਚੀਬੱਧ ਕਰਨ ਲਈ। ਉਦਾਹਰਣ ਲਈ:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. ਜੇਕਰ SELinux ਗਲਤੀ ਆਉਂਦੀ ਹੈ, ਤਾਂ ਲਾਗ ਦੀ ਵਰਤੋਂ ਕਰੋ setroubleshoot ਕਈ ਸੰਭਵ ਹੱਲ ਦੀ ਪੇਸ਼ਕਸ਼.
ਉਦਾਹਰਨ ਲਈ, ਤੋਂ journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ਲਾਗਿੰਗ: SELinux ਕਈ ਥਾਵਾਂ 'ਤੇ ਜਾਣਕਾਰੀ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ:

• / var / log / messages
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

27. ਲੌਗਿੰਗ: ਆਡਿਟ ਲੌਗ ਵਿੱਚ SELinux ਗਲਤੀਆਂ ਲਈ ਖੋਜ:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. ਕਿਸੇ ਖਾਸ ਸੇਵਾ ਲਈ SELinux ਐਕਸੈਸ ਵੈਕਟਰ ਕੈਸ਼ (AVC) ਸੁਨੇਹੇ ਲੱਭਣ ਲਈ:

# ausearch -m avc -c httpd

29. ਉਪਯੋਗਤਾ audit2allow ਵਰਜਿਤ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਲਾਗਾਂ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ SELinux ਅਨੁਮਤੀ ਨੀਤੀ ਨਿਯਮ ਬਣਾਉਂਦਾ ਹੈ। ਉਦਾਹਰਣ ਲਈ:

• ਇਸ ਗੱਲ ਦਾ ਮਨੁੱਖੀ-ਪੜ੍ਹਨਯੋਗ ਵਰਣਨ ਬਣਾਉਣ ਲਈ ਕਿ ਪਹੁੰਚ ਕਿਉਂ ਇਨਕਾਰ ਕੀਤੀ ਗਈ ਹੈ: # audit2allow -w -a
• ਇੱਕ ਕਿਸਮ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਨਿਯਮ ਨੂੰ ਦੇਖਣ ਲਈ ਜੋ ਅਸਵੀਕਾਰ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ: # audit2allow -a
• ਇੱਕ ਕਸਟਮ ਮੋਡੀਊਲ ਬਣਾਉਣ ਲਈ: # audit2allow -a -M mypolicy
• ਵਿਕਲਪ -M ਨਿਰਧਾਰਤ ਨਾਮ ਨਾਲ ਇੱਕ ਕਿਸਮ ਦੀ ਇਨਫੋਰਸਮੈਂਟ ਫਾਈਲ (.te) ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯਮ ਨੂੰ ਇੱਕ ਪਾਲਿਸੀ ਪੈਕੇਜ (.pp) ਵਿੱਚ ਕੰਪਾਇਲ ਕਰਦਾ ਹੈ: mypolicy.pp mypolicy.te
• ਇੱਕ ਕਸਟਮ ਮੋਡੀਊਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ: # semodule -i mypolicy.pp

30. ਇਜਾਜ਼ਤ ਮੋਡ ਵਿੱਚ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਵੱਖਰੀ ਪ੍ਰਕਿਰਿਆ (ਡੋਮੇਨ) ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ: # semanage permissive -a httpd_t

31. ਜੇਕਰ ਤੁਸੀਂ ਹੁਣ ਡੋਮੇਨ ਨੂੰ ਮਨਜ਼ੂਰੀ ਨਹੀਂ ਦੇਣਾ ਚਾਹੁੰਦੇ ਹੋ: # semanage permissive -d httpd_t

32. ਸਾਰੇ ਆਗਿਆਕਾਰੀ ਡੋਮੇਨਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ: # semodule -d permissivedomains

33. MLS SELinux ਨੀਤੀ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ: # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

ਯਕੀਨੀ ਬਣਾਓ ਕਿ SELinux ਅਨੁਮਤੀ ਮੋਡ ਵਿੱਚ ਚੱਲ ਰਿਹਾ ਹੈ: # setenforce 0
ਇੱਕ ਸਕ੍ਰਿਪਟ ਵਰਤੋ fixfilesਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਫਾਈਲਾਂ ਨੂੰ ਅਗਲੇ ਰੀਬੂਟ ਤੇ ਰੀਲੇਬਲ ਕੀਤਾ ਗਿਆ ਹੈ:

# fixfiles -F onboot # reboot

34. ਇੱਕ ਖਾਸ MLS ਸੀਮਾ ਦੇ ਨਾਲ ਇੱਕ ਉਪਭੋਗਤਾ ਬਣਾਓ: # useradd -Z staff_u john

ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ useradd, ਨਵੇਂ ਉਪਭੋਗਤਾ ਨੂੰ ਮੌਜੂਦਾ SELinux ਉਪਭੋਗਤਾ ਨਾਲ ਮੈਪ ਕਰੋ (ਇਸ ਸਥਿਤੀ ਵਿੱਚ, staff_u).

35. SELinux ਅਤੇ Linux ਉਪਭੋਗਤਾਵਾਂ ਵਿਚਕਾਰ ਮੈਪਿੰਗ ਦੇਖਣ ਲਈ: # semanage login -l

36. ਉਪਭੋਗਤਾ ਲਈ ਇੱਕ ਖਾਸ ਰੇਂਜ ਪਰਿਭਾਸ਼ਿਤ ਕਰੋ: # semanage login --modify --range s2:c100 john

37. ਉਪਭੋਗਤਾ ਦੇ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਲੇਬਲ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ (ਜੇ ਲੋੜ ਹੋਵੇ): # chcon -R -l s2:c100 /home/john

38. ਮੌਜੂਦਾ ਸ਼੍ਰੇਣੀਆਂ ਨੂੰ ਦੇਖਣ ਲਈ: # chcat -L

39. ਸ਼੍ਰੇਣੀਆਂ ਨੂੰ ਬਦਲਣ ਜਾਂ ਆਪਣੀ ਖੁਦ ਦੀ ਬਣਾਉਣਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਫਾਈਲ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰੋ:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ਇੱਕ ਖਾਸ ਫਾਈਲ, ਰੋਲ, ਅਤੇ ਉਪਭੋਗਤਾ ਸੰਦਰਭ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ ਜਾਂ ਸਕ੍ਰਿਪਟ ਚਲਾਉਣ ਲਈ:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t ਫਾਈਲ ਪ੍ਰਸੰਗ
• -r ਭੂਮਿਕਾ ਸੰਦਰਭ
• -u ਉਪਭੋਗਤਾ ਸੰਦਰਭ

41. SELinux ਅਯੋਗ ਨਾਲ ਚੱਲ ਰਹੇ ਕੰਟੇਨਰ:

• ਪੋਡਮੈਨ: # podman run --security-opt label=disable …
• ਡੌਕਰ: # docker run --security-opt label=disable …

42. ਜੇਕਰ ਤੁਹਾਨੂੰ ਕੰਟੇਨਰ ਨੂੰ ਸਿਸਟਮ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਦੇਣ ਦੀ ਲੋੜ ਹੈ:

• ਪੋਡਮੈਨ: # podman run --privileged …
• ਡੌਕਰ: # docker run --privileged …

ਅਤੇ ਹੁਣ ਤੁਸੀਂ ਪਹਿਲਾਂ ਹੀ ਜਵਾਬ ਜਾਣਦੇ ਹੋ. ਇਸ ਲਈ ਕਿਰਪਾ ਕਰਕੇ: ਘਬਰਾਓ ਨਾ ਅਤੇ SELinux ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।

ਲਿੰਕ:

• SELinux by ਡੈਨ ਵਾਲਸ਼
• SELinux ਪਾਲਿਸੀ ਲਾਗੂ ਕਰਨ ਲਈ ਤੁਹਾਡੀ ਵਿਜ਼ੂਅਲ ਕਿਸ ਤਰ੍ਹਾਂ ਦੀ ਗਾਈਡ ਵੀ ਡੈਨ ਵਾਲਸ਼ ਦੁਆਰਾ
• ਸਿਰਫ਼ ਪ੍ਰਾਣੀਆਂ ਲਈ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੁਧਾਰ ਕੀਤਾ ਲੀਨਕਸ by ਥਾਮਸ ਕੈਮਰਨ
• SELinux ਕਲਰਿੰਗ ਬੁੱਕ by ਮਾਿਰਿਨ ਡਫੀ
• SELinux ਉਪਭੋਗਤਾ ਅਤੇ ਪ੍ਰਸ਼ਾਸਕ ਦੀ ਗਾਈਡ - Red Hat Enterprise Linux 7

ਸਰੋਤ: www.habr.com