איבערזעצונג פון דעם אַרטיקל צוגעגרייט פֿאַר קורס סטודענטן "זיכערקייט Linux»

SELinux אדער פֿאַרבעסערטע זיכערהייט Linux MAC איז אַ פֿאַרבעסערטער צוטריט קאָנטראָל מעקאַניזם דעוועלאָפּעד דורך די יו. עס. נאַציאָנאַלע זיכערהייט אַגענטור (NSA) צו פאַרמייַדן בייזוויליקע ינטרוזשאַנז. עס ימפּלעמענטירט אַ מאַנדאַטאָרי צוטריט קאָנטראָל (MAC) מאָדעל אויף שפּיץ פון די עקסיסטירנדיק דיסקרעשאַנערי צוטריט קאָנטראָל (DAC) מאָדעל, וואָס כולל לייענען, שרייַבן און עקסעקוטירן פּערמישאַנז.

אין דרום-מזרחLinux עס זענען דא דריי מאָדעס:

1. ענפאָרסינג - צוטריט אָפּלייקענונג באזירט אויף פּאָליטיק כּללים.
2. פּערמיסיוו - האַלטן אַ קלאָץ פון אַקשאַנז וואָס אָנרירן די פּאָליטיק, וואָס וואָלט זיין פּראָוכיבאַטאַד אין די ענפאָרסינג מאָדע.
3. Disabled — פולשטענדיגע פארשליסונג פון SELinux.

דורך פעליקייַט די סעטטינגס זענען אין /etc/selinux/config

טוישן SE מאָדעסLinux

צו געפֿינען די קראַנט מאָדע, לויפן

$ getenforce

צו טוישן די מאָדע צו פּערמיסיוו, לויפן די פאלגענדע באַפֿעל

$ setenforce 0

אָדער, צו טוישן מאָדע פון דערלויבעניש אויף ענפאָרסינג, וויפּאָלניטע

$ setenforce 1

אויב איר דאַרפֿט גאָר דיאַקטיווירן SELinux, דעמאָלט קען דאָס נאָר געטאָן ווערן דורך די קאָנפיגוראַציע טעקע

$ vi /etc/selinux/config

צו דיסייבאַל, טוישן די SELINUX פּאַראַמעטער ווי גייט:

SELINUX=disabled

אויפשטעלן SELinux

יעדע טעקע און פּראָצעס איז געצייכנט מיט אַן SE קאָנטעקסטLinux, וואָס כּולל נאָך אינפֿאָרמאַציע ווי באַניצער, ראָלע, טיפּ, אאַז"וו. אויב איר אַקטיוויזירט SE צום ערשטן מאָלLinux, דעמאָלט דאַרפֿסטו ערשט קאָנפֿיגורירן דעם קאָנטעקסט און די לייבאַלס. דער פּראָצעס פֿון צוטיילן לייבאַלס און קאָנטעקסט איז באַקאַנט ווי לייבאַלינג. כּדי אָנצוהייבן לייבאַלינג, טוישט דעם מאָדוס אין דער קאָנפֿיגוראַציע טעקע צו דערלויבעניש.

$ vi /etc/selinux/config
SELINUX=permissive

נאָך באַשטעטיקן דעם מאָדע דערלויבעניש, שאַפֿן אַ ליידיק פאַרבאָרגן טעקע אין דער וואָרצל מיט דעם נאָמען autorelabel

$ touch /.autorelabel

און ריסטאַרט די קאָמפּיוטער

$ init 6

באַמערקונג: מיר נוצן די מאָדע דערלויבעניש פֿאַר מאַרקינג, זינט די נוצן פון דעם מאָדע ענפאָרסינג קען פאַרשאַפן די סיסטעם צו קראַך בעשאַס רעבאָאָט.

צי ניט זאָרג אויב די אראפקאפיע איז סטאַק אויף עטלעכע טעקע, מאַרקינג נעמט אַ בשעת. אַמאָל מאַרקינג איז גאַנץ און דיין סיסטעם איז בוטיד, איר קענען גיין צו די קאַנפיגיעריישאַן טעקע און שטעלן די מאָדע ענפאָרסינגאון אויך לויפן:

$ setenforce 1

איצט האָט איר הצלחה אַקטיוויזירט SELinux אויף דיין קאָמפּיוטער.

מאָניטאָרינג די לאָגס

איר האָט מעגלעך געטראָפן עטלעכע טעותים בעתן לייבאַלינג אָדער בשעת די סיסטעם איז געלאָפן. צו קאָנטראָלירן צי אייער SE אַרבעט.Linux איר דאַרפֿט קאָנטראָלירן די לאָגס צו זען צי עס איז ריכטיק און צי עס בלאָקירט צוטריט צו קיין פּאָרטן, אַפּליקאַציעס, אאַ"וו. SE לאָגLinux איז אין /var/log/audit/audit.log, אָבער איר טאָן ניט דאַרפֿן צו לייענען די גאנצע זאַך צו געפֿינען ערראָרס. איר קענען נוצן די audit2why נוצן צו געפֿינען ערראָרס. לויפן די פאלגענדע באַפֿעל:

$ audit2why < /var/log/audit/audit.log

ווי אַ רעזולטאַט, איר וועט באַקומען אַ רשימה פון ערראָרס. אויב עס זענען קיין ערראָרס אין די קלאָץ, קיין אַרטיקלען וועט זיין געוויזן.

אויפשטעלן SE פאליסיLinux

SE פּאָליטיקLinux — איז אַ סכום כּללים וואָס פירן דעם SE זיכערהייט מעханіזםLinuxא פאליסי דעפינירט א סכום רעגולאציעס פאר א ספעציפישע סביבה. יעצט וועלן מיר לערנען ווי אזוי צו קאנפיגורירן פאליסיס צו ערלויבן צוטריט צו באגרענעצטע סערוויסעס.

1. לאַדזשיקאַל וואַלועס (סוויטשיז)

בולעאַנס לאָזן אייך ענדערן טיילן פון אַ פּאָליטיק אין לויף-צייט, אָן צו דאַרפֿן שאַפֿן נײַע פּאָליטיקס. זיי לאָזן אייך מאַכן ענדערונגען אָן ריסטאַרטן אָדער איבערקאָמפּיילן די SE פּאָליטיקס.Linux.

בייַשפּיל
לאָמיר זאָגן מיר ווילן טיילן אַ באַניצער'ס היים דירעקטאָרי דורך FTP פֿאַר לייענען און שרייבן אַקסעס, און מיר האָבן עס שוין געטיילט, אָבער ווען מיר פּרובירן צו אַקסעס עס, זען מיר גאָרנישט. דאָס איז ווייַל די SE פּאָליטיקLinux פאַרהיט דעם FTP סערווער פון לייענען און שרייבן צו דעם באַניצער'ס היים דירעקטאָרי. מיר דאַרפן ענדערן די פּאָליטיק צו דערלויבן דעם FTP סערווער צו אַקסעס היים דירעקטאָריעס. לאָמיר זען אויב עס זענען דאָ קיין סוויטשיז פֿאַר דעם דורך לויפן

$ semanage boolean -l

דער באַפֿעל וועט רשימה די בנימצא סוויטשאַז מיט זייער קראַנט שטאַט (אויף אָדער אַוועק) און באַשרייַבונג. איר קענען ראַפינירן דיין זוכן דורך אַדינג grep צו געפֿינען ftp-בלויז רעזולטאַטן:

$ semanage boolean -l | grep ftp

און איר וועט געפֿינען די פאלגענדע

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

דער באַשטימען איז פאַרקריפּלט, אַזוי מיר וועלן געבן עס מיט setsebool $ setsebool ftp_home_dir on

איצט אונדזער פטפּ דיימאַן וועט קענען צו אַקסעס די באַניצער 'ס היים וועגווייַזער.
באַמערקונג: איר קענט אויך באַקומען אַ רשימה פון פאַראַנען סוויטשיז אָן אַ באַשרייַבונג getsebool -a

2. לאַבעלס און קאָנטעקסט

דאָס איז דער מערסט געוויינטלעכער וועג פון ימפּלעמענטירן SE פּאָליטיק.Linuxיעדע טעקע, טעקע, פּראָצעס און פּאָרט איז געמאַרקט מיט אַן SE קאָנטעקסט.Linux:

• פֿאַר טעקעס און פאָלדערס, לאַבעלס זענען סטאָרד ווי עקסטענדעד אַטריביוץ אויף די טעקע סיסטעם און קענען זיין וויוד מיט די פאלגענדע באַפֿעל:

  $ ls -Z /etc/httpd

• פֿאַר פּראַסעסאַז און פּאָרץ, די לייבלינג איז געראטן דורך די קערן, און איר קענען זען די לאַבעלס ווי גייט:

פּראָצעס

$ ps –auxZ | grep httpd

port

$ netstat -anpZ | grep httpd

בייַשפּיל
איצט לאָמיר קוקן אויף אַ בייַשפּיל צו בעסער פֿאַרשטיין די עטיקעטן און קאָנטעקסט. לאָמיר זאָגן מיר האָבן וועב סערווער, וואָס אַנשטאָט אַ קאַטאַלאָג /var/www/html/ использует /home/dan/html/. SELinux וועט באַטראַכטן דאָס ווי אַ פּאָליטיק ווייאַליישאַן, און איר וועט נישט קענען זען אייערע וועב זייַטלעך. דאָס איז ווייַל מיר האָבן נישט באַשטעטיקט דעם זיכערהייט קאָנטעקסט פֿאַרבונדן מיט HTML טעקעס. צו זען דעם פעליקייַט זיכערהייט קאָנטעקסט, ניצט די פאלגענדע באַפֿעל:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

דאָ מיר גאַט httpd_sys_content_t ווי קאָנטעקסט פֿאַר HTML טעקעס. מיר דאַרפֿן צו שטעלן דעם זיכערהייט קאָנטעקסט פֿאַר אונדזער קראַנט וועגווייַזער, וואָס דערווייַל האט די פאלגענדע קאָנטעקסט:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

אַן אָלטערנאַטיוו באַפֿעל צו קאָנטראָלירן די זיכערהייט קאָנטעקסט פון אַ טעקע אָדער וועגווייַזער:

$ semanage fcontext -l | grep '/var/www'

מיר וועלן אויך נוצן סעמאַנאַגע צו טוישן דעם קאָנטעקסט אַמאָל מיר האָבן געפֿונען די ריכטיק זיכערהייט קאָנטעקסט. צו טוישן דעם קאָנטעקסט פון /home/dan/html, לויפן די פאלגענדע קאַמאַנדז:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

נאָך דעם קאָנטעקסט איז פארענדערט מיט סעמאַנאַגע, די רעסטאָרעקאָן באַפֿעל וועט לאָדן די פעליקייַט קאָנטעקסט פֿאַר טעקעס און דיירעקטעריז. אונדזער וועב סערווער וועט איצט קענען צו לייענען טעקעס פֿון דער טעקע /home/dan/htmlווייַל די זיכערהייט קאָנטעקסט פֿאַר דעם טעקע איז געביטן צו httpd_sys_content_t.

3. שאַפֿן היגע פּאַלאַסיז

עס קען זיין סיטואַטיאָנס ווו די אויבן מעטהאָדס זענען פון קיין נוצן פֿאַר איר און איר באַקומען ערראָרס (אַווק / אָפּלייקענונג) אין audit.log. ווען דאָס כאַפּאַנז, איר דאַרפֿן צו שאַפֿן אַ היגע פּאָליטיק. איר קענען געפֿינען אַלע ערראָרס ניצן Audi2why, ווי דיסקרייבד אויבן.

איר קענען מאַכן אַ היגע פּאָליטיק צו סאָלווע ערראָרס. פֿאַר בייַשפּיל, מיר באַקומען אַ טעות שייַכות צו httpd (אַפּאַטשי) אָדער smbd (samba), מיר גרעפּ די ערראָרס און שאַפֿן אַ פּאָליטיק פֿאַר זיי:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

דאָ http_policy и smb_policy — דאָס זענען די נעמען פֿון די לאָקאַלע פּאָליטיקס וואָס מיר האָבן באַשאַפֿן. איצט דאַרפֿן מיר אַרײַנלאָדן די באַשאַפֿענע לאָקאַלע פּאָליטיקס אין דער איצטיקער SE פּאָליטיק.Linux. דאָס קען זיין געטאן ווי גייט:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

אונדזער לאקאלע פּאַלאַסיז זענען דאַונלאָודיד און מיר זאָל ניט מער באַקומען קיין AVC אָדער דינייל אין audit.log.

דאָס איז געווען מײַן פּרוּוו צו העלפֿן אײַך פֿאַרשטיין SELinuxאיך האף אז נאכן לייענען דעם ארטיקל וועט איר זיך פילן באקוועם מיט SELinux מער באַקוועם.

מקור: www.habr.com