Как установить политику в SELinux

Одна из основных причин, по которой люди выбирают Linux, - это безопасность, которую он предлагает. Вот почему вы найдете Linux на серверах и профессиональных рабочих станциях. SELinux - одна из таких функций безопасности Linux. Долгое время он был частью стандартного ядра Linux, и любой современный дистрибутив имеет поддержку SELinux.

SELinux может работать несколькими способами. Это определяется политикой SELinux. В этом руководстве вы узнаете больше о политиках SELinux и о том, как установить политику в SELinux.

Обзор политики SELinux

Давайте кратко рассмотрим SELinux и его политики. SELinux - это аббревиатура от «Security-Enhanced Linux».”Он включает в себя серию исправлений безопасности для ядра Linux. SELinux был первоначально разработан Агентством национальной безопасности (NSA) и выпущен сообществу разработчиков ПО с открытым исходным кодом в 2000 году по лицензии GPL. Он был объединен с основным ядром Linux в 2003 году.

SELinux предоставляет MAC (обязательный контроль доступа), а не DAC по умолчанию (дискреционный контроль доступа). Это позволяет реализовать некоторые политики безопасности, которые невозможно было бы реализовать в противном случае.

Политики SELinux - это наборы правил, которыми руководствуется механизм безопасности SELinux. Политика определяет типы файловых объектов и доменов для процессов. Роли используются для ограничения доступа к доменам. Идентификаторы пользователей определяют, какие роли могут быть достигнуты.
Доступны две политики SELinux:

• Целевые: политика по умолчанию. Реализует контроль доступа к целевым процессам. Процессы выполняются в ограниченном домене, где процесс имеет ограниченный доступ к файлам. Если ограниченный процесс скомпрометирован, ущерб уменьшен. В случае сервисов в эти домены помещаются только определенные сервисы.
• MLS: означает многоуровневую безопасность. Ознакомьтесь с документацией Red Hat по политике SELinux MLS.

Процессы, которые не являются целевыми, будут выполняться в неограниченном домене. Процессы, запущенные в неограниченных доменах, пользуются почти полным доступом. Если такой процесс скомпрометирован, SELinux не предлагает никаких мер защиты. Злоумышленник может получить доступ ко всей системе и ресурсам. Однако правила DAC по-прежнему применяются для неограниченных доменов.
Ниже приводится краткий список примеров неограниченных доменов:

• домен initrc_t: программы инициализации
• kernel_t domain: процессы ядра
• домен unlimited_t: пользователи вошли в систему Linux

Изменение политики SELinux

Следующие примеры выполняются в CentOS 8. Все команды в этой статье выполняются от имени пользователя root. Для других дистрибутивов ознакомьтесь с соответствующим руководством о том, как включить SELinux.
Чтобы изменить политику в SELinux, начните с проверки статуса SELinux. Статус по умолчанию должен быть включен SELinux в «принудительном» режиме с «целевой» политикой.

$ sestatus

Чтобы изменить политику SELinux, откройте файл конфигурации SELinux в своем любимом текстовом редакторе.

$ vim / и т. д. / selinux / config

Здесь наша цель - переменная «SELINUXTYPE», которая определяет политику SELinux. Как видите, значение по умолчанию - «таргетинг.”

Все шаги, продемонстрированные в этом примере, выполняются в CentOS 8. В случае CentOS политика MLS не устанавливается по умолчанию. То же самое, вероятно, будет иметь место и в других дистрибутивах. Узнайте, как настроить SELinux в Ubuntu здесь. Обязательно сначала установите программу. В случае Ubuntu, CentOS, openSUSE, Fedora, Debian и других имя пакета - «selinux-policy-mls.”

$ dnf установить selinux-policy-mls

В этом случае мы переключим политику на MLS. Соответственно измените значение переменной.

$ SELINUXTYPE = мл

Сохраните файл и выйдите из редактора. Чтобы эти изменения вступили в силу, необходимо перезагрузить систему.

$ перезагрузка

Проверьте изменение, выполнив следующие.

$ sestatus

Изменение режимов SELinux

SELinux может работать в трех разных режимах. Эти режимы определяют, как применяется политика.

• Принудительно: любое действие против политики блокируется и регистрируется в журнале аудита.
• Разрешительный: любое действие против политики регистрируется только в журнале аудита.
• Отключено: SELinux отключен.

Чтобы временно изменить режим в SELinux, используйте команду setenforce. Если система будет перезагружена, система вернется к настройкам по умолчанию.

$ setenforce Enforcing

$ setenced Permissive

Чтобы навсегда изменить режим в SELinux, вы должны настроить файл конфигурации SELinux.

$ vim / и т. д. / selinux / config

Сохраните и закройте редактор. Перезагрузите систему, чтобы изменения вступили в силу.
Вы можете проверить изменение с помощью команды sestatus.

$ sestatus

Заключение

SELinux - мощный механизм обеспечения безопасности. Надеюсь, это руководство помогло вам научиться настраивать и управлять поведением SELinux.
Удачных вычислений!