🥇SE 'ਤੇ ਇੱਕ Sysadmin ਲਈ ਇੱਕ ਚੀਟ ਸ਼ੀਟLinux: 42 ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ ਜਵਾਬ

ਲੇਖ ਦਾ ਅਨੁਵਾਦ ਕੋਰਸ ਦੇ ਵਿਦਿਆਰਥੀਆਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ "ਪ੍ਰਸ਼ਾਸਕ Linux».

ਇੱਥੇ ਤੁਹਾਨੂੰ ਜੀਵਨ, ਬ੍ਰਹਿਮੰਡ ਅਤੇ ਇਸ ਵਿੱਚ ਮੌਜੂਦ ਹਰ ਚੀਜ਼ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ ਜਵਾਬ ਮਿਲਣਗੇ Linux ਬਿਹਤਰ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ।

"ਮਹੱਤਵਪੂਰਨ ਸੱਚਾਈ ਇਹ ਹੈ ਕਿ ਚੀਜ਼ਾਂ ਹਮੇਸ਼ਾਂ ਉਹ ਨਹੀਂ ਹੁੰਦੀਆਂ ਜੋ ਉਹ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ ਆਮ ਗਿਆਨ ..."

-ਡੁਗਲਸ ਐਡਮਸ, ਗਲੈਕਸੀ ਲਈ ਹਿਚਹਾਈਕਰ ਦੀ ਗਾਈਡ

ਸੁਰੱਖਿਆ। ਵਧੀ ਹੋਈ ਭਰੋਸੇਯੋਗਤਾ। ਲਿਖਤ - ਪੜ੍ਹਤ. ਨੀਤੀ ਨੂੰ. ਐਪੋਕਲਿਪਸ ਸਿਸਾਡਮਿਨ ਦੇ ਚਾਰ ਘੋੜਸਵਾਰ. ਸਾਡੇ ਰੋਜ਼ਾਨਾ ਦੇ ਕੰਮਾਂ ਤੋਂ ਇਲਾਵਾ - ਨਿਗਰਾਨੀ, ਬੈਕਅੱਪ, ਲਾਗੂ ਕਰਨਾ, ਸੰਰਚਨਾ, ਅੱਪਡੇਟ ਕਰਨਾ, ਆਦਿ - ਅਸੀਂ ਆਪਣੇ ਸਿਸਟਮਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਵੀ ਜ਼ਿੰਮੇਵਾਰ ਹਾਂ। ਇੱਥੋਂ ਤੱਕ ਕਿ ਉਹ ਪ੍ਰਣਾਲੀਆਂ ਜਿੱਥੇ ਤੀਜੀ-ਧਿਰ ਪ੍ਰਦਾਤਾ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹੈ ਕਿ ਅਸੀਂ ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਨੂੰ ਅਸਮਰੱਥ ਕਰਦੇ ਹਾਂ। ਇਹ ਕੰਮ ਵਾਂਗ ਮਹਿਸੂਸ ਹੁੰਦਾ ਹੈ ਈਥਨ ਹੰਟ "ਮਿਸ਼ਨ: ਅਸੰਭਵ" ਤੋਂ

ਇਸ ਦੁਬਿਧਾ ਦਾ ਸਾਹਮਣਾ ਕਰਦੇ ਹੋਏ, ਕੁਝ ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕ ਲੈਣ ਦਾ ਫੈਸਲਾ ਕਰਦੇ ਹਨ ਨੀਲੀ ਗੋਲੀ, ਕਿਉਂਕਿ ਉਹ ਸੋਚਦੇ ਹਨ ਕਿ ਉਹ ਜੀਵਨ, ਬ੍ਰਹਿਮੰਡ ਅਤੇ ਇਸ ਸਭ ਦੇ ਵੱਡੇ ਸਵਾਲ ਦਾ ਜਵਾਬ ਕਦੇ ਨਹੀਂ ਜਾਣ ਸਕਣਗੇ। ਅਤੇ ਜਿਵੇਂ ਕਿ ਅਸੀਂ ਸਾਰੇ ਜਾਣਦੇ ਹਾਂ, ਉਹ ਜਵਾਬ 42 ਹੈ.

The Hitchhiker's Guide to the Galaxy ਦੀ ਭਾਵਨਾ ਵਿੱਚ, ਇੱਥੇ ਕੰਟਰੋਲ ਅਤੇ ਵਰਤੋਂ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ 42 ਜਵਾਬ ਹਨ। SELinux ਤੁਹਾਡੇ ਸਿਸਟਮਾਂ 'ਤੇ।

1. SELinux — ਇੱਕ ਲਾਜ਼ਮੀ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਪ੍ਰਣਾਲੀ ਹੈ, ਭਾਵ ਹਰੇਕ ਪ੍ਰਕਿਰਿਆ ਦਾ ਇੱਕ ਲੇਬਲ ਹੁੰਦਾ ਹੈ। ਹਰੇਕ ਫਾਈਲ, ਡਾਇਰੈਕਟਰੀ, ਅਤੇ ਸਿਸਟਮ ਵਸਤੂ ਦਾ ਵੀ ਇੱਕ ਲੇਬਲ ਹੁੰਦਾ ਹੈ। ਨੀਤੀ ਨਿਯਮ ਲੇਬਲ ਕੀਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਵਸਤੂਆਂ ਵਿਚਕਾਰ ਪਹੁੰਚ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦੇ ਹਨ। ਕਰਨਲ ਇਹਨਾਂ ਨਿਯਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

2. ਦੋ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਧਾਰਨਾਵਾਂ ਹਨ: ਲੇਬਲਿੰਗ - ਮਾਰਕਿੰਗ (ਫਾਇਲਾਂ, ਪ੍ਰਕਿਰਿਆਵਾਂ, ਪੋਰਟਾਂ, ਆਦਿ) ਅਤੇ ਲਾਗੂਕਰਨ ਦੀ ਕਿਸਮ (ਜੋ ਕਿ ਕਿਸਮਾਂ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਦੂਜੇ ਤੋਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਅਲੱਗ ਕਰਦਾ ਹੈ)।

3. ਸਹੀ ਲੇਬਲ ਫਾਰਮੈਟ user:role:type:level (ਵਿਕਲਪਿਕ)।

4. ਬਹੁ-ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਨ ਦਾ ਉਦੇਸ਼ (ਬਹੁ-ਪੱਧਰੀ ਸੁਰੱਖਿਆ - MLS) ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਦੇ ਪੱਧਰ ਦੇ ਅਧਾਰ ਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (ਡੋਮੇਨਾਂ) ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਗੁਪਤ ਪ੍ਰਕਿਰਿਆ ਚੋਟੀ ਦੇ ਗੁਪਤ ਡੇਟਾ ਨੂੰ ਨਹੀਂ ਪੜ੍ਹ ਸਕਦੀ।

5. ਬਹੁ-ਸ਼੍ਰੇਣੀ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣਾ (ਬਹੁ-ਸ਼੍ਰੇਣੀ ਸੁਰੱਖਿਆ - MCS) ਇੱਕ ਦੂਜੇ ਤੋਂ ਸਮਾਨ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ (ਜਿਵੇਂ ਕਿ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ, ਓਪਨਸ਼ਿਫਟ ਇੰਜਣ, SE ਸੈਂਡਬੌਕਸ)Linux, ਡੱਬੇ, ਆਦਿ)।

6. SE ਮੋਡ ਬਦਲਣ ਲਈ ਕਰਨਲ ਪੈਰਾਮੀਟਰLinux ਲੋਡ ਕਰਨ ਵੇਲੇ:

autorelabel=1 → ਸਿਸਟਮ ਨੂੰ ਰੀਲੇਬਲਿੰਗ ਚਲਾਉਣ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ
selinux=0 → ਕਰਨਲ SE ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਲੋਡ ਨਹੀਂ ਕਰਦਾ ਹੈLinux
enforcing=0 → ਪਰਮਿਸ਼ਨ ਮੋਡ ਵਿੱਚ ਲੋਡ ਹੋ ਰਿਹਾ ਹੈ

7. ਜੇਕਰ ਤੁਹਾਨੂੰ ਪੂਰੇ ਸਿਸਟਮ ਨੂੰ ਰੀਲੇਬਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:

# touch /.autorelabel #reboot

ਜੇਕਰ ਸਿਸਟਮ ਮਾਰਕਿੰਗ ਵਿੱਚ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਤਰੁੱਟੀਆਂ ਹਨ, ਤਾਂ ਤੁਹਾਨੂੰ ਸਫਲ ਹੋਣ ਲਈ ਰੀਮਾਰਕਿੰਗ ਲਈ ਅਨੁਮਤੀ ਮੋਡ ਵਿੱਚ ਬੂਟ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ।

8. ਇਹ ਜਾਂਚਣ ਲਈ ਕਿ ਕੀ SE ਸਮਰੱਥ ਹੈLinux: # getenforce

9. SE ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਸਮਰੱਥ/ਅਯੋਗ ਕਰਨ ਲਈLinux: # setenforce [1|0]

10. SE ਸਥਿਤੀ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈLinux: # sestatus

11. ਸੰਰਚਨਾ ਫਾਇਲ: /etc/selinux/config

12. SE ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈLinuxਇੱਥੇ ਅਪਾਚੇ ਵੈੱਬ ਸਰਵਰ ਲਈ ਮਾਰਕਿੰਗ ਦੀ ਇੱਕ ਉਦਾਹਰਣ ਹੈ:

ਬਾਈਨਰੀ ਪ੍ਰਤੀਨਿਧਤਾ: /usr/sbin/httpd→httpd_exec_t
ਸੰਰਚਨਾ ਡਾਇਰੈਕਟਰੀ: /etc/httpd→httpd_config_t
ਲੌਗ ਫਾਈਲ ਡਾਇਰੈਕਟਰੀ: /var/log/httpd → httpd_log_t
ਸਮੱਗਰੀ ਡਾਇਰੈਕਟਰੀ: /var/www/html → httpd_sys_content_t
ਸਕ੍ਰਿਪਟ ਲਾਂਚ ਕਰੋ: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
ਪ੍ਰਕਿਰਿਆ: /usr/sbin/httpd -DFOREGROUND → httpd_t
ਬੰਦਰਗਾਹਾਂ: 80/tcp, 443/tcp → httpd_t, http_port_t

ਸੰਦਰਭ ਵਿੱਚ ਚੱਲ ਰਹੀ ਪ੍ਰਕਿਰਿਆ httpd_t, ਲੇਬਲ ਕੀਤੀ ਵਸਤੂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ httpd_something_t.

13. ਕਈ ਹੁਕਮ ਇੱਕ ਦਲੀਲ ਨੂੰ ਸਵੀਕਾਰ ਕਰਦੇ ਹਨ -Z ਸੰਦਰਭ ਦੇਖਣ, ਬਣਾਉਣ ਅਤੇ ਬਦਲਣ ਲਈ:

ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z

ਸੰਦਰਭ ਸਥਾਪਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜਦੋਂ ਫਾਈਲਾਂ ਉਹਨਾਂ ਦੀ ਮੂਲ ਡਾਇਰੈਕਟਰੀ ਦੇ ਸੰਦਰਭ ਦੇ ਅਧਾਰ ਤੇ ਬਣਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ (ਕੁਝ ਅਪਵਾਦਾਂ ਦੇ ਨਾਲ)। RPMs ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਪ੍ਰਸੰਗ ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹਨ।

14. SE ਗਲਤੀਆਂ ਦੇ ਚਾਰ ਮੁੱਖ ਕਾਰਨ ਹਨLinux, ਜਿਨ੍ਹਾਂ ਦਾ ਵਰਣਨ ਹੇਠਾਂ ਪੈਰੇ 15-21 ਵਿੱਚ ਵਧੇਰੇ ਵਿਸਥਾਰ ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਹੈ:

ਲੇਬਲਿੰਗ ਮੁੱਦੇ
ਕਿਸੇ ਅਜਿਹੀ ਚੀਜ਼ ਕਰਕੇ ਜੋ SELinux ਪਤਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ
SE ਨੀਤੀ/ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਗਲਤੀLinux
ਤੁਹਾਡੀ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ

15. ਲੇਬਲਿੰਗ ਸਮੱਸਿਆ: ਜੇਕਰ ਤੁਹਾਡੀਆਂ ਫਾਈਲਾਂ ਵਿੱਚ ਹਨ /srv/myweb ਗਲਤ ਤਰੀਕੇ ਨਾਲ ਚਿੰਨ੍ਹਿਤ ਕੀਤੇ ਗਏ ਹਨ, ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇੱਥੇ ਇਸਨੂੰ ਠੀਕ ਕਰਨ ਦੇ ਕੁਝ ਤਰੀਕੇ ਹਨ:

ਜੇ ਤੁਸੀਂ ਲੇਬਲ ਨੂੰ ਜਾਣਦੇ ਹੋ:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
ਜੇਕਰ ਤੁਸੀਂ ਬਰਾਬਰ ਨਿਸ਼ਾਨਾਂ ਵਾਲੀ ਇੱਕ ਫਾਈਲ ਜਾਣਦੇ ਹੋ:
# semanage fcontext -a -e /srv/myweb /var/www
ਸੰਦਰਭ ਨੂੰ ਬਹਾਲ ਕਰਨਾ (ਦੋਵੇਂ ਮਾਮਲਿਆਂ ਲਈ):
# restorecon -vR /srv/myweb

16. ਲੇਬਲਿੰਗ ਸਮੱਸਿਆ: ਜੇਕਰ ਤੁਸੀਂ ਇਸ ਨੂੰ ਕਾਪੀ ਕਰਨ ਦੀ ਬਜਾਏ ਫਾਈਲ ਨੂੰ ਮੂਵ ਕਰਦੇ ਹੋ, ਤਾਂ ਫਾਈਲ ਇਸਦੇ ਅਸਲੀ ਸੰਦਰਭ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖੇਗੀ। ਇਸ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ:

ਲੇਬਲ ਦੇ ਨਾਲ ਪ੍ਰਸੰਗ ਕਮਾਂਡ ਨੂੰ ਬਦਲੋ:
# chcon -t httpd_system_content_t /var/www/html/index.html
ਲਿੰਕ ਲੇਬਲ ਦੇ ਨਾਲ ਪ੍ਰਸੰਗ ਕਮਾਂਡ ਨੂੰ ਬਦਲੋ:
# chcon --reference /var/www/html/ /var/www/html/index.html
ਸੰਦਰਭ ਨੂੰ ਬਹਾਲ ਕਰੋ (ਦੋਵੇਂ ਮਾਮਲਿਆਂ ਲਈ): # restorecon -vR /var/www/html/

17. ਜੇ SELinux ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ, ਕਿ HTTPD ਪੋਰਟ 8585 'ਤੇ ਸੁਣ ਰਿਹਾ ਹੈ, SE ਨੂੰ ਦੱਸੋLinux:

# semanage port -a -t http_port_t -p tcp 8585

18. SELinux ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ ਬੂਲੀਅਨ ਮੁੱਲ ਜੋ ਤੁਹਾਨੂੰ SE ਨੀਤੀ ਦੇ ਹਿੱਸਿਆਂ ਨੂੰ ਬਦਲਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।Linux SE ਨੀਤੀ ਮੁੜ ਲਿਖਣ ਦੇ ਗਿਆਨ ਤੋਂ ਬਿਨਾਂ ਰਨਟਾਈਮ 'ਤੇLinuxਉਦਾਹਰਨ ਲਈ, ਜੇਕਰ ਤੁਸੀਂ httpd ਨੂੰ ਈਮੇਲ ਭੇਜਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਇਹ ਦਰਜ ਕਰੋ: # setsebool -P httpd_can_sendmail 1

19. SELinux ਜਾਣਨ ਦੀ ਲੋੜ ਹੈ SE ਸੈਟਿੰਗਾਂ ਨੂੰ ਸਮਰੱਥ/ਅਯੋਗ ਕਰਨ ਲਈ ਲਾਜ਼ੀਕਲ ਮੁੱਲLinux:

ਸਾਰੇ ਬੂਲੀਅਨ ਮੁੱਲ ਦੇਖਣ ਲਈ: # getsebool -a
ਹਰੇਕ ਦਾ ਵੇਰਵਾ ਦੇਖਣ ਲਈ: # semanage boolean -l
ਬੂਲੀਅਨ ਮੁੱਲ ਸੈੱਟ ਕਰਨ ਲਈ: # setsebool [_boolean_] [1|0]
ਇੱਕ ਸਥਾਈ ਇੰਸਟਾਲੇਸ਼ਨ ਲਈ, ਸ਼ਾਮਿਲ ਕਰੋ -P. ਉਦਾਹਰਣ ਲਈ: # setsebool httpd_enable_ftp_server 1 -P

20. ਐਸਈ ਨੀਤੀਆਂ/ਐਪਲੀਕੇਸ਼ਨਾਂLinux ਗਲਤੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਅਸਧਾਰਨ ਕੋਡ ਮਾਰਗ
ਸੰਰਚਨਾਵਾਂ
stdout ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
ਫਾਈਲ ਡਿਸਕ੍ਰਿਪਟਰ ਲੀਕ
ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਮੈਮੋਰੀ
ਖ਼ਰਾਬ ਬਣੀਆਂ ਲਾਇਬ੍ਰੇਰੀਆਂ

ਓਪਨ ਟਿਕਟਾਂ (ਬਗਜ਼ੀਲਾ ਨੂੰ ਰਿਪੋਰਟ ਨਾ ਦਿਓ; ਬੱਗਜ਼ੀਲਾ ਦਾ ਕੋਈ SLA ਨਹੀਂ ਹੈ)।

21. ਤੁਹਾਡੀ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਪ੍ਰਤਿਬੰਧਿਤ ਡੋਮੇਨ ਹਨ ਜੋ ਇਹ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਹੇ ਹਨ:

ਕਰਨਲ ਮੋਡੀਊਲ ਲੋਡ ਕਰੋ
SE ਇਨਫੋਰਸਡ ਮੋਡ ਨੂੰ ਅਯੋਗ ਕਰੋLinux
ਨੂੰ ਲਿਖੋ etc_t/shadow_t
iptables ਨਿਯਮ ਬਦਲੋ

22. SE ਟੂਲਸLinux ਨੀਤੀ ਮਾਡਿਊਲ ਵਿਕਸਤ ਕਰਨ ਲਈ:

# yum -y install setroubleshoot setroubleshoot-server

ਰੀਬੂਟ ਕਰੋ ਜਾਂ ਰੀਸਟਾਰਟ ਕਰੋ auditd ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਬਾਅਦ.

23. ਵਰਤੋਂ ਕਰੋ

journalctl

ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਲਾਗਾਂ ਦੀ ਸੂਚੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ਵਰਤੋਂ ਕਰੋ journalctl ਇੱਕ ਖਾਸ SE ਟੈਗ ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਲੌਗਾਂ ਦੀ ਸੂਚੀ ਬਣਾਉਣ ਲਈLinux. ਉਦਾਹਰਣ ਲਈ:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. ਜਦੋਂ ਇੱਕ SE ਗਲਤੀ ਹੁੰਦੀ ਹੈLinux ਲਾਗ ਦੀ ਵਰਤੋਂ ਕਰੋ setroubleshoot ਕਈ ਸੰਭਵ ਹੱਲ ਦੀ ਪੇਸ਼ਕਸ਼.
ਉਦਾਹਰਨ ਲਈ, ਤੋਂ journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ਲਾਗਿੰਗ: SELinux ਕਈ ਥਾਵਾਂ 'ਤੇ ਜਾਣਕਾਰੀ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ:

/ var / log / messages
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml

27. ਲੌਗਿੰਗ: SE ਗਲਤੀਆਂ ਲੱਭਣਾLinux ਆਡਿਟ ਲੌਗ ਵਿੱਚ:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. SE ਸੁਨੇਹੇ ਲੱਭਣ ਲਈLinux ਕਿਸੇ ਖਾਸ ਸੇਵਾ ਲਈ ਵੈਕਟਰ ਕੈਸ਼ (AVC) ਤੱਕ ਪਹੁੰਚ ਕਰੋ:

# ausearch -m avc -c httpd

29. ਉਪਯੋਗਤਾ audit2allow ਵਰਜਿਤ ਕਾਰਜਾਂ ਦੇ ਲੌਗਾਂ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ SE ਅਨੁਮਤੀ ਨੀਤੀ ਨਿਯਮ ਤਿਆਰ ਕਰਦਾ ਹੈ।Linux. ਉਦਾਹਰਣ ਲਈ:

ਇਸ ਗੱਲ ਦਾ ਮਨੁੱਖੀ-ਪੜ੍ਹਨਯੋਗ ਵਰਣਨ ਬਣਾਉਣ ਲਈ ਕਿ ਪਹੁੰਚ ਕਿਉਂ ਇਨਕਾਰ ਕੀਤੀ ਗਈ ਹੈ: # audit2allow -w -a
ਇੱਕ ਕਿਸਮ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਨਿਯਮ ਨੂੰ ਦੇਖਣ ਲਈ ਜੋ ਅਸਵੀਕਾਰ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ: # audit2allow -a
ਇੱਕ ਕਸਟਮ ਮੋਡੀਊਲ ਬਣਾਉਣ ਲਈ: # audit2allow -a -M mypolicy
ਵਿਕਲਪ -M ਨਿਰਧਾਰਤ ਨਾਮ ਨਾਲ ਇੱਕ ਕਿਸਮ ਦੀ ਇਨਫੋਰਸਮੈਂਟ ਫਾਈਲ (.te) ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯਮ ਨੂੰ ਇੱਕ ਪਾਲਿਸੀ ਪੈਕੇਜ (.pp) ਵਿੱਚ ਕੰਪਾਇਲ ਕਰਦਾ ਹੈ: mypolicy.pp mypolicy.te
ਇੱਕ ਕਸਟਮ ਮੋਡੀਊਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ: # semodule -i mypolicy.pp

30. ਇਜਾਜ਼ਤ ਮੋਡ ਵਿੱਚ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਵੱਖਰੀ ਪ੍ਰਕਿਰਿਆ (ਡੋਮੇਨ) ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ: # semanage permissive -a httpd_t

31. ਜੇਕਰ ਤੁਸੀਂ ਹੁਣ ਡੋਮੇਨ ਨੂੰ ਮਨਜ਼ੂਰੀ ਨਹੀਂ ਦੇਣਾ ਚਾਹੁੰਦੇ ਹੋ: # semanage permissive -d httpd_t

32. ਸਾਰੇ ਆਗਿਆਕਾਰੀ ਡੋਮੇਨਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ: # semodule -d permissivedomains

33. MLS SE ਨੀਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾLinux: # yum install selinux-policy-mls в /etc/selinux/config:

ਸੇਲਿਨਕਸ=ਇਜਾਜ਼ਤ ਦੇਣ ਵਾਲਾ
SELINUXTYPE=ਮਿਲੀਲੀਟਰ

ਯਕੀਨੀ ਬਣਾਓ ਕਿ SELinux ਆਗਿਆਕਾਰੀ ਮੋਡ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ: # setenforce 0
ਇੱਕ ਸਕ੍ਰਿਪਟ ਵਰਤੋ fixfilesਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਫਾਈਲਾਂ ਨੂੰ ਅਗਲੇ ਰੀਬੂਟ ਤੇ ਰੀਲੇਬਲ ਕੀਤਾ ਗਿਆ ਹੈ:

# fixfiles -F onboot # reboot

34. ਇੱਕ ਖਾਸ MLS ਸੀਮਾ ਦੇ ਨਾਲ ਇੱਕ ਉਪਭੋਗਤਾ ਬਣਾਓ: # useradd -Z staff_u john

ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ useradd, ਨਵੇਂ ਯੂਜ਼ਰ ਨੂੰ ਮੌਜੂਦਾ SE ਯੂਜ਼ਰ ਨਾਲ ਮੈਪ ਕਰੋ।Linux (ਇਸ ਮਾਮਲੇ ਵਿੱਚ, staff_u).

35. SE ਉਪਭੋਗਤਾਵਾਂ ਵਿਚਕਾਰ ਪੱਤਰ ਵਿਹਾਰ ਦੇਖਣ ਲਈLinux и Linux: # semanage login -l

36. ਉਪਭੋਗਤਾ ਲਈ ਇੱਕ ਖਾਸ ਰੇਂਜ ਪਰਿਭਾਸ਼ਿਤ ਕਰੋ: # semanage login --modify --range s2:c100 john

37. ਉਪਭੋਗਤਾ ਦੇ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਲੇਬਲ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ (ਜੇ ਲੋੜ ਹੋਵੇ): # chcon -R -l s2:c100 /home/john

38. ਮੌਜੂਦਾ ਸ਼੍ਰੇਣੀਆਂ ਨੂੰ ਦੇਖਣ ਲਈ: # chcat -L

39. ਸ਼੍ਰੇਣੀਆਂ ਨੂੰ ਬਦਲਣ ਜਾਂ ਆਪਣੀ ਖੁਦ ਦੀ ਬਣਾਉਣਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਫਾਈਲ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰੋ:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ਇੱਕ ਖਾਸ ਫਾਈਲ, ਰੋਲ, ਅਤੇ ਉਪਭੋਗਤਾ ਸੰਦਰਭ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ ਜਾਂ ਸਕ੍ਰਿਪਟ ਚਲਾਉਣ ਲਈ:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

-t ਫਾਈਲ ਪ੍ਰਸੰਗ
-r ਭੂਮਿਕਾ ਸੰਦਰਭ
-u ਉਪਭੋਗਤਾ ਸੰਦਰਭ

41. SE ਅਯੋਗ ਹੋਣ ਦੇ ਨਾਲ ਚੱਲ ਰਹੇ ਕੰਟੇਨਰLinux:

ਪੋਡਮੈਨ: # podman run --security-opt label=disable …
ਡੌਕਰ: # docker run --security-opt label=disable …

42. ਜੇਕਰ ਤੁਹਾਨੂੰ ਕੰਟੇਨਰ ਨੂੰ ਸਿਸਟਮ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਦੇਣ ਦੀ ਲੋੜ ਹੈ:

ਪੋਡਮੈਨ: # podman run --privileged …
ਡੌਕਰ: # docker run --privileged …

ਅਤੇ ਹੁਣ ਤੁਸੀਂ ਜਵਾਬ ਪਹਿਲਾਂ ਹੀ ਜਾਣਦੇ ਹੋ। ਇਸ ਲਈ ਕਿਰਪਾ ਕਰਕੇ: ਘਬਰਾਓ ਨਾ ਅਤੇ SE ਚਾਲੂ ਕਰੋ।Linux.

ਲਿੰਕ:

ਸਰੋਤ: www.habr.com

SE 'ਤੇ ਇੱਕ Sysadmin ਲਈ ਇੱਕ ਚੀਟ ਸ਼ੀਟLinux: ਮਹੱਤਵਪੂਰਨ ਸਵਾਲਾਂ ਦੇ 42 ਜਵਾਬ

ਲਿੰਕ: