Превод чланка припремљен за студенте курса „Линук безбедност“

СЕЛинук или Сецурити Енханцед Линук је побољшани механизам контроле приступа који је развила Америчка агенција за националну безбедност (НСА) да спречи злонамерне упаде. Он имплементира принудни (или обавезни) модел контроле приступа (Енглисх Мандатори Аццесс Цонтрол, МАЦ) поврх постојећег дискреционог (или селективног) модела (Енглисх Дисцретионари Аццесс Цонтрол, ДАЦ), то јест, дозволе за читање, писање, извршавање.

СЕЛинук има три режима:

1. Енфорцинг — ускраћивање приступа на основу правила политике.
2. Пермиссиве — вођење евиденције радњи које крше политику, што би било забрањено у режиму спровођења.
3. онемогућен — потпуно онемогућавање СЕЛинука.

Подразумевано су подешавања укључена /etc/selinux/config

Промена режима СЕЛинук

Да бисте сазнали тренутни режим, покрените

$ getenforce

Да бисте променили режим у дозвољени, покрените следећу команду

$ setenforce 0

или да промените режим пермисивна на спровођење, извршити

$ setenforce 1

Ако треба да потпуно онемогућите СЕЛинук, то се може урадити само преко конфигурационе датотеке

$ vi /etc/selinux/config

Да бисте онемогућили, промените СЕЛИНУКС параметар на следећи начин:

SELINUX=disabled

Подешавање СЕЛинук-а

Свака датотека и процес су означени СЕЛинук контекстом, који садржи додатне информације као што су корисник, улога, тип итд. Ако вам је ово први пут да омогућавате СЕЛинук, прво ћете морати да конфигуришете контекст и ознаке. Процес додељивања ознака и контекста познат је као означавање. Да бисмо започели обележавање, у конфигурационој датотеци мењамо режим на пермисивна.

$ vi /etc/selinux/config
SELINUX=permissive

Након подешавања режима пермисивна, креирајте празну скривену датотеку у корену са именом autorelabel

$ touch /.autorelabel

и поново покрените рачунар

$ init 6

Напомена: Користимо режим пермисивна за обележавање, пошто је употреба режима спровођење може довести до пада система током поновног покретања.

Не брините ако се преузимање заглави на некој датотеци, означавање траје неко време. Када се обележавање заврши и ваш систем се покрене, можете да одете у конфигурациону датотеку и подесите режим спровођењеи такође покрените:

$ setenforce 1

Сада сте успешно омогућили СЕЛинук на свом рачунару.

Праћење дневника

Можда сте наишли на неке грешке током обележавања или током рада система. Да бисте проверили да ли ваш СЕЛинук ради исправно и да ли не блокира приступ било ком порту, апликацији итд., потребно је да погледате евиденцију. СЕЛинук дневник се налази у /var/log/audit/audit.log, али не морате да читате целу ствар да бисте пронашли грешке. Можете користити услужни програм аудит2вхи да пронађете грешке. Покрените следећу команду:

$ audit2why < /var/log/audit/audit.log

Као резултат, добићете листу грешака. Ако није било грешака у дневнику, неће бити приказане поруке.

Конфигурисање СЕЛинук политике

СЕЛинук политика је скуп правила која управљају сигурносним механизмом СЕЛинук. Политика дефинише скуп правила за одређено окружење. Сада ћемо научити како да конфигуришемо смернице да би се омогућио приступ забрањеним услугама.

1. Логичке вредности (прекидачи)

Прекидачи (боолеанс) вам омогућавају да мењате делове политике током извршавања, без потребе да креирате нове смернице. Они вам омогућавају да уносите промене без поновног покретања или поновног компајлирања СЕЛинук смерница.

Пример
Рецимо да желимо да делимо почетни директоријум корисника преко ФТП-а за читање/писање, и већ смо га поделили, али када покушамо да му приступимо, не видимо ништа. То је зато што политика СЕЛинука спречава ФТП сервер да чита и уписује у кућни директоријум корисника. Морамо да променимо политику тако да ФТП сервер може да приступи кућним директоријумима. Хајде да видимо да ли постоје прекидачи за ово

$ semanage boolean -l

Ова команда ће приказати доступне прекидаче са њиховим тренутним стањем (укључено или искључено) и описом. Можете да прецизирате претрагу додавањем греп да бисте пронашли резултате само за фтп:

$ semanage boolean -l | grep ftp

и наћи ћете следеће

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

Овај прекидач је онемогућен, па ћемо га омогућити са setsebool $ setsebool ftp_home_dir on

Сада ће наш фтп демон моћи да приступи корисничком кућном директоријуму.
Напомена: Такође можете добити листу доступних прекидача без описа getsebool -a

2. Ознаке и контекст

Ово је најчешћи начин имплементације СЕЛинук политике. Свака датотека, фасцикла, процес и порт су означени СЕЛинук контекстом:

• За датотеке и фасцикле, ознаке се чувају као проширени атрибути у систему датотека и могу се видети помоћу следеће команде:

  $ ls -Z /etc/httpd

• За процесе и портове, означавањем управља језгро, а ове ознаке можете видети на следећи начин:

процес

$ ps –auxZ | grep httpd

Лука

$ netstat -anpZ | grep httpd

Пример
Сада погледајмо пример да боље разумемо ознаке и контекст. Рецимо да имамо веб сервер који уместо директоријума /var/www/html/ использует /home/dan/html/. СЕЛинук ће ово сматрати кршењем политике и нећете моћи да видите своје веб странице. То је зато што нисмо поставили безбедносни контекст повезан са ХТМЛ датотекама. Да бисте видели подразумевани безбедносни контекст, користите следећу команду:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

Ево нас httpd_sys_content_t као контекст за хтмл датотеке. Морамо да поставимо овај безбедносни контекст за наш тренутни директоријум, који тренутно има следећи контекст:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

Алтернативна команда за проверу безбедносног контекста датотеке или директоријума:

$ semanage fcontext -l | grep '/var/www'

Такође ћемо користити семанаге да променимо контекст када пронађемо исправан безбедносни контекст. Да бисте променили контекст /хоме/дан/хтмл, покрените следеће команде:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

Након што се контекст промени помоћу семанаге-а, команда ресторецон ће учитати подразумевани контекст за датотеке и директоријуме. Наш веб сервер ће сада моћи да чита датотеке из фасцикле /home/dan/htmlјер је безбедносни контекст за ову фасциклу промењен у httpd_sys_content_t.

3. Креирајте локалне политике

Можда постоје ситуације у којима вам горе наведене методе нису од користи и добијате грешке (авц/дениал) у аудит.лог. Када се то догоди, потребно је да креирате локалну политику. Све грешке можете пронаћи користећи аудит2вхи, као што је горе описано.

Можете креирати локалну политику за решавање грешака. На пример, добијамо грешку која се односи на хттпд (апацхе) или смбд (самба), грешимо грешке и креирамо смернице за њих:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

Овде http_policy и smb_policy су називи локалних политика које смо креирали. Сада морамо да учитамо ове креиране локалне политике у тренутну СЕЛинук политику. Ово се може урадити на следећи начин:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

Наше локалне политике су преузете и више не би требало да примамо авц или денаил у аудит.лог.

Ово је био мој покушај да вам помогнем да разумете СЕЛинук. Надам се да ћете се након читања овог чланка осећати угодније са СЕЛинук-ом.

Извор: ввв.хабр.цом