איבערזעצונג פון דעם אַרטיקל צוגעגרייט פֿאַר קורס סטודענטן "לינוקס זיכערהייט"

SELinux אָדער Security Enhanced Linux איז אַן ענכאַנסט אַקסעס קאָנטראָל מעקאַניזאַם דעוועלאָפּעד דורך די יו. עס. נאַשאַנאַל סעקוריטי אַגענסי (NSA) צו פאַרמייַדן בייזע ינטרוזשאַנז. עס ימפּלאַמאַנץ אַ געצווונגען (אָדער מאַנדאַטאָרי) אַקסעס קאָנטראָל מאָדעל (ענגליש מאַנדאַטאָרי אַקסעס קאָנטראָל, MAC) אויף שפּיץ פון די יגזיסטינג דיסקרעשאַנערי (אָדער סעלעקטיוו) מאָדעל (ענגליש דיסקרעשאַנערי אַקסעס קאָנטראָל, DAC), דאָס איז, פּערמישאַנז צו לייענען, שרייַבן, ויספירן.

SELinux האט דריי מאָדעס:

ענפאָרסינג - צוטריט אָפּלייקענונג באזירט אויף פּאָליטיק כּללים.
פּערמיסיוו - האַלטן אַ קלאָץ פון אַקשאַנז וואָס אָנרירן די פּאָליטיק, וואָס וואָלט זיין פּראָוכיבאַטאַד אין די ענפאָרסינג מאָדע.
Disabled - גאַנץ דיסייבאַלינג פון SELinux.

דורך פעליקייַט די סעטטינגס זענען אין /etc/selinux/config

טשאַנגינג SELinux מאָדעס

צו געפֿינען די קראַנט מאָדע, לויפן

$ getenforce

צו טוישן די מאָדע צו פּערמיסיוו, לויפן די פאלגענדע באַפֿעל

$ setenforce 0

אָדער, צו טוישן מאָדע פון דערלויבעניש אויף ענפאָרסינג, וויפּאָלניטע

$ setenforce 1

אויב איר דאַרפֿן צו גאָר דיסייבאַל SELinux, דאָס קען זיין געטאן בלויז דורך די קאַנפיגיעריישאַן טעקע

$ vi /etc/selinux/config

צו דיסייבאַל, טוישן די SELINUX פּאַראַמעטער ווי גייט:

SELINUX=disabled

באַשטעטיקן SELinux

יעדער טעקע און פּראָצעס איז אנגעצייכנט מיט אַ SELinux קאָנטעקסט, וואָס כּולל נאָך אינפֿאָרמאַציע אַזאַ ווי באַניצער, ראָלע, טיפּ, עטק. אויב דאָס איז דיין ערשטער מאָל איר געבן SELinux, איר וועט ערשטער דאַרפֿן צו קאַנפיגיער די קאָנטעקסט און לאַבעלס. דער פּראָצעס פון אַסיינינג לאַבעלס און קאָנטעקסט איז באקאנט ווי טאַגינג. צו אָנהייבן מאַרקינג, אין די קאַנפיגיעריישאַן טעקע מיר טוישן די מאָדע צו דערלויבעניש.

$ vi /etc/selinux/config
SELINUX=permissive

נאָך באַשטעטיקן דעם מאָדע דערלויבעניש, שאַפֿן אַ ליידיק פאַרבאָרגן טעקע אין דער וואָרצל מיט דעם נאָמען autorelabel

$ touch /.autorelabel

און ריסטאַרט די קאָמפּיוטער

$ init 6

באַמערקונג: מיר נוצן די מאָדע דערלויבעניש פֿאַר מאַרקינג, זינט די נוצן פון דעם מאָדע ענפאָרסינג קען פאַרשאַפן די סיסטעם צו קראַך בעשאַס רעבאָאָט.

צי ניט זאָרג אויב די אראפקאפיע איז סטאַק אויף עטלעכע טעקע, מאַרקינג נעמט אַ בשעת. אַמאָל מאַרקינג איז גאַנץ און דיין סיסטעם איז בוטיד, איר קענען גיין צו די קאַנפיגיעריישאַן טעקע און שטעלן די מאָדע ענפאָרסינגאון אויך לויפן:

$ setenforce 1

איר האָט הצלחה ענייבאַלד SELinux אויף דיין קאָמפּיוטער.

מאָניטאָרינג די לאָגס

איר קען האָבן געפּלאָנטערט עטלעכע ערראָרס בעשאַס מאַרקינג אָדער בשעת די סיסטעם איז פליסנדיק. צו קאָנטראָלירן אויב דיין SELinux אַרבעט ריכטיק און אויב עס איז נישט בלאַקינג אַקסעס צו קיין פּאָרט, אַפּלאַקיישאַן, אאז"ו ו, איר דאַרפֿן צו קוקן אין די לאָגס. די SELinux קלאָץ איז ליגן אין /var/log/audit/audit.log, אָבער איר טאָן ניט דאַרפֿן צו לייענען די גאנצע זאַך צו געפֿינען ערראָרס. איר קענען נוצן די audit2why נוצן צו געפֿינען ערראָרס. לויפן די פאלגענדע באַפֿעל:

$ audit2why < /var/log/audit/audit.log

ווי אַ רעזולטאַט, איר וועט באַקומען אַ רשימה פון ערראָרס. אויב עס זענען קיין ערראָרס אין די קלאָץ, קיין אַרטיקלען וועט זיין געוויזן.

קאַנפיגיער SELinux פּאָליטיק

א SELinux פּאָליטיק איז אַ סכום פון כּללים וואָס רעגירן די SELinux זיכערהייט מעקאַניזאַם. א פּאָליטיק דיפיינז אַ סכום פון כּללים פֿאַר אַ ספּעציפיש סוויווע. איצט מיר וועלן לערנען ווי צו קאַנפיגיער פּאַלאַסיז צו לאָזן אַקסעס צו פּראָוכיבאַטאַד באַדינונגס.

1. לאַדזשיקאַל וואַלועס (סוויטשיז)

סוויטשיז (בולעאַנס) לאָזן איר צו טוישן פּאַרץ פון אַ פּאָליטיק אין רונטימע, אָן שאַפֿן נייַע פּאַלאַסיז. זיי לאָזן איר צו מאַכן ענדערונגען אָן ריסטאַרטינג אָדער ריקאָמפּיילינג SELinux פּאַלאַסיז.

בייַשפּיל
זאל ס זאָגן מיר ווילן צו טיילן אַ באַניצער 'ס היים וועגווייַזער דורך פטפּ לייענען / שרייַבן, און מיר האָבן שוין שערד עס, אָבער ווען מיר פּרובירן צו אַקסעס, מיר טאָן ניט זען עפּעס. דאָס איז ווייַל SELinux פּאָליטיק פּריווענץ די פטפּ סערווער פון לייענען און שרייבן צו דער באַניצער 'ס היים וועגווייַזער. מיר דאַרפֿן צו טוישן די פּאָליטיק אַזוי אַז די פטפּ סערווער קענען צוטריט היים דירעקטעריז. זאל ס זען אויב עס זענען קיין סוויטשיז פֿאַר דעם דורך טאן

$ semanage boolean -l

דער באַפֿעל וועט רשימה די בנימצא סוויטשאַז מיט זייער קראַנט שטאַט (אויף אָדער אַוועק) און באַשרייַבונג. איר קענען ראַפינירן דיין זוכן דורך אַדינג grep צו געפֿינען ftp-בלויז רעזולטאַטן:

$ semanage boolean -l | grep ftp

און איר וועט געפֿינען די פאלגענדע

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

דער באַשטימען איז פאַרקריפּלט, אַזוי מיר וועלן געבן עס מיט setsebool $ setsebool ftp_home_dir on

איצט אונדזער פטפּ דיימאַן וועט קענען צו אַקסעס די באַניצער 'ס היים וועגווייַזער.
באַמערקונג: איר קענט אויך באַקומען אַ רשימה פון פאַראַנען סוויטשיז אָן אַ באַשרייַבונג getsebool -a

2. לאַבעלס און קאָנטעקסט

דאָס איז די מערסט פּראָסט וועג צו ינסטרומענט SELinux פּאָליטיק. יעדער טעקע, טעקע, פּראָצעס און פּאָרט איז אנגעצייכנט מיט די SELinux קאָנטעקסט:

פֿאַר טעקעס און פאָלדערס, לאַבעלס זענען סטאָרד ווי עקסטענדעד אַטריביוץ אויף די טעקע סיסטעם און קענען זיין וויוד מיט די פאלגענדע באַפֿעל:
```
$ ls -Z /etc/httpd
```
פֿאַר פּראַסעסאַז און פּאָרץ, די לייבלינג איז געראטן דורך די קערן, און איר קענען זען די לאַבעלס ווי גייט:

פּראָצעס

$ ps –auxZ | grep httpd

port

$ netstat -anpZ | grep httpd

בייַשפּיל
איצט לאָזן ס קוק אין אַ ביישפּיל צו בעסער פֿאַרשטיין לאַבעלס און קאָנטעקסט. זאל ס זאָגן מיר האָבן אַ וועב סערווער אַז אַנשטאָט פון אַ וועגווייַזער /var/www/html/ использует /home/dan/html/. SELinux וועט באַטראַכטן דעם אַ הילעל פון פּאָליטיק און איר וועט נישט קענען צו זען דיין וועב זייַטלעך. דאָס איז ווייַל מיר האָבן נישט שטעלן די זיכערהייט קאָנטעקסט פארבונדן מיט די HTML טעקעס. צו זען די פעליקייַט זיכערהייט קאָנטעקסט, נוצן די פאלגענדע באַפֿעל:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

דאָ מיר גאַט httpd_sys_content_t ווי קאָנטעקסט פֿאַר HTML טעקעס. מיר דאַרפֿן צו שטעלן דעם זיכערהייט קאָנטעקסט פֿאַר אונדזער קראַנט וועגווייַזער, וואָס דערווייַל האט די פאלגענדע קאָנטעקסט:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

אַן אָלטערנאַטיוו באַפֿעל צו קאָנטראָלירן די זיכערהייט קאָנטעקסט פון אַ טעקע אָדער וועגווייַזער:

$ semanage fcontext -l | grep '/var/www'

מיר וועלן אויך נוצן סעמאַנאַגע צו טוישן דעם קאָנטעקסט אַמאָל מיר האָבן געפֿונען די ריכטיק זיכערהייט קאָנטעקסט. צו טוישן דעם קאָנטעקסט פון /home/dan/html, לויפן די פאלגענדע קאַמאַנדז:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

נאָך דעם קאָנטעקסט איז פארענדערט מיט סעמאַנאַגע, די רעסטאָרעקאָן באַפֿעל וועט לאָדן די פעליקייַט קאָנטעקסט פֿאַר טעקעס און דיירעקטעריז. אונדזער וועב סערווער וועט איצט קענען צו לייענען טעקעס פֿון דער טעקע /home/dan/htmlווייַל די זיכערהייט קאָנטעקסט פֿאַר דעם טעקע איז געביטן צו httpd_sys_content_t.

3. שאַפֿן היגע פּאַלאַסיז

עס קען זיין סיטואַטיאָנס ווו די אויבן מעטהאָדס זענען פון קיין נוצן פֿאַר איר און איר באַקומען ערראָרס (אַווק / אָפּלייקענונג) אין audit.log. ווען דאָס כאַפּאַנז, איר דאַרפֿן צו שאַפֿן אַ היגע פּאָליטיק. איר קענען געפֿינען אַלע ערראָרס ניצן Audi2why, ווי דיסקרייבד אויבן.

איר קענען מאַכן אַ היגע פּאָליטיק צו סאָלווע ערראָרס. פֿאַר בייַשפּיל, מיר באַקומען אַ טעות שייַכות צו httpd (אַפּאַטשי) אָדער smbd (samba), מיר גרעפּ די ערראָרס און שאַפֿן אַ פּאָליטיק פֿאַר זיי:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

דאָ http_policy и smb_policy זענען די נעמען פון די היגע פּאַלאַסיז וואָס מיר באשאפן. איצט מיר דאַרפֿן צו מאַסע די באשאפן היגע פּאַלאַסיז אין די קראַנט SELinux פּאָליטיק. דאָס קען זיין געטאן ווי גייט:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

אונדזער לאקאלע פּאַלאַסיז זענען דאַונלאָודיד און מיר זאָל ניט מער באַקומען קיין AVC אָדער דינייל אין audit.log.

דאָס איז געווען מיין פּרווון צו העלפֿן איר פֿאַרשטיין SELinux. איך האָפֿן אַז נאָך לייענען דעם אַרטיקל איר וועט פילן מער באַקוועם מיט SELinux.

מקור: www.habr.com

א אָנהייבער גייד צו SELinux