Selinux am Ubuntu -Tutorial

Selinux am Ubuntu -Tutorial

Eine Möglichkeit, die Sicherheit Ihres Linux -Systems zu verbessern, besteht darin, eine zusätzliche Sicherheitsebene mit Selinux hinzuzufügen. Mit der Sicherheitsverbesserung von Linux (SELinux) werden die Anwendungen auf Ihren Linux-Systemen voneinander isoliert, wodurch Ihr Hostsystem schützt. Standardmäßig verwendet Ubuntu die Apparmor, Ein obligatorisches Zugriffskontrollsystem, das die Sicherheit verbessert, aber Sie können den Selinux verwenden, um dasselbe zu erreichen.

Selinux ist von Vorteil und verhindert im Falle einer Sicherheitsverletzung in Ihrem System die Ausbreitung des Verstoßes zum Schutz Ihres Systems. Darüber hinaus schützt das Tool die Webserver je nach dem Modus, den Sie für den Selinux festgelegt haben. Dieser Leitfaden bietet ein praktisches Tutorial zum Deaktivieren des Apparmors, zum Installieren der Selinux, zum Aktivieren der verschiedenen Modi und deaktiviert Selinux.

Erste Schritte mit Selinux

Beachte. Verwenden Sie es also nur, wenn Sie und in einem solchen anwendbaren Fall müssen. Außerdem ist es immer sicherer, den Apparmor vor der Installation des Selinux zu deaktivieren.

Führen Sie den folgenden Befehl aus, um den Apparmor zu deaktivieren:

1
$ sudo systemctl stop apparmor

Sobald der Apparmor gestoppt ist, starten Sie Ihr System neu.

So installieren Sie Selinux auf Ubuntu

Sobald Sie den Apparmor deaktiviert oder entfernen, öffnen Sie Ihr Terminal und führen Sie den folgenden Befehl aus, um SELinux zu installieren.

1
2
3
$ sudo APT Update
$ sudo apt Installation PolicyCoreutils Selinux-Utils Selinux-Basics

Sobald die Installation erfolgreich ist, müssen Sie das Tool aktivieren. Sie können dies mit dem folgenden Befehl tun:

1
$ sudo selinux-activate

Aktivieren von Selinux -Modi auf Ubuntu

Es gibt drei verschiedene Modi, die Sie mit Selinux verwenden können. Der erste ist deaktiviert, was das Gleiche wie der Name tut. Es deaktiviert mit dem Selinux -Dienst. Wenn Selinux aktiviert ist, können Sie es auf einstellen zulässt oder erzwungen Modi. Im zulässigen Modus wird nur die Überwachung der Interaktion durchgeführt. Wenn Sie jedoch die Interaktion filtern und überwachen möchten, verwenden Sie den Durchsetzungsmodus.

Beginnen wir zunächst den Durchsetzungsmodus festlegen. Verwenden Sie den folgenden Befehl:

1
$ sudo selinux-config-verstärkend

Alternativ können Sie den Befehl setEnforce verwenden, um den Erwerbsmodus festzulegen. Der Befehl dafür ist wie folgt:

1
$ setEnforce 1

Sobald Sie den Modus festgelegt haben, müssen Sie Ihr System neu starten, damit es wirksam wird.

1
$ Neustart

Beachten Sie, dass der Relabelling -Prozess während des Neustarts beginnt. Das System startet normalerweise neu, sobald es abgeschlossen ist. Während der Wiederverschreibung sollten Sie eine Warnmeldung wie im folgenden Bild beachten:

Nach einem erfolgreichen Neustart können Sie den folgenden Befehl ausführen, um den Selinux -Status zu überprüfen. Es sollte auf die Durchsetzung eingestellt werden.

1
$ sestatus

Der Durchsetzungsmodus ist die Standardeinstellung von Selinux. In diesem Zustand werden die meisten wenn nicht alle Anfragen blockiert. Die Lösung besteht darin, den zulässigen Modus auszuwählen, in dem alle verletzten Regeln protokolliert werden. Sie können die Protokolldatei für Details überprüfen.

Verwenden Sie den folgenden Befehl, um den zulässigen Modus festzulegen:

1
$ setEnforce 0

Überprüfen Sie den Modus mit dem Modus SetStatus -Befehl oder verwenden Sie die Getenforce Befehl:

1
2
3
4
5
$ setStatus
oder
$ Getenforce

Mit GetEnforce sehen Sie nur den Namen des aktuellen Modus, aber der SetStatus zeigt weitere Details zum aktuell festgelegten Modus an.

Beachten Sie, dass Sie das System neu starten müssen, um zwischen den beiden Modi zu wechseln. Außerdem können Sie die festgelegten Modi von der anzeigen /etc/sysconfig/selinux -Datei.

Wie wir bemerkt haben, ist der zulässige Modus flexibler und blockiert nicht unbedingt alle Anfragen. Stattdessen führt sie eine Protokolldatei, wenn die Regeln verletzt werden. Um auf die Protokolldatei zuzugreifen, können Sie den folgenden Befehl verwenden:

1
$ grep selinux/var/log/prüfung/prüfung.Protokoll

Verwenden Sie den folgenden Befehl, um den zulässigen Modus festzulegen:

1
$ sudo setEnforce 0

So deaktivieren Sie Selinux

Wir haben gesehen, wie man die verschiedenen Selinux -Modi aktiviert und festlegt. Aber wie wäre es, es zu deaktivieren? Die beste Option besteht darin, es dauerhaft von den Konfigurationsdateien zu deaktivieren. Öffnen Sie die Datei mit einem Editor wie Nano. Ändern Sie dann den Modus von der Durchsetzung in deaktiviert, wie im folgenden Befehl gezeigt:

1
$ sudo nano/etc/selinux/config

Suchen Sie nach der Öffnung nach dem Selinux = Durchsetzung der Zeile und ändern Sie sie in Selinux = deaktiviert.

Abschluss

Der Apparmor ist die zusätzliche Sicherheitsebene in Ubuntu und anderen Linux -Systemen. Wenn Sie jedoch die Verwendung des Selinux bevorzugen, haben wir abgedeckt, wie Sie die verschiedenen Modi installieren, aktivieren und verwenden können. Stellen Sie vor der Installation des Selinux sicher, dass Sie den Apparmor deaktivieren und das System neu starten. Gehen Sie auch mit Vorsicht vor, wenn Sie den Selinux verwenden, um das Durcheinander mit Ihrem System zu vermeiden.