🥇Линук безбедносни системи

Један од разлога огромног успеха Линук ОС-а на уграђеним, мобилним уређајима и серверима је прилично висок степен безбедности кернела, повезаних услуга и апликација. Али ако Погледај боље архитектури Линук кернела, онда је немогуће наћи у њему квадрат одговоран за безбедност као такву. Где се крије Линукс безбедносни подсистем и од чега се састоји?

Позадина о Линук сигурносним модулима и СЕЛинук-у

Безбедносно побољшан Линук је скуп правила и механизама приступа заснованих на обавезним моделима приступа заснованим на улогама за заштиту Линук система од потенцијалних претњи и исправљање недостатака Дискреционе контроле приступа (ДАЦ), традиционалног Уник безбедносног система. Пројекат је настао у недрима америчке Агенције за националну безбедност, а директно су га развили углавном извођачи Сецуре Цомпутинг Цорпоратион и МИТЕР, као и низ истраживачких лабораторија.

Линук безбедносни модули

Линус Торвалдс је дао бројне коментаре о новим развојима НСА како би могли да буду укључени у главно језгро Линука. Он је описао опште окружење, са скупом пресретача за контролу операција са објектима и скупом одређених заштитних поља у структурама података кернела за чување одговарајућих атрибута. Ово окружење онда могу да користе модули кернела који се могу учитати за имплементацију било ког жељеног безбедносног модела. ЛСМ је у потпуности ушао у Линук кернел в2.6 2003. године.

ЛСМ оквир укључује заштитна поља у структурама података и позиве функцијама пресретања на критичним тачкама у коду кернела да би се њима манипулисало и извршила контрола приступа. Такође додаје функционалност за регистровање сигурносних модула. Интерфејс /сис/кернел/сецурити/лсм садржи листу активних модула на систему. ЛСМ куке се чувају у листама које се позивају редоследом наведеним у ЦОНФИГ_ЛСМ. Детаљна документација о кукицама је укључена у датотеку заглавља инцлуде/линук/лсм_хоокс.х.

ЛСМ подсистем је омогућио да се заврши потпуна интеграција СЕЛинук-а са истом верзијом стабилног Линук кернела в2.6. Скоро одмах, СЕЛинук је постао де фацто стандард за безбедно Линук окружење и био је укључен у најпопуларније дистрибуције: РедХат Ентерприсе Линук, Федора, Дебиан, Убунту.

СЕЛинук Глоссари

Идентитет — СЕЛинук корисник није исти као уобичајени Уник/Линук кориснички ИД; они могу коегзистирати на истом систему, али су у суштини потпуно различити. Сваки стандардни Линук налог може одговарати једном или више у СЕЛинук-у. СЕЛинук идентитет је део целокупног безбедносног контекста, који одређује којим доменима се можете придружити, а којим не.
domeni - У СЕЛинук-у, домен је контекст извршавања субјекта, односно процеса. Домен директно одређује приступ који процес има. Домен је у основи листа онога што процеси могу да ураде или шта процес може да уради са различитим типовима. Неки примери домена су сисадм_т за системску администрацију и усер_т који је нормалан непривилеговани кориснички домен. Инит систем ради у домену инит_т, а именовани процес ради у домену намед_т.
Улоге — Оно што служи као посредник између домена и СЕЛинук корисника. Улоге одређују којим доменима корисник може да припада и којим типовима објеката може да приступи. Овај механизам контроле приступа спречава претњу од напада ескалације привилегија. Улоге су уписане у безбедносни модел контроле приступа заснованог на улогама (РБАЦ) који се користи у СЕЛинук-у.
Типови — Атрибут листе за спровођење типа који је додељен објекту и одређује ко му може приступити. Слично дефиницији домена, само што се домен примењује на процес, а тип се примењује на објекте као што су директоријуми, датотеке, утичнице итд.
Субјекти и објекти - Процеси су субјекти и покрећу се у одређеном контексту или безбедносном домену. Ресурси оперативног система: датотеке, директоријуми, сокети итд., су објекти којима је додељен одређени тип, другим речима, ниво приватности.
СЕЛинук политике — СЕЛинук користи различите политике за заштиту система. СЕЛинук политика дефинише приступ корисника улогама, улоге доменима и домене типовима. Прво, корисник је овлашћен да добије улогу, затим улога је овлашћена за приступ доменима. Коначно, домен може имати приступ само одређеним типовима објеката.

ЛСМ и СЕЛинук архитектура

Упркос имену, ЛСМ-ови генерално нису учитави Линук модули. Међутим, као и СЕЛинук, он је директно интегрисан у кернел. Свака промена ЛСМ изворног кода захтева нову компилацију кернела. Одговарајућа опција мора бити омогућена у поставкама кернела, иначе ЛСМ код неће бити активиран након покретања. Али чак иу овом случају, то може бити омогућено опцијом ОС боотлоадер-а.

ЛСМ цхецк стацк

ЛСМ је опремљен кукицама у функцијама језгра језгра које могу бити релевантне за провере. Једна од главних карактеристика ЛСМ-а је да су наслагани. Дакле, стандардне провере се и даље врше, а сваки слој ЛСМ-а само додаје додатне контроле и контроле. То значи да се забрана не може повући. Ово је приказано на слици; ако је резултат рутинских ДАЦ провера грешка, онда ствар неће ни стићи до ЛСМ кука.

СЕЛинук усваја Фласк безбедносну архитектуру Флуке истраживачког оперативног система, посебно принцип најмање привилегија. Суштина овог концепта, као што му назив говори, је да кориснику или процесу додељује само она права која су неопходна за извршење намераваних радњи. Овај принцип је имплементиран коришћењем принудног куцања приступа, па се контрола приступа у СЕЛинук-у заснива на моделу типа домен =>.

Захваљујући принудном куцању приступа, СЕЛинук има много веће могућности контроле приступа него традиционални ДАЦ модел који се користи у Уник/Линук оперативним системима. На пример, можете ограничити број мрежног порта на који ће се фтп сервер повезати, дозволити писање и мењање датотека у одређеној фасцикли, али не и њихово брисање.

Главне компоненте СЕЛинук-а су:

Сервер за спровођење политике — Главни механизам за организовање контроле приступа.
База података о безбедносној политици система.
Интеракција са ЛСМ пресретачем догађаја.
Селинукфс - Псеудо-ФС, исти као /проц и монтиран у /сис/фс/селинук. Динамички се попуњава Линук кернелом у време извођења и садржи датотеке које садрже информације о статусу СЕЛинук-а.
Приступите векторској кеш меморији — Помоћни механизам за повећање продуктивности.

Како функционише СЕЛинук

Све ради овако.

Одређени субјект, у смислу СЕЛинук-а, извршава дозвољену радњу на објекту након ДАЦ провере, као што је приказано на горњој слици. Овај захтев за извођење операције иде до ЛСМ пресретача догађаја.
Одатле се захтев, заједно са безбедносним контекстом субјекта и објекта, прослеђује модулу СЕЛинук апстракције и закачивачке логике, који је одговоран за интеракцију са ЛСМ-ом.
Ауторитет за доношење одлука о приступу субјекта објекту је Сервер за спровођење политике и он прима податке од СЕЛинук АнХЛ-а.
Да би донео одлуке о приступу или одбијању, сервер за спровођење политике се окреће подсистему за кеширање векторског приступа (АВЦ) за најчешће коришћена правила.
Ако решење за одговарајуће правило није пронађено у кешу, онда се захтев прослеђује бази података безбедносних политика.
Резултат претраге из базе података и АВЦ-а се враћа серверу за спровођење политике.
Ако пронађена политика одговара траженој радњи, тада је операција дозвољена. У супротном, операција је забрањена.

Управљање поставкама СЕЛинук-а

СЕЛинук ради у једном од три режима:

Спровођење – Строго придржавање безбедносних политика.
Дозвољено - кршење ограничења је дозвољено, у часопису се прави одговарајућа напомена.
Онемогућено—Смернице безбедности нису на снази.

Можете видети у ком је режиму СЕЛинук помоћу следеће команде.

[admin@server ~]$ getenforce
Permissive

Промена режима пре поновног покретања, на пример, постављање на принудно, или 1. Параметар дозволе одговара нумеричком коду 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

Такође можете променити режим тако што ћете уредити датотеку:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
СЕЛИНУКСТИПЕ=циљ

Разлика са сетенфоцеом је у томе што када се оперативни систем покрене, режим СЕЛинук ће бити подешен у складу са вредношћу параметра СЕЛИНУКС у конфигурационој датотеци. Поред тога, промене у примени <=> онемогућене ступају на снагу само уређивањем датотеке /етц/селинук/цонфиг и након поновног покретања.

Погледајте кратак извештај о статусу:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
За преглед атрибута СЕЛинука, неки стандардни услужни програми користе параметар -З.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

У поређењу са нормалним излазом лс -л, постоји неколико додатних поља у следећем формату:

<user>:<role>:<type>:<level>

Последње поље означава нешто попут безбедносне класификације и састоји се од комбинације два елемента:

с0 - значајност, такође написана као интервал низак-високи ниво
ц0, ц1… ц1023 - категорија.

Промена конфигурације приступа

Користите семодуле за учитавање, додавање и уклањање СЕЛинук модула.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

Prvi tim семанаге логин повезује корисника СЕЛинука са корисником оперативног система, други приказује листу. Коначно, последња команда са прекидачем -р уклања мапирање корисника СЕЛинук-а на налоге ОС-а. Објашњење синтаксе за вредности МЛС/МЦС опсега налази се у претходном одељку.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
Тим семанаге усер користи се за управљање мапирањем између СЕЛинук корисника и улога.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

Параметри команде:

-унос прилагођеног мапирања улога;
-л листа одговарајућих корисника и улога;
-д брисање уноса мапирања улога корисника;
-Р листа улога придружених кориснику;

Фајлови, портови и логичке вредности

Сваки СЕЛинук модул обезбеђује скуп правила за означавање датотека, али можете додати и сопствена правила ако је потребно. На пример, желимо да веб сервер има права приступа директоријуму /срв/ввв.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

Прва команда региструје нова правила обележавања, а друга ресетује, односно поставља типове датотека у складу са тренутним правилима.

Исто тако, ТЦП/УДП портови су означени на начин да само одговарајући сервиси могу да их слушају. На пример, да би веб сервер слушао порт 8080, потребно је да покренете команду.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

Значајан број СЕЛинук модула има параметре који могу узети Булове вредности. Целокупна листа таквих параметара се може видети помоћу гетсебоол -а. Можете променити логичке вредности користећи сетсебоол.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

Радионица, приступите Пгадмин-веб интерфејсу

Погледајмо практичан пример: инсталирали смо пгадмин7.6-веб на РХЕЛ 4 да бисмо администрирали ПостгреСКЛ базу података. Прошетали смо мало потрага са подешавањима пг_хба.цонф, постгрескл.цонф и цонфиг_лоцал.пи, подесити дозволе фолдера, инсталирати недостајуће Питхон модуле из пип-а. Све је спремно, покрећемо и примамо 500 Интерна грешка сервера.

Почињемо са типичним осумњиченима, проверавајући /вар/лог/хттпд/еррор_лог. Тамо има неколико занимљивих уноса.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

У овом тренутку, већина Линук администратора ће бити у искушењу да покрене сетенцорце 0, и то ће бити крај. Искрено, то сам урадио први пут. Ово је наравно и излаз, али далеко од најбољег.

Упркос гломазном дизајну, СЕЛинук може бити лак за употребу. Само инсталирајте пакет сетроублесхоот и погледајте системски дневник.

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

Имајте на уму да се услуга аудитд мора поново покренути на овај начин, а не користећи системцтл, упркос присуству системд-а у ОС-у. У системском дневнику биће назначено не само чињеница блокирања, већ и разлог и начин да се превазиђе забрана.

Извршавамо ове команде:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1 [admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

Проверавамо приступ веб страници пгадмин4-веб, све ради.

Извор: ввв.хабр.цом

Линук безбедносни системи