So setzen Sie eine Richtlinie für Selinux

So setzen Sie eine Richtlinie für Selinux
Einer der Hauptgründe, warum Menschen Linux wählen, ist die Sicherheit, die sie bietet. Aus diesem Grund finden Sie Linux bei Servern und professionellen Workstations Linux. Selinux ist eine solche Sicherheitsfunktion von Linux. Es ist seit einiger Zeit ein Teil des Standard -Linux -Kernels, und jede moderne Distribution hat Selinux -Unterstützung.

Es gibt verschiedene Möglichkeiten, wie Selinux funktionieren kann. Dies wird durch die Selinux -Richtlinie definiert. In diesem Leitfaden erfahren Sie mehr über Selinux -Richtlinien und die Festlegung einer Richtlinie in Selinux.

Selinux -Richtlinienübersicht

Lassen Sie uns einen kurzen Überblick über Selinux und seine Richtlinien haben. Selinux ist eine Abkürzung für „Sicherheitsverbesserte Linux.Es umfasst eine Reihe von Sicherheitspatches für den Linux -Kernel. Selinux wurde ursprünglich von der National Security Agency (NSA) entwickelt und im Jahr 2000 unter der GPL-Lizenz für die Open-Source-Entwicklungsgemeinschaft veröffentlicht. Es wurde 2003 mit dem Mainline Linux -Kernel verschmolzen.

Selinux bietet MAC (obligatorische Zugriffskontrolle) anstelle des Standard -DAC (Diskretionary Access Control) anstelle des Standard -DAC (Diskretionary Access Control). Dies ermöglicht die Implementierung einiger Sicherheitsrichtlinien, die sonst nicht implementiert werden können.

SELINUX -Richtlinien sind Regelnsätze, die die Selinux -Sicherheitsmotor leiten. Eine Richtlinie definiert Typen für Dateiobjekte und Domänen für Prozesse. Rollen werden verwendet, um den Zugriff auf Domänen einzuschränken. Benutzeridentitäten bestimmen, welche Rollen erreicht werden können.
Es gibt zwei Selinux -Richtlinien:

  • Gezielt: Die Standardrichtlinie. Implementiert die Zugriffskontrolle für gezielte Prozesse. Die Prozesse werden in einer engen Domäne ausgeführt, in der der Prozess nur begrenzten Zugriff auf Dateien hat. Wenn ein begrenzter Prozess beeinträchtigt wird, wird der Schaden gemindert. Im Falle von Dienstleistungen werden nur bestimmte Dienste in diese Bereiche eingebaut.
  • MLS: steht für mehrstufige Sicherheit. Schauen Sie sich die Red Hat -Dokumentation in der Selinux -MLS -Richtlinie an.

Prozesse, die nicht gezielt werden. Prozesse, die in uneingeschränkten Domänen ausgeführt werden, genießen einen fast vollständigen Zugang. Wenn ein solcher Prozess beeinträchtigt ist, bietet Selinux keine Minderung an. Der Angreifer kann Zugriff auf das gesamte System und die gesamten Ressourcen erhalten. Die DAC -Regeln gelten jedoch weiterhin für die nicht begrenzten Domänen.
Im Folgenden finden Sie eine kurze Liste von Beispielen für unbefestigte Domänen:

  • Initrc_t Domain: Init -Programme
  • KERNEL_T -Domäne: Kernelprozesse
  • Domäne confined_t: Benutzer haben sich im Linux -System angemeldet

Änderung der Selinux -Richtlinie

Die folgenden Beispiele werden in CentOS 8 durchgeführt. Alle Befehle in diesem Artikel werden als Root -Benutzer ausgeführt. Weitere Distributiere finden Sie im entsprechenden Tutorial, wie Sie Selinux aktivieren können.
Um eine Richtlinie in Selinux zu ändern, überprüfen Sie zunächst den Selinux -Status. Der Standardstatus sollte Selinux im Modus "Durchsetzung" mit der "gezielten" Richtlinie aktiviert sein.

$ sestatus


Um die Selinux -Richtlinie zu ändern, öffnen Sie die Selinux -Konfigurationsdatei in Ihrem bevorzugten Texteditor.

$ vim/etc/selinux/config


Hier ist unser Ziel die Variable "selinuxType", die die Selinux -Richtlinie definiert. Wie Sie sehen können, ist der Standardwert „gezielt gezielt.”

Alle in diesem Beispiel gezeigten Schritte werden in CentOS 8 durchgeführt. Im Fall von CentOS wird die MLS -Richtlinie standardmäßig nicht installiert. Dies ist wahrscheinlich auch in anderen Distributionen der Fall. Erfahren Sie hier, wie Sie SELinux auf Ubuntu konfigurieren. Stellen Sie sicher, dass Sie das Programm zuerst installieren. Im Fall von Ubuntu, Centos, OpenSuse, Fedora, Debian und anderen lautet der Paketname „Selinux-Policy-MLS.”

$ dnf installieren selinux-policy-mls installieren


In diesem Fall werden wir die Richtlinie auf MLS wechseln. Ändern Sie den Wert der Variablen entsprechend.

$ SelinuxType = mls

Speichern Sie die Datei und beenden Sie den Editor. Um diese Änderungen in Kraft zu setzen, müssen Sie das System neu starten.

$ Neustart

Überprüfen Sie die Änderung, indem Sie Folgendes ausstellen.

$ sestatus

Ändern von Selinux -Modi

Selinux kann in drei verschiedenen Modi arbeiten. Diese Modi bestimmen, wie die Richtlinie durchgesetzt wird.

  • Durchgesetzt: Jede Maßnahmen gegen die Richtlinie werden im Audit -Protokoll blockiert und gemeldet.
  • Zulässig: Jede Klage gegen die Richtlinie wird nur im Audit -Protokoll gemeldet.
  • Deaktiviert: Selinux ist deaktiviert.

Verwenden Sie den Befehl setEnforce, um den Modus in Selinux vorübergehend zu ändern. Wenn das System neu gestartet wird, kehrt das System zur Standardeinstellung zurück.

$ setEnforce Durchsetzung
$ setEntrenced talision


Um den Modus in Selinux dauerhaft zu ändern, müssen Sie die Selinux -Konfigurationsdatei optimieren.

$ vim/etc/selinux/config


Speichern und schließen Sie den Herausgeber. Starten Sie das System neu, um die Änderungen in Kraft zu setzen.
Sie können die Änderung mit dem Befehl sestatus überprüfen.

$ sestatus

Abschluss

Selinux ist ein starker Mechanismus zur Durchsetzung der Sicherheit. Hoffentlich hat Ihnen dieser Leitfaden geholfen, das Verhalten von Selinux zu konfigurieren und zu verwalten.
Happy Computing!