Selinux auf Debian Top 10 Buster

Ahmed Stöckert
Selinux auf Debian Top 10 Buster
Selinux ist ein Kennzeichnungssystem für Prozesse und Dateien. Bezeichnete Themen Zugriff auf beschriftete Objekte werden durch Regeln eingeschränkt, die Richtlinien bilden. Dieses Tutorial ist eine Einführung in die Selinux.

Bevor Sie anfangen, müssen Sie die folgenden Konzepte lernen:

Fächer: Prozesse oder Benutzer.
Objekte: Dateien oder Dateisysteme.

Tippen Sie die Durchsetzung ein: Auf Selinux haben alle Probanden und Objekte eine Typkennung, die mit _T endet. “Die Typ-Durchsetzung ist die Vorstellung, dass in einem obligatorischen Zugangskontrollsystem der Zugang durch die Freigabe geregelt wird, die auf einem Subjekt-Access-Object-Satz von Regeln basiert.

In Selinux wird die Typ -Durchsetzung basierend auf den Beschriftungen der Themen und Objekte implementiert. Selinux selbst hat keine Regeln, die sagen /Bin/Bash kann ausführen /bin/ls. Stattdessen enthält es Regeln, die „Prozesse mit dem Label user_t ähneln können, reguläre Dateien mit der Bezeichnung von Bin_t ausführen können.”(Quelle https: // wiki.Gentoo.org/wiki/selinux/type_enforcement)

Diskretionäre Zugangskontrolle (DAC): DAC ist das Eigentümer- und Berechtigungssystem, das wir unter Linux verwenden, um den Zugriff auf Objekte wie Dateien oder Verzeichnisse zu verwalten. Die diskretionäre Zugriffskontrolle hat nichts mit Selinux zu tun und ist eine andere Sicherheitsschicht. Weitere Informationen zu DAC finden Sie unter Linux -Berechtigungen erläutert.

Obligatorische Zugangskontrolle (MAC): ist eine Art von Zugriffskontrolle, die den Zugriff auf die Interaktion der Probanden mit Objekten einschränkt. Im Gegensatz zu DAC mit MAC -Benutzern können Benutzer keine Richtlinien ändern.
Probanden und Objekte haben einen Sicherheitskontext (Sicherheitsattribute), der von Selinux überwacht und gemäß den von den Regeln erbrachten Sicherheitsrichtlinien verwaltet wird.


Rollenbasierte Zugriffskontrolle (RBAC): ist eine Art von Zugriffskontrolle, die auf Rollen basiert, sie kann sowohl mit MAC als auch mit DAC kombiniert werden. RBAC -Richtlinien machen die Verwaltung vieler Benutzer innerhalb einer Organisation einfach im Gegensatz zu DAC, das in individuellen Berechtigungszuweisungen abgeleitet werden kann. Die Prüfung, Konfiguration und Richtlinien vereinfachen Sie die Aktualisierungen der Richtlinien.

Durchsetzung des Modus: Selinux beschränkt die Probanden, die den Zugriff auf Objekte basierend auf Richtlinien basieren.

Zulassender Modus: Selinux logt nur illegitime Aktivitäten ab.

Zu den Selinux -Funktionen gehören (Wikipedia -Liste):

  • Saubere Trennung der Richtlinien von der Durchsetzung
  • Gut definierte politische Schnittstellen
  • Unterstützung für Anwendungen, die die Richtlinien abfragen und die Zugriffskontrolle durchsetzen (z. B, Crond Aufgaben im richtigen Kontext ausführen)
  • Unabhängigkeit spezifischer Richtlinien und politischer Sprachen
  • Unabhängigkeit spezifischer Sicherheitsmarkierungsformate und Inhalte
  • Einzelne Etiketten und Steuerelemente für Kernelobjekte und Dienste
  • Unterstützung für Richtlinienänderungen
  • Separate Maßnahmen zum Schutz der Systemintegrität (Domänenstyp) und zur Vertraulichkeit der Daten (DatenverträglichkeitMehrebenensicherheit)
  • Flexible Politik
  • Steuerelemente über die Prozessinitialisierung und Vererbung sowie die Programmausführung
  • Kontrolliert über Dateisysteme, Verzeichnisse, Dateien und Öffnen Dateideskriptoren
  • Steuerelemente über Steckdosen, Nachrichten und Netzwerkschnittstellen
  • Steuerelemente über die Verwendung von „Fähigkeiten“
  • Zwischengespeicherte Informationen zu Access-Decisionen über den Access Vector Cache (AVC)
  • Standard-Deny Richtlinien (irgendetwas, das in der Richtlinie nicht ausdrücklich angegeben ist, wird nicht zugelassen).

Quelle: https: // en.Wikipedia.org/wiki/security-verstärkte_linux#Funktionen

Notiz: Benutzer unterscheiden sich bei Selinux und Passwd.

SELINUX auf Debian 10 Buster einrichten

In meinem Fall wurde Selinux bei Debian 10 Buster deaktiviert. Das Aktivieren von Selinux aktiviert ist einer der grundlegenden Schritte, um ein Linux -Gerät sicher zu halten. Um den Status von Selinux in Ihrem Gerät zu kennen, führen Sie den Befehl aus:

/# sestatus

Ich stellte fest, dass Selinux deaktiviert war, um es zu aktivieren APT -Update, Führen Sie den Befehl aus:

/# APT Installieren Sie Selinux-Basics Selinux-Policy-Default

Wenn geforderte Presse Y Um den Installationsprozess fortzusetzen. Laufen APT -Update Nach Abschluss der Installation.

So aktivieren Sie Selinux den folgenden Befehl aus:

/# selinux-activate

Wie Sie sehen können, war Selinux ordnungsgemäß aktiviert. Um alle Änderungen anzuwenden, müssen Sie Ihr System wie angewiesen neu starten.

Mit dem Befehl GetEnforce kann der Selinux -Status gelernt werden, wenn er im Rahmen des zulässigen oder durchsetzenden Modus ist:

/# Getenforce

Der zulässige Modus kann durch Einstellen des Parameters ersetzt werden 1 (Erlaubnis ist 0). Sie können den Modus in der Konfigurationsdatei auch mit dem Befehl überprüfen weniger:

/# weniger/etc/selinux/config

Ausgang:

Wie Sie sehen können, zeigen die Konfigurationsdateien den zulässigen Modus. Drücken Sie Q beenden.

Um eine Datei- oder Prozess -Sicherheitskontext anzuzeigen, können Sie das Flag -z verwenden:

/# ls -z

Das Etikettformat ist Benutzer: Rolle: Typ: Ebene.

Semanage - Selinux Policy Management -Tool

Semanage ist das Selinux -Richtlinienmanagement -Tool. Es ermöglicht die Verwaltung von Booleschen (die den Prozess auf Ausführung ändern können), Benutzerrollen und -stufen, Netzwerkschnittstellen, Richtlinienmodule und mehr. Das Semanage ermöglicht es, Selinux -Richtlinien zu konfigurieren, ohne Quellen kompilieren zu müssen. Das Semanage ermöglicht den Zusammenhang zwischen Betriebssystem- und Selinux -Benutzern und bestimmten Objekt -Sicherheitskontexten.

Weitere Informationen zu Semanage finden Sie auf der Mannseite unter: https: // linux.sterben.Net/Man/8/Semanage

Schlussfolgerung und Notizen

Selinux ist eine zusätzliche Möglichkeit, Zugriff von Prozessen auf Systemressourcen wie Dateien, Partitionen, Verzeichnisse usw. zu verwalten. Es ermöglicht es, massive Privilegien gemäß Rollen, Niveau oder Typ zu verwalten. Es ist ein Muss als Sicherheitsmaßnahme und bei der Verwendung ist es wichtig, sich an die Sicherheitsschicht zu erinnern und das System nach der Aktivierung oder Deaktivierung neu zu starten (Deaktivieren werden überhaupt nicht empfohlen, außer für bestimmte Tests). Manchmal wird ein Dateizugriff blockiert, obwohl das System oder die Betriebssystemberechtigungen gewährt werden, da Selinux es verbietet.

Ich hoffe.

In Verbindung stehende Artikel:

  • Selinux am Ubuntu -Tutorial
  • So deaktivieren Sie Selinux auf CentOS 7
  • Checkliste für Linux -Sicherheitshärten
  • Apparmorprofile auf Ubuntu
C ++
Was ist der Zeichendatentyp in C ++?
In C ++ repräsentiert der Zeichendatenatyp die Daten in Zeichenformular. Diese Variable nimmt jeweil...
Ahmed Stöckert
Power Shell
So verwenden Sie die Variablen in PowerShell
Variablen werden verwendet, um verschiedene Arten von Werten zu speichern, z. B. Zeichenfolgen oder ...
Gian Eisenlauer
Debian
So konfigurieren Sie den Apache -Webserver auf Debian
So konfigurieren Sie den Apache -Webserver auf Debian, installieren Sie und richten Sie den Apache -...
Jessica Schimmer
Python
Numpy Astype
Fr. Chris Frisch
Python
Etiketten der Seeborn -Achse
Mohamed Flore
Ubuntu
So installieren Sie CUDA auf Ubuntu Top 10.Top 10 Lts
Stephan Harms
Golang
Wie man Zeit nutzt.Funktionieren Sie nun in Golang - Beispiele
Mohamed Flore
Golang
Was sind Datentypen in Golang?
Mohamed Flore
Oracle Linux
Was ist der Unterschied zwischen Oracle VirtualBox und VMware?
Mohamed Flore
Docker
So melden Sie sich über die Eingabeaufforderung bei Docker an?
Hussein Burkhard
Oracle -Datenbank
So löschen Sie die Sequenz in Oracle?
Mohamed Flore
c scharf
So verwenden Sie ein langes Schlüsselwort in C#
Jean Dengler
C -Programmierung
IF-ELSE-Anweisung in der C-Programmierung
Ansgar Radtke