Jak ustawić politykę na SELinux

Jednym z głównych powodów, dla których ludzie wybierają Linuksa, jest oferowane przez niego bezpieczeństwo. Dlatego Linuxa znajdziesz na serwerach i profesjonalnych stacjach roboczych. SELinux to jedna z takich funkcji bezpieczeństwa Linuksa. Od dłuższego czasu jest częścią standardowego jądra Linuksa, a każda nowoczesna dystrybucja obsługuje SELinux.

Istnieje kilka różnych sposobów działania SELinux. Określa to polityka SELinux. W tym przewodniku dowiesz się więcej o politykach SELinux i jak ustawić politykę w SELinux.

Przegląd zasad SELinux

Przyjrzyjmy się krótkiemu opisowi SELinuksa i jego zasad. SELinux to akronim od „Linuks ze wzmocnionymi zabezpieczeniami”.” Zawiera serię poprawek bezpieczeństwa do jądra Linuksa. SELinux został pierwotnie opracowany przez Narodową Agencję Bezpieczeństwa (NSA) i udostępniony społeczności programistów open-source w 2000 roku na licencji GPL. Został połączony z głównym jądrem Linuksa w 2003 roku.

SELinux zapewnia MAC (Mandatory Access Control) zamiast domyślnego DAC (Discretionary Access Control). Pozwala to na implementację pewnych polityk bezpieczeństwa, które w innym przypadku nie byłyby możliwe do zrealizowania.

Polityki SELinux to zestawy reguł, które kierują silnikiem bezpieczeństwa SELinux. Polityka definiuje typy obiektów plików i domen dla procesów. Role służą do ograniczania dostępu do domen. Tożsamości użytkowników określają, jakie role można pełnić.
Dostępne są dwie polityki SELinux:

• Ukierunkowane: domyślna polityka. Wdraża kontrolę dostępu do docelowych procesów. Procesy działają w zamkniętej domenie, w której proces ma ograniczony dostęp do plików. Jeśli ograniczony proces zostanie naruszony, szkody zostaną złagodzone. W przypadku usług w tych domenach umieszczane są tylko określone usługi.
• MLS: oznacza wielopoziomowe bezpieczeństwo. Sprawdź dokumentację Red Hat dotyczącą polityki SELinux MLS.

Procesy, które nie są kierowane, będą działać w nieograniczonej domenie. Procesy działające w nieograniczonych domenach cieszą się niemal pełnym dostępem. Jeśli taki proces zostanie naruszony, SELinux nie oferuje żadnych środków łagodzących. Atakujący może uzyskać dostęp do całego systemu i zasobów. Jednak zasady DAC nadal obowiązują dla nieograniczonych domen.
Poniżej znajduje się krótka lista przykładów nieograniczonych domen:

• domena initrc_t: programy startowe
• kernel_t domena: procesy jądra
• domena unconfined_t: użytkownicy zalogowani do systemu Linux

Zmiana polityki SELinux

Poniższe przykłady są wykonywane w CentOS 8. Wszystkie polecenia w tym artykule są uruchamiane jako użytkownik root. W przypadku innych dystrybucji zapoznaj się z odpowiednim samouczkiem dotyczącym włączania SELinux.
Aby zmienić politykę w SELinux, zacznij od sprawdzenia statusu SELinux. Domyślnym statusem powinien być włączony SELinux w trybie „Wymuszanie” z polityką „docelową”.

$ status

Aby zmienić politykę SELinux, otwórz plik konfiguracyjny SELinux w swoim ulubionym edytorze tekstu.

$ vim /etc/selinux/config

Tutaj naszym celem jest zmienna „SELINUXTYPE”, która definiuje politykę SELinux. Jak widać, domyślna wartość to „targeted.”

Wszystkie kroki pokazane w tym przykładzie są wykonywane w CentOS 8. W przypadku CentOS polityka MLS nie jest domyślnie instalowana. Jest to prawdopodobne również w innych dystrybucjach. Dowiedz się, jak skonfigurować SELinux na Ubuntu tutaj. Pamiętaj, aby najpierw zainstalować program. W przypadku Ubuntu, CentOS, openSUSE, Fedory, Debian i innych, nazwa pakietu to „selinux-policy-mls.”

$ dnf zainstaluj selinux-policy-mls

W takim przypadku zmienimy politykę na MLS. Zmień odpowiednio wartość zmiennej.

$ SELINUXTYPE=mls

Zapisz plik i wyjdź z edytora. Aby wprowadzić te zmiany w życie, musisz ponownie uruchomić system.

$ restart

Zweryfikuj zmianę, wydając następujące.

$ status

Zmiana trybów SELinux

SELinux może działać w trzech różnych trybach. Te tryby określają sposób egzekwowania zasad.

• Wymuszone: wszelkie działania przeciwko polityce są blokowane i zgłaszane w dzienniku audytu.
• Tolerancyjny: wszelkie działania wbrew zasadom są zgłaszane tylko w dzienniku audytu.
• Wyłączone: SELinux jest wyłączony.

Aby tymczasowo zmienić tryb w SELinux, użyj polecenia setenforce. Jeśli system zostanie ponownie uruchomiony, system powróci do ustawień domyślnych.

$ setenforce Wymuszanie

$ setenforced Tolerancyjny

Aby na stałe zmienić tryb w SELinux, musisz dostosować plik konfiguracyjny SELinux.

$ vim /etc/selinux/config

Zapisz i zamknij edytor. Uruchom ponownie system, aby wprowadzić zmiany w życie.
Możesz zweryfikować zmianę za pomocą polecenia sestatus.

$ status

Wniosek

SELinux to potężny mechanizm egzekwowania bezpieczeństwa. Mamy nadzieję, że ten przewodnik pomógł ci nauczyć się konfigurować i zarządzać zachowaniem SELinux.
Udanych komputerów!