ਲੀਨਕਸ ਸੁਰੱਖਿਆ ਸਿਸਟਮ

ਏਮਬੈਡਡ, ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਅਤੇ ਸਰਵਰਾਂ 'ਤੇ ਲੀਨਕਸ OS ਦੀ ਸ਼ਾਨਦਾਰ ਸਫਲਤਾ ਦਾ ਇੱਕ ਕਾਰਨ ਕਰਨਲ, ਸੰਬੰਧਿਤ ਸੇਵਾਵਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਉੱਚ ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਹੈ। ਪਰ ਜੇਕਰ ਇੱਕ ਡੂੰਘੀ ਨਜ਼ਰ ਲਵੋ ਲੀਨਕਸ ਕਰਨਲ ਦੇ ਆਰਕੀਟੈਕਚਰ ਲਈ, ਫਿਰ ਇਸ ਵਿੱਚ ਸੁਰੱਖਿਆ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਵਰਗ ਲੱਭਣਾ ਅਸੰਭਵ ਹੈ। ਲੀਨਕਸ ਸੁਰੱਖਿਆ ਉਪ-ਸਿਸਟਮ ਕਿੱਥੇ ਲੁਕਿਆ ਹੋਇਆ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਕੀ ਸ਼ਾਮਲ ਹੈ?

ਲੀਨਕਸ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ ਅਤੇ SELinux 'ਤੇ ਪਿਛੋਕੜ

ਸਿਕਿਓਰਿਟੀ ਐਨਹਾਂਸਡ ਲੀਨਕਸ, ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਉਣ ਅਤੇ ਰਵਾਇਤੀ ਯੂਨਿਕਸ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀ, ਵਿਵੇਕਸ਼ੀਲ ਪਹੁੰਚ ਨਿਯੰਤਰਣ (ਡੀਏਸੀ) ਦੀਆਂ ਕਮੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ ਲਾਜ਼ਮੀ ਅਤੇ ਭੂਮਿਕਾ-ਅਧਾਰਿਤ ਐਕਸੈਸ ਮਾਡਲਾਂ ਦੇ ਅਧਾਰ ਤੇ ਨਿਯਮਾਂ ਅਤੇ ਪਹੁੰਚ ਵਿਧੀਆਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੈ। ਇਹ ਪ੍ਰੋਜੈਕਟ ਯੂ.ਐੱਸ. ਨੈਸ਼ਨਲ ਸਕਿਓਰਿਟੀ ਏਜੰਸੀ ਦੀਆਂ ਅੰਤੜੀਆਂ ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਇਆ ਸੀ, ਅਤੇ ਇਸਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਠੇਕੇਦਾਰਾਂ ਸਿਕਿਓਰ ਕੰਪਿਊਟਿੰਗ ਕਾਰਪੋਰੇਸ਼ਨ ਅਤੇ MITER, ਅਤੇ ਨਾਲ ਹੀ ਕਈ ਖੋਜ ਪ੍ਰਯੋਗਸ਼ਾਲਾਵਾਂ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਲੀਨਕਸ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ

ਲਿਨਸ ਟੋਰਵਾਲਡਜ਼ ਨੇ ਨਵੇਂ NSA ਵਿਕਾਸ ਬਾਰੇ ਕਈ ਟਿੱਪਣੀਆਂ ਕੀਤੀਆਂ ਤਾਂ ਜੋ ਉਹਨਾਂ ਨੂੰ ਮੁੱਖ ਲਾਈਨ ਲੀਨਕਸ ਕਰਨਲ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾ ਸਕੇ। ਉਸਨੇ ਇੱਕ ਆਮ ਵਾਤਾਵਰਣ ਦਾ ਵਰਣਨ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਵਸਤੂਆਂ ਦੇ ਨਾਲ ਸੰਚਾਲਨ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ ਲਈ ਇੰਟਰਸੈਪਟਰਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਅਤੇ ਸੰਬੰਧਿਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ ਕਰਨਲ ਡੇਟਾ ਬਣਤਰਾਂ ਵਿੱਚ ਕੁਝ ਸੁਰੱਖਿਆ ਖੇਤਰਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਦੇ ਨਾਲ। ਇਹ ਵਾਤਾਵਰਣ ਫਿਰ ਲੋਡ ਹੋਣ ਯੋਗ ਕਰਨਲ ਮੋਡੀਊਲ ਦੁਆਰਾ ਕਿਸੇ ਵੀ ਲੋੜੀਦੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ। LSM ਪੂਰੀ ਤਰ੍ਹਾਂ 2.6 ਵਿੱਚ ਲੀਨਕਸ ਕਰਨਲ v2003 ਵਿੱਚ ਦਾਖਲ ਹੋਇਆ ਸੀ।

LSM ਫਰੇਮਵਰਕ ਵਿੱਚ ਡੇਟਾ ਸਟਰਕਚਰ ਵਿੱਚ ਗਾਰਡ ਫੀਲਡ ਅਤੇ ਕਰਨਲ ਕੋਡ ਦੇ ਨਾਜ਼ੁਕ ਬਿੰਦੂਆਂ 'ਤੇ ਇੰਟਰਸੈਪਸ਼ਨ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਕਾਲ ਕਰਨਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਕਰਨ ਲਈ ਕਾਲ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ ਕਾਰਜਸ਼ੀਲਤਾ ਵੀ ਜੋੜਦਾ ਹੈ। /sys/kernel/security/lsm ਇੰਟਰਫੇਸ ਵਿੱਚ ਸਿਸਟਮ ਉੱਤੇ ਸਰਗਰਮ ਮੋਡੀਊਲਾਂ ਦੀ ਸੂਚੀ ਹੁੰਦੀ ਹੈ। LSM ਹੁੱਕ ਉਹਨਾਂ ਸੂਚੀਆਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜਿਹਨਾਂ ਨੂੰ CONFIG_LSM ਵਿੱਚ ਦਰਸਾਏ ਕ੍ਰਮ ਵਿੱਚ ਬੁਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਹੁੱਕਾਂ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਦਸਤਾਵੇਜ਼ ਹੈਡਰ ਫਾਈਲ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਹਨ include/linux/lsm_hooks.h.

LSM ਸਬ-ਸਿਸਟਮ ਨੇ ਸਥਿਰ ਲੀਨਕਸ ਕਰਨਲ v2.6 ਦੇ ਉਸੇ ਸੰਸਕਰਣ ਨਾਲ SELinux ਦੇ ਪੂਰੇ ਏਕੀਕਰਣ ਨੂੰ ਪੂਰਾ ਕਰਨਾ ਸੰਭਵ ਬਣਾਇਆ ਹੈ। ਲਗਭਗ ਤੁਰੰਤ, SELinux ਇੱਕ ਸੁਰੱਖਿਅਤ ਲੀਨਕਸ ਵਾਤਾਵਰਣ ਲਈ ਅਸਲ ਮਿਆਰ ਬਣ ਗਿਆ ਅਤੇ ਇਸਨੂੰ ਸਭ ਤੋਂ ਪ੍ਰਸਿੱਧ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ: RedHat Enterprise Linux, Fedora, Debian, Ubuntu।

SELinux ਸ਼ਬਦਾਵਲੀ

• ਪਛਾਣ — SELinux ਯੂਜ਼ਰ ਆਮ ਯੂਨਿਕਸ/ਲੀਨਕਸ ਯੂਜ਼ਰ ਆਈਡੀ ਵਰਗਾ ਨਹੀਂ ਹੈ; ਉਹ ਇੱਕੋ ਸਿਸਟਮ 'ਤੇ ਇਕੱਠੇ ਹੋ ਸਕਦੇ ਹਨ, ਪਰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਬਿਲਕੁਲ ਵੱਖਰੇ ਹਨ। ਹਰੇਕ ਸਟੈਂਡਰਡ ਲੀਨਕਸ ਖਾਤਾ SELinux ਵਿੱਚ ਇੱਕ ਜਾਂ ਇੱਕ ਤੋਂ ਵੱਧ ਦੇ ਅਨੁਸਾਰੀ ਹੋ ਸਕਦਾ ਹੈ। SELinux ਪਛਾਣ ਸਮੁੱਚੇ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਦਾ ਹਿੱਸਾ ਹੈ, ਜੋ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦੀ ਹੈ ਕਿ ਤੁਸੀਂ ਕਿਹੜੇ ਡੋਮੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋ ਸਕਦੇ ਹੋ ਅਤੇ ਨਹੀਂ ਹੋ ਸਕਦੇ।
• ਡੋਮੇਨ - SELinux ਵਿੱਚ, ਇੱਕ ਡੋਮੇਨ ਇੱਕ ਵਿਸ਼ੇ ਦਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਸੰਗ ਹੈ, ਭਾਵ ਇੱਕ ਪ੍ਰਕਿਰਿਆ। ਡੋਮੇਨ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਦੀ ਪਹੁੰਚ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਡੋਮੇਨ ਅਸਲ ਵਿੱਚ ਇੱਕ ਸੂਚੀ ਹੁੰਦੀ ਹੈ ਕਿ ਪ੍ਰਕਿਰਿਆਵਾਂ ਕੀ ਕਰ ਸਕਦੀਆਂ ਹਨ ਜਾਂ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਨਾਲ ਕੀ ਕਰ ਸਕਦੀ ਹੈ। ਡੋਮੇਨਾਂ ਦੀਆਂ ਕੁਝ ਉਦਾਹਰਣਾਂ ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਨ ਲਈ sysadm_t ਹਨ, ਅਤੇ user_t ਜੋ ਕਿ ਇੱਕ ਆਮ ਗੈਰ-ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾ ਡੋਮੇਨ ਹੈ। init ਸਿਸਟਮ init_t ਡੋਮੇਨ ਵਿੱਚ ਚੱਲਦਾ ਹੈ, ਅਤੇ ਨਾਮ ਦੀ ਪ੍ਰਕਿਰਿਆ name_t ਡੋਮੇਨ ਵਿੱਚ ਚੱਲਦੀ ਹੈ।
• ਭੂਮਿਕਾਵਾਂ — ਕੀ ਡੋਮੇਨ ਅਤੇ SELinux ਉਪਭੋਗਤਾਵਾਂ ਵਿਚਕਾਰ ਵਿਚੋਲੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਭੂਮਿਕਾਵਾਂ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦੀਆਂ ਹਨ ਕਿ ਉਪਭੋਗਤਾ ਕਿਹੜੇ ਡੋਮੇਨਾਂ ਨਾਲ ਸਬੰਧਤ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਉਹ ਕਿਸ ਕਿਸਮ ਦੀਆਂ ਵਸਤੂਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਵਿਧੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧੇ ਦੇ ਹਮਲਿਆਂ ਦੇ ਖਤਰੇ ਨੂੰ ਰੋਕਦੀ ਹੈ। ਰੋਲ SELinux ਵਿੱਚ ਵਰਤੇ ਜਾਂਦੇ ਰੋਲ ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ (RBAC) ਸੁਰੱਖਿਆ ਮਾਡਲ ਵਿੱਚ ਲਿਖੇ ਜਾਂਦੇ ਹਨ।
• ਕਿਸਮ — ਇੱਕ ਟਾਈਪ ਇਨਫੋਰਸਮੈਂਟ ਸੂਚੀ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋ ਕਿਸੇ ਵਸਤੂ ਨੂੰ ਨਿਰਧਾਰਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦੀ ਹੈ ਕਿ ਕੌਣ ਇਸ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ। ਡੋਮੇਨ ਪਰਿਭਾਸ਼ਾ ਦੇ ਸਮਾਨ, ਸਿਵਾਏ ਕਿ ਡੋਮੇਨ ਇੱਕ ਪ੍ਰਕਿਰਿਆ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਕਿਸਮ ਆਬਜੈਕਟ ਜਿਵੇਂ ਕਿ ਡਾਇਰੈਕਟਰੀਆਂ, ਫਾਈਲਾਂ, ਸਾਕਟਾਂ ਆਦਿ 'ਤੇ ਲਾਗੂ ਹੁੰਦੀ ਹੈ।
• ਵਿਸ਼ੇ ਅਤੇ ਵਸਤੂਆਂ - ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿਸ਼ੇ ਹਨ ਅਤੇ ਇੱਕ ਖਾਸ ਸੰਦਰਭ, ਜਾਂ ਸੁਰੱਖਿਆ ਡੋਮੇਨ ਵਿੱਚ ਚਲਦੀਆਂ ਹਨ। ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਸਰੋਤ: ਫਾਈਲਾਂ, ਡਾਇਰੈਕਟਰੀਆਂ, ਸਾਕਟਾਂ, ਆਦਿ, ਉਹ ਵਸਤੂਆਂ ਹਨ ਜੋ ਇੱਕ ਖਾਸ ਕਿਸਮ ਨਿਰਧਾਰਤ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, ਇੱਕ ਗੋਪਨੀਯਤਾ ਪੱਧਰ।
• SELinux ਨੀਤੀਆਂ — SELinux ਸਿਸਟਮ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। SELinux ਨੀਤੀ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਭੂਮਿਕਾਵਾਂ, ਡੋਮੇਨਾਂ ਲਈ ਭੂਮਿਕਾਵਾਂ, ਅਤੇ ਡੋਮੇਨਾਂ ਤੋਂ ਕਿਸਮਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਪਹਿਲਾਂ, ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਭੂਮਿਕਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਧਿਕਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਫਿਰ ਭੂਮਿਕਾ ਨੂੰ ਡੋਮੇਨਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਅਧਿਕਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅੰਤ ਵਿੱਚ, ਇੱਕ ਡੋਮੇਨ ਕੋਲ ਸਿਰਫ ਕੁਝ ਖਾਸ ਕਿਸਮਾਂ ਦੀਆਂ ਵਸਤੂਆਂ ਤੱਕ ਪਹੁੰਚ ਹੋ ਸਕਦੀ ਹੈ।

LSM ਅਤੇ SELinux ਆਰਕੀਟੈਕਚਰ

ਨਾਮ ਦੇ ਬਾਵਜੂਦ, LSMs ਆਮ ਤੌਰ 'ਤੇ ਲੋਡ ਹੋਣ ਯੋਗ ਲੀਨਕਸ ਮੋਡੀਊਲ ਨਹੀਂ ਹੁੰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, SELinux ਵਾਂਗ, ਇਹ ਸਿੱਧੇ ਕਰਨਲ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ। LSM ਸਰੋਤ ਕੋਡ ਵਿੱਚ ਕਿਸੇ ਵੀ ਤਬਦੀਲੀ ਲਈ ਇੱਕ ਨਵੇਂ ਕਰਨਲ ਸੰਕਲਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਸੰਬੰਧਿਤ ਵਿਕਲਪ ਨੂੰ ਕਰਨਲ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਯੋਗ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਹੀਂ ਤਾਂ LSM ਕੋਡ ਬੂਟ ਹੋਣ ਤੋਂ ਬਾਅਦ ਕਿਰਿਆਸ਼ੀਲ ਨਹੀਂ ਹੋਵੇਗਾ। ਪਰ ਇਸ ਸਥਿਤੀ ਵਿੱਚ ਵੀ, ਇਸਨੂੰ OS ਬੂਟਲੋਡਰ ਵਿਕਲਪ ਦੁਆਰਾ ਸਮਰੱਥ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

LSM ਚੈੱਕ ਸਟੈਕ

LSM ਕੋਰ ਕਰਨਲ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਹੁੱਕਾਂ ਨਾਲ ਲੈਸ ਹੈ ਜੋ ਜਾਂਚਾਂ ਲਈ ਢੁਕਵੇਂ ਹੋ ਸਕਦੇ ਹਨ। LSMs ਦੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਹੈ ਕਿ ਉਹ ਸਟੈਕਡ ਹਨ। ਇਸ ਤਰ੍ਹਾਂ, ਮਿਆਰੀ ਜਾਂਚਾਂ ਅਜੇ ਵੀ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਅਤੇ LSM ਦੀ ਹਰੇਕ ਪਰਤ ਸਿਰਫ਼ ਵਾਧੂ ਨਿਯੰਤਰਣ ਅਤੇ ਨਿਯੰਤਰਣ ਜੋੜਦੀ ਹੈ। ਇਸ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਪਾਬੰਦੀ ਨੂੰ ਵਾਪਸ ਨਹੀਂ ਲਿਆ ਜਾ ਸਕਦਾ। ਇਹ ਚਿੱਤਰ ਵਿੱਚ ਦਿਖਾਇਆ ਗਿਆ ਹੈ; ਜੇਕਰ ਰੁਟੀਨ DAC ਜਾਂਚਾਂ ਦਾ ਨਤੀਜਾ ਅਸਫਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਮਲਾ LSM ਹੁੱਕਾਂ ਤੱਕ ਵੀ ਨਹੀਂ ਪਹੁੰਚੇਗਾ।

SELinux ਫਲੁਕ ਰਿਸਰਚ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੇ ਫਲਾਸਕ ਸੁਰੱਖਿਆ ਢਾਂਚੇ ਨੂੰ ਅਪਣਾਉਂਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਘੱਟੋ-ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਦਾ ਸਿਧਾਂਤ। ਇਸ ਸੰਕਲਪ ਦਾ ਨਿਚੋੜ, ਜਿਵੇਂ ਕਿ ਇਸਦਾ ਨਾਮ ਦਰਸਾਉਂਦਾ ਹੈ, ਉਪਭੋਗਤਾ ਨੂੰ ਸਿਰਫ ਉਹਨਾਂ ਅਧਿਕਾਰਾਂ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨਾ ਜਾਂ ਪ੍ਰਕਿਰਿਆ ਕਰਨਾ ਹੈ ਜੋ ਉਦੇਸ਼ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹਨ। ਇਹ ਸਿਧਾਂਤ ਜ਼ਬਰਦਸਤੀ ਐਕਸੈਸ ਟਾਈਪਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ SELinux ਵਿੱਚ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਡੋਮੇਨ => ਟਾਈਪ ਮਾਡਲ 'ਤੇ ਅਧਾਰਤ ਹੈ।

ਜ਼ਬਰਦਸਤੀ ਐਕਸੈਸ ਟਾਈਪਿੰਗ ਲਈ ਧੰਨਵਾਦ, SELinux ਕੋਲ ਯੂਨਿਕਸ/ਲੀਨਕਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਵਿੱਚ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਰਵਾਇਤੀ DAC ਮਾਡਲ ਨਾਲੋਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸਮਰੱਥਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਤੁਸੀਂ ਨੈੱਟਵਰਕ ਪੋਰਟ ਨੰਬਰ ਨੂੰ ਸੀਮਿਤ ਕਰ ਸਕਦੇ ਹੋ ਜਿਸ ਨਾਲ ftp ਸਰਵਰ ਕਨੈਕਟ ਕਰੇਗਾ, ਕਿਸੇ ਖਾਸ ਫੋਲਡਰ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਲਿਖਣ ਅਤੇ ਬਦਲਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇ ਸਕਦਾ ਹੈ, ਪਰ ਉਹਨਾਂ ਨੂੰ ਮਿਟਾਉਣਾ ਨਹੀਂ ਹੈ।

SELinux ਦੇ ਮੁੱਖ ਭਾਗ ਹਨ:

• ਪਾਲਿਸੀ ਇਨਫੋਰਸਮੈਂਟ ਸਰਵਰ — ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਸੰਗਠਿਤ ਕਰਨ ਲਈ ਮੁੱਖ ਵਿਧੀ।
• ਸਿਸਟਮ ਸੁਰੱਖਿਆ ਨੀਤੀ ਡਾਟਾਬੇਸ.
• LSM ਇਵੈਂਟ ਇੰਟਰਸੈਪਟਰ ਨਾਲ ਪਰਸਪਰ ਪ੍ਰਭਾਵ।
• Selinuxfs - Pseudo-FS, /proc ਦੇ ਸਮਾਨ ਹੈ ਅਤੇ /sys/fs/selinux ਵਿੱਚ ਮਾਊਂਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਰਨਟਾਈਮ ਤੇ ਲੀਨਕਸ ਕਰਨਲ ਦੁਆਰਾ ਗਤੀਸ਼ੀਲ ਰੂਪ ਵਿੱਚ ਤਿਆਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ SELinux ਸਥਿਤੀ ਜਾਣਕਾਰੀ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਰੱਖਦਾ ਹੈ।
• ਵੈਕਟਰ ਕੈਸ਼ ਤੱਕ ਪਹੁੰਚ ਕਰੋ - ਉਤਪਾਦਕਤਾ ਵਧਾਉਣ ਲਈ ਇੱਕ ਸਹਾਇਕ ਵਿਧੀ।

SELinux ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਇਹ ਸਭ ਇਸ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਦਾ ਹੈ।

1. ਇੱਕ ਖਾਸ ਵਿਸ਼ਾ, SELinux ਸ਼ਬਦਾਂ ਵਿੱਚ, ਇੱਕ DAC ਜਾਂਚ ਤੋਂ ਬਾਅਦ ਇੱਕ ਵਸਤੂ 'ਤੇ ਇੱਕ ਅਨੁਮਤੀ ਕਾਰਵਾਈ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਉੱਪਰਲੀ ਤਸਵੀਰ ਵਿੱਚ ਦਿਖਾਇਆ ਗਿਆ ਹੈ। ਓਪਰੇਸ਼ਨ ਕਰਨ ਦੀ ਇਹ ਬੇਨਤੀ LSM ਇਵੈਂਟ ਇੰਟਰਸੈਪਟਰ ਨੂੰ ਜਾਂਦੀ ਹੈ।
2. ਉੱਥੋਂ, ਬੇਨਤੀ, ਵਿਸ਼ੇ ਅਤੇ ਆਬਜੈਕਟ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਦੇ ਨਾਲ, SELinux ਐਬਸਟਰੈਕਸ਼ਨ ਅਤੇ ਹੁੱਕ ਲਾਜਿਕ ਮੋਡੀਊਲ ਨੂੰ ਪਾਸ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਕਿ LSM ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
3. ਕਿਸੇ ਵਸਤੂ ਤੱਕ ਕਿਸੇ ਵਿਸ਼ੇ ਦੀ ਪਹੁੰਚ 'ਤੇ ਫੈਸਲਾ ਲੈਣ ਦਾ ਅਧਿਕਾਰ ਪਾਲਿਸੀ ਇਨਫੋਰਸਮੈਂਟ ਸਰਵਰ ਹੈ ਅਤੇ ਇਹ SELinux AnHL ਤੋਂ ਡਾਟਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
4. ਪਹੁੰਚ ਜਾਂ ਇਨਕਾਰ ਬਾਰੇ ਫੈਸਲੇ ਲੈਣ ਲਈ, ਪਾਲਿਸੀ ਇਨਫੋਰਸਮੈਂਟ ਸਰਵਰ ਸਭ ਤੋਂ ਵੱਧ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਨਿਯਮਾਂ ਲਈ ਐਕਸੈਸ ਵੈਕਟਰ ਕੈਸ਼ (AVC) ਕੈਚਿੰਗ ਸਬਸਿਸਟਮ ਵੱਲ ਮੁੜਦਾ ਹੈ।
5. ਜੇਕਰ ਕੈਸ਼ ਵਿੱਚ ਸੰਬੰਧਿਤ ਨਿਯਮ ਦਾ ਹੱਲ ਨਹੀਂ ਲੱਭਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਬੇਨਤੀ ਨੂੰ ਸੁਰੱਖਿਆ ਨੀਤੀ ਡੇਟਾਬੇਸ ਵਿੱਚ ਪਾਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
6. ਡੇਟਾਬੇਸ ਅਤੇ AVC ਤੋਂ ਖੋਜ ਨਤੀਜਾ ਪਾਲਿਸੀ ਇਨਫੋਰਸਮੈਂਟ ਸਰਵਰ ਨੂੰ ਵਾਪਸ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
7. ਜੇਕਰ ਲੱਭੀ ਗਈ ਨੀਤੀ ਬੇਨਤੀ ਕੀਤੀ ਕਾਰਵਾਈ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ, ਤਾਂ ਓਪਰੇਸ਼ਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ। ਨਹੀਂ ਤਾਂ, ਓਪਰੇਸ਼ਨ ਦੀ ਮਨਾਹੀ ਹੈ.

SELinux ਸੈਟਿੰਗਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨਾ

SELinux ਤਿੰਨ ਮੋਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ:

• ਲਾਗੂ ਕਰਨਾ - ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਦੀ ਸਖਤੀ ਨਾਲ ਪਾਲਣਾ।
• ਆਗਿਆਕਾਰੀ - ਪਾਬੰਦੀਆਂ ਦੀ ਉਲੰਘਣਾ ਦੀ ਆਗਿਆ ਹੈ; ਜਰਨਲ ਵਿੱਚ ਇੱਕ ਅਨੁਸਾਰੀ ਨੋਟ ਬਣਾਇਆ ਗਿਆ ਹੈ।
• ਅਯੋਗ — ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਲਾਗੂ ਨਹੀਂ ਹਨ।

ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੀ ਕਮਾਂਡ ਨਾਲ ਦੇਖ ਸਕਦੇ ਹੋ ਕਿ SELinux ਕਿਸ ਮੋਡ ਵਿੱਚ ਹੈ।

[admin@server ~]$ getenforce
Permissive

ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਮੋਡ ਨੂੰ ਬਦਲਣਾ, ਉਦਾਹਰਨ ਲਈ, ਇਸਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਸੈੱਟ ਕਰਨਾ, ਜਾਂ 1. ਅਨੁਮਤੀ ਵਾਲਾ ਪੈਰਾਮੀਟਰ ਸੰਖਿਆਤਮਕ ਕੋਡ 0 ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ।

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

ਤੁਸੀਂ ਫਾਈਲ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਕੇ ਮੋਡ ਨੂੰ ਵੀ ਬਦਲ ਸਕਦੇ ਹੋ:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE = ਨਿਸ਼ਾਨਾ

setenfoce ਨਾਲ ਫਰਕ ਇਹ ਹੈ ਕਿ ਜਦੋਂ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਬੂਟ ਹੁੰਦਾ ਹੈ, ਤਾਂ SELinux ਮੋਡ ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ SELINUX ਪੈਰਾਮੀਟਰ ਦੇ ਮੁੱਲ ਦੇ ਅਨੁਸਾਰ ਸੈੱਟ ਕੀਤਾ ਜਾਵੇਗਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, <=> ਅਯੋਗ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਤਬਦੀਲੀਆਂ ਸਿਰਫ /etc/selinux/config ਫਾਈਲ ਨੂੰ ਸੋਧ ਕੇ ਅਤੇ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਲਾਗੂ ਹੁੰਦੀਆਂ ਹਨ।

ਇੱਕ ਸੰਖੇਪ ਸਥਿਤੀ ਰਿਪੋਰਟ ਵੇਖੋ:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਵੇਖਣ ਲਈ, ਕੁਝ ਮਿਆਰੀ ਉਪਯੋਗਤਾਵਾਂ -Z ਪੈਰਾਮੀਟਰ ਵਰਤਦੀਆਂ ਹਨ।

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l ਦੇ ਆਮ ਆਉਟਪੁੱਟ ਦੇ ਮੁਕਾਬਲੇ, ਹੇਠਾਂ ਦਿੱਤੇ ਫਾਰਮੈਟ ਵਿੱਚ ਕਈ ਵਾਧੂ ਖੇਤਰ ਹਨ:

<user>:<role>:<type>:<level>

ਆਖਰੀ ਖੇਤਰ ਇੱਕ ਸੁਰੱਖਿਆ ਵਰਗੀਕਰਣ ਵਰਗੀ ਚੀਜ਼ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਦੋ ਤੱਤਾਂ ਦਾ ਸੁਮੇਲ ਹੁੰਦਾ ਹੈ:

• s0 - ਮਹੱਤਵ, ਹੇਠਲੇ ਪੱਧਰ-ਉੱਚ ਪੱਧਰੀ ਅੰਤਰਾਲ ਵਜੋਂ ਵੀ ਲਿਖਿਆ ਜਾਂਦਾ ਹੈ
• c0, c1… c1023 - ਸ਼੍ਰੇਣੀ।

ਪਹੁੰਚ ਸੰਰਚਨਾ ਨੂੰ ਬਦਲਣਾ

SELinux ਮੋਡੀਊਲ ਲੋਡ ਕਰਨ, ਜੋੜਨ ਅਤੇ ਹਟਾਉਣ ਲਈ ਸੇਮੋਡਿਊਲ ਦੀ ਵਰਤੋਂ ਕਰੋ।

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

ਪਹਿਲੀ ਟੀਮ semanage ਲਾਗਇਨ SELinux ਉਪਭੋਗਤਾ ਨੂੰ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਉਪਭੋਗਤਾ ਨਾਲ ਜੋੜਦਾ ਹੈ, ਦੂਜਾ ਇੱਕ ਸੂਚੀ ਦਿਖਾਉਂਦਾ ਹੈ। ਅੰਤ ਵਿੱਚ, -r ਸਵਿੱਚ ਨਾਲ ਆਖਰੀ ਕਮਾਂਡ SELinux ਉਪਭੋਗਤਾਵਾਂ ਦੀ OS ਖਾਤਿਆਂ ਵਿੱਚ ਮੈਪਿੰਗ ਨੂੰ ਹਟਾ ਦਿੰਦੀ ਹੈ। MLS/MCS ਰੇਂਜ ਮੁੱਲਾਂ ਲਈ ਸੰਟੈਕਸ ਦੀ ਵਿਆਖਿਆ ਪਿਛਲੇ ਭਾਗ ਵਿੱਚ ਹੈ।

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

ਦੀ ਟੀਮ semanage ਉਪਭੋਗਤਾ SELinux ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਭੂਮਿਕਾਵਾਂ ਵਿਚਕਾਰ ਮੈਪਿੰਗ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

ਕਮਾਂਡ ਪੈਰਾਮੀਟਰ:

• -ਇੱਕ ਕਸਟਮ ਰੋਲ ਮੈਪਿੰਗ ਐਂਟਰੀ ਜੋੜੋ;
• -l ਮੇਲ ਖਾਂਦੇ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਭੂਮਿਕਾਵਾਂ ਦੀ ਸੂਚੀ;
• -d ਉਪਭੋਗਤਾ ਰੋਲ ਮੈਪਿੰਗ ਐਂਟਰੀ ਨੂੰ ਮਿਟਾਓ;
• -ਯੂਜ਼ਰ ਨਾਲ ਜੁੜੀਆਂ ਭੂਮਿਕਾਵਾਂ ਦੀ ਸੂਚੀ;

ਫਾਈਲਾਂ, ਪੋਰਟਾਂ ਅਤੇ ਬੂਲੀਅਨ ਮੁੱਲ

ਹਰੇਕ SELinux ਮੋਡੀਊਲ ਫਾਈਲ ਟੈਗਿੰਗ ਨਿਯਮਾਂ ਦਾ ਇੱਕ ਸੈੱਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਪਰ ਜੇਕਰ ਲੋੜ ਹੋਵੇ ਤਾਂ ਤੁਸੀਂ ਆਪਣੇ ਨਿਯਮ ਵੀ ਜੋੜ ਸਕਦੇ ਹੋ। ਉਦਾਹਰਨ ਲਈ, ਅਸੀਂ ਚਾਹੁੰਦੇ ਹਾਂ ਕਿ ਵੈੱਬ ਸਰਵਰ ਕੋਲ /srv/www ਫੋਲਡਰ ਤੱਕ ਪਹੁੰਚ ਅਧਿਕਾਰ ਹੋਵੇ।

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

ਪਹਿਲੀ ਕਮਾਂਡ ਨਵੇਂ ਮਾਰਕਿੰਗ ਨਿਯਮਾਂ ਨੂੰ ਰਜਿਸਟਰ ਕਰਦੀ ਹੈ, ਅਤੇ ਦੂਜੀ ਰੀਸੈੱਟ ਕਰਦੀ ਹੈ, ਜਾਂ ਮੌਜੂਦਾ ਨਿਯਮਾਂ ਦੇ ਅਨੁਸਾਰ ਫਾਈਲ ਕਿਸਮਾਂ ਨੂੰ ਸੈੱਟ ਕਰਦੀ ਹੈ।

ਇਸੇ ਤਰ੍ਹਾਂ, TCP/UDP ਪੋਰਟਾਂ ਨੂੰ ਇਸ ਤਰੀਕੇ ਨਾਲ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਸਿਰਫ਼ ਉਚਿਤ ਸੇਵਾਵਾਂ ਹੀ ਉਹਨਾਂ 'ਤੇ ਸੁਣ ਸਕਦੀਆਂ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਵੈੱਬ ਸਰਵਰ ਨੂੰ ਪੋਰਟ 8080 'ਤੇ ਸੁਣਨ ਲਈ, ਤੁਹਾਨੂੰ ਕਮਾਂਡ ਚਲਾਉਣ ਦੀ ਲੋੜ ਹੈ।

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux ਮੋਡੀਊਲਾਂ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੰਖਿਆ ਵਿੱਚ ਪੈਰਾਮੀਟਰ ਹੁੰਦੇ ਹਨ ਜੋ ਬੂਲੀਅਨ ਮੁੱਲ ਲੈ ਸਕਦੇ ਹਨ। ਅਜਿਹੇ ਪੈਰਾਮੀਟਰਾਂ ਦੀ ਪੂਰੀ ਸੂਚੀ getsebool -a ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵੇਖੀ ਜਾ ਸਕਦੀ ਹੈ। ਤੁਸੀਂ setsebool ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੂਲੀਅਨ ਮੁੱਲਾਂ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹੋ।

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

ਵਰਕਸ਼ਾਪ, Pgadmin-ਵੈੱਬ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰੋ

ਆਉ ਇੱਕ ਵਿਹਾਰਕ ਉਦਾਹਰਨ ਵੇਖੀਏ: ਅਸੀਂ PostgreSQL ਡੇਟਾਬੇਸ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ RHEL 7.6 ਉੱਤੇ pgadmin4-web ਨੂੰ ਸਥਾਪਿਤ ਕੀਤਾ ਹੈ। ਅਸੀਂ ਥੋੜ੍ਹਾ ਤੁਰ ਪਏ ਖੋਜ pg_hba.conf, postgresql.conf ਅਤੇ config_local.py ਦੀਆਂ ਸੈਟਿੰਗਾਂ ਨਾਲ, ਫੋਲਡਰ ਅਨੁਮਤੀਆਂ ਸੈਟ ਕਰੋ, ਪਾਈਪ ਤੋਂ ਗੁੰਮ ਹੋਏ ਪਾਈਥਨ ਮੋਡੀਊਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ। ਸਭ ਕੁਝ ਤਿਆਰ ਹੈ, ਅਸੀਂ ਲਾਂਚ ਅਤੇ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਾਂ 500 ਅੰਦਰੂਨੀ ਸਰਵਰ ਗਲਤੀ.

ਅਸੀਂ ਆਮ ਸ਼ੱਕੀਆਂ ਨਾਲ ਸ਼ੁਰੂ ਕਰਦੇ ਹਾਂ, /var/log/httpd/error_log ਦੀ ਜਾਂਚ ਕਰਦੇ ਹੋਏ। ਉੱਥੇ ਕੁਝ ਦਿਲਚਸਪ ਇੰਦਰਾਜ਼ ਹਨ.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

ਇਸ ਮੌਕੇ 'ਤੇ, ਜ਼ਿਆਦਾਤਰ ਲੀਨਕਸ ਪ੍ਰਸ਼ਾਸਕ setencorce 0 ਨੂੰ ਚਲਾਉਣ ਲਈ ਜ਼ੋਰਦਾਰ ਪਰਤਾਏ ਜਾਣਗੇ, ਅਤੇ ਇਹ ਇਸਦਾ ਅੰਤ ਹੋਵੇਗਾ। ਸੱਚ ਕਹਾਂ ਤਾਂ ਮੈਂ ਪਹਿਲੀ ਵਾਰ ਅਜਿਹਾ ਹੀ ਕੀਤਾ ਸੀ। ਇਹ ਬੇਸ਼ੱਕ ਇੱਕ ਤਰੀਕਾ ਵੀ ਹੈ, ਪਰ ਸਭ ਤੋਂ ਵਧੀਆ ਤੋਂ ਬਹੁਤ ਦੂਰ ਹੈ.

ਬੋਝਲ ਡਿਜ਼ਾਈਨ ਦੇ ਬਾਵਜੂਦ, SELinux ਉਪਭੋਗਤਾ-ਅਨੁਕੂਲ ਹੋ ਸਕਦਾ ਹੈ। ਬਸ ਸੈੱਟਰੋਬਲਸ਼ੂਟ ਪੈਕੇਜ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ ਅਤੇ ਸਿਸਟਮ ਲੌਗ ਵੇਖੋ।

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

ਕਿਰਪਾ ਕਰਕੇ ਧਿਆਨ ਦਿਓ ਕਿ OS ਵਿੱਚ systemd ਦੀ ਮੌਜੂਦਗੀ ਦੇ ਬਾਵਜੂਦ, auditd ਸੇਵਾ ਨੂੰ ਇਸ ਤਰੀਕੇ ਨਾਲ ਮੁੜ ਚਾਲੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ systemctl ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਨੀ ਚਾਹੀਦੀ। ਸਿਸਟਮ ਲਾਗ ਵਿੱਚ ਦਰਸਾਏ ਜਾਣਗੇ ਨਾ ਸਿਰਫ ਬਲੌਕ ਕਰਨ ਦਾ ਤੱਥ, ਸਗੋਂ ਕਾਰਨ ਅਤੇ ਪਾਬੰਦੀ ਨੂੰ ਦੂਰ ਕਰਨ ਦਾ ਤਰੀਕਾ.

ਅਸੀਂ ਇਹਨਾਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦੇ ਹਾਂ:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

ਅਸੀਂ pgadmin4-web ਵੈੱਬ ਪੇਜ ਤੱਕ ਪਹੁੰਚ ਦੀ ਜਾਂਚ ਕਰਦੇ ਹਾਂ, ਸਭ ਕੁਝ ਕੰਮ ਕਰਦਾ ਹੈ।

ਸਰੋਤ: www.habr.com