Selinux auf Debian Top 10 Buster

Ahmed Stöckert
Selinux auf Debian Top 10 Buster
Selinux ist ein Kennzeichnungssystem für Prozesse und Dateien. Bezeichnete Themen Zugriff auf beschriftete Objekte werden durch Regeln eingeschränkt, die Richtlinien bilden. Dieses Tutorial ist eine Einführung in die Selinux.

Bevor Sie anfangen, müssen Sie die folgenden Konzepte lernen:

Fächer: Prozesse oder Benutzer.
Objekte: Dateien oder Dateisysteme.

Tippen Sie die Durchsetzung ein: Auf Selinux haben alle Probanden und Objekte eine Typkennung, die mit _T endet. “Die Typ-Durchsetzung ist die Vorstellung, dass in einem obligatorischen Zugangskontrollsystem der Zugang durch die Freigabe geregelt wird, die auf einem Subjekt-Access-Object-Satz von Regeln basiert.

In Selinux wird die Typ -Durchsetzung basierend auf den Beschriftungen der Themen und Objekte implementiert. Selinux selbst hat keine Regeln, die sagen /Bin/Bash kann ausführen /bin/ls. Stattdessen enthält es Regeln, die „Prozesse mit dem Label user_t ähneln können, reguläre Dateien mit der Bezeichnung von Bin_t ausführen können.”(Quelle https: // wiki.Gentoo.org/wiki/selinux/type_enforcement)

Diskretionäre Zugangskontrolle (DAC): DAC ist das Eigentümer- und Berechtigungssystem, das wir unter Linux verwenden, um den Zugriff auf Objekte wie Dateien oder Verzeichnisse zu verwalten. Die diskretionäre Zugriffskontrolle hat nichts mit Selinux zu tun und ist eine andere Sicherheitsschicht. Weitere Informationen zu DAC finden Sie unter Linux -Berechtigungen erläutert.

Obligatorische Zugangskontrolle (MAC): ist eine Art von Zugriffskontrolle, die den Zugriff auf die Interaktion der Probanden mit Objekten einschränkt. Im Gegensatz zu DAC mit MAC -Benutzern können Benutzer keine Richtlinien ändern.
Probanden und Objekte haben einen Sicherheitskontext (Sicherheitsattribute), der von Selinux überwacht und gemäß den von den Regeln erbrachten Sicherheitsrichtlinien verwaltet wird.


Rollenbasierte Zugriffskontrolle (RBAC): ist eine Art von Zugriffskontrolle, die auf Rollen basiert, sie kann sowohl mit MAC als auch mit DAC kombiniert werden. RBAC -Richtlinien machen die Verwaltung vieler Benutzer innerhalb einer Organisation einfach im Gegensatz zu DAC, das in individuellen Berechtigungszuweisungen abgeleitet werden kann. Die Prüfung, Konfiguration und Richtlinien vereinfachen Sie die Aktualisierungen der Richtlinien.

Durchsetzung des Modus: Selinux beschränkt die Probanden, die den Zugriff auf Objekte basierend auf Richtlinien basieren.

Zulassender Modus: Selinux logt nur illegitime Aktivitäten ab.

Zu den Selinux -Funktionen gehören (Wikipedia -Liste):

  • Saubere Trennung der Richtlinien von der Durchsetzung
  • Gut definierte politische Schnittstellen
  • Unterstützung für Anwendungen, die die Richtlinien abfragen und die Zugriffskontrolle durchsetzen (z. B, Crond Aufgaben im richtigen Kontext ausführen)
  • Unabhängigkeit spezifischer Richtlinien und politischer Sprachen
  • Unabhängigkeit spezifischer Sicherheitsmarkierungsformate und Inhalte
  • Einzelne Etiketten und Steuerelemente für Kernelobjekte und Dienste
  • Unterstützung für Richtlinienänderungen
  • Separate Maßnahmen zum Schutz der Systemintegrität (Domänenstyp) und zur Vertraulichkeit der Daten (DatenverträglichkeitMehrebenensicherheit)
  • Flexible Politik
  • Steuerelemente über die Prozessinitialisierung und Vererbung sowie die Programmausführung
  • Kontrolliert über Dateisysteme, Verzeichnisse, Dateien und Öffnen Dateideskriptoren
  • Steuerelemente über Steckdosen, Nachrichten und Netzwerkschnittstellen
  • Steuerelemente über die Verwendung von „Fähigkeiten“
  • Zwischengespeicherte Informationen zu Access-Decisionen über den Access Vector Cache (AVC)
  • Standard-Deny Richtlinien (irgendetwas, das in der Richtlinie nicht ausdrücklich angegeben ist, wird nicht zugelassen).

Quelle: https: // en.Wikipedia.org/wiki/security-verstärkte_linux#Funktionen

Notiz: Benutzer unterscheiden sich bei Selinux und Passwd.

SELINUX auf Debian 10 Buster einrichten

In meinem Fall wurde Selinux bei Debian 10 Buster deaktiviert. Das Aktivieren von Selinux aktiviert ist einer der grundlegenden Schritte, um ein Linux -Gerät sicher zu halten. Um den Status von Selinux in Ihrem Gerät zu kennen, führen Sie den Befehl aus:

/# sestatus

Ich stellte fest, dass Selinux deaktiviert war, um es zu aktivieren APT -Update, Führen Sie den Befehl aus:

/# APT Installieren Sie Selinux-Basics Selinux-Policy-Default

Wenn geforderte Presse Y Um den Installationsprozess fortzusetzen. Laufen APT -Update Nach Abschluss der Installation.

So aktivieren Sie Selinux den folgenden Befehl aus:

/# selinux-activate

Wie Sie sehen können, war Selinux ordnungsgemäß aktiviert. Um alle Änderungen anzuwenden, müssen Sie Ihr System wie angewiesen neu starten.

Mit dem Befehl GetEnforce kann der Selinux -Status gelernt werden, wenn er im Rahmen des zulässigen oder durchsetzenden Modus ist:

/# Getenforce

Der zulässige Modus kann durch Einstellen des Parameters ersetzt werden 1 (Erlaubnis ist 0). Sie können den Modus in der Konfigurationsdatei auch mit dem Befehl überprüfen weniger:

/# weniger/etc/selinux/config

Ausgang:

Wie Sie sehen können, zeigen die Konfigurationsdateien den zulässigen Modus. Drücken Sie Q beenden.

Um eine Datei- oder Prozess -Sicherheitskontext anzuzeigen, können Sie das Flag -z verwenden:

/# ls -z

Das Etikettformat ist Benutzer: Rolle: Typ: Ebene.

Semanage - Selinux Policy Management -Tool

Semanage ist das Selinux -Richtlinienmanagement -Tool. Es ermöglicht die Verwaltung von Booleschen (die den Prozess auf Ausführung ändern können), Benutzerrollen und -stufen, Netzwerkschnittstellen, Richtlinienmodule und mehr. Das Semanage ermöglicht es, Selinux -Richtlinien zu konfigurieren, ohne Quellen kompilieren zu müssen. Das Semanage ermöglicht den Zusammenhang zwischen Betriebssystem- und Selinux -Benutzern und bestimmten Objekt -Sicherheitskontexten.

Weitere Informationen zu Semanage finden Sie auf der Mannseite unter: https: // linux.sterben.Net/Man/8/Semanage

Schlussfolgerung und Notizen

Selinux ist eine zusätzliche Möglichkeit, Zugriff von Prozessen auf Systemressourcen wie Dateien, Partitionen, Verzeichnisse usw. zu verwalten. Es ermöglicht es, massive Privilegien gemäß Rollen, Niveau oder Typ zu verwalten. Es ist ein Muss als Sicherheitsmaßnahme und bei der Verwendung ist es wichtig, sich an die Sicherheitsschicht zu erinnern und das System nach der Aktivierung oder Deaktivierung neu zu starten (Deaktivieren werden überhaupt nicht empfohlen, außer für bestimmte Tests). Manchmal wird ein Dateizugriff blockiert, obwohl das System oder die Betriebssystemberechtigungen gewährt werden, da Selinux es verbietet.

Ich hoffe.

In Verbindung stehende Artikel:

  • Selinux am Ubuntu -Tutorial
  • So deaktivieren Sie Selinux auf CentOS 7
  • Checkliste für Linux -Sicherheitshärten
  • Apparmorprofile auf Ubuntu
Bash -Programmierung
So überprüfen Sie das Vorhandensein von Eingabemarions in einem Bash -Shell -Skript
Wir können unterschiedliche Techniken verwenden, um die Existenz von Eingabemarions zu überprüfen, z...
Lars Daub
Bash -Programmierung
So verwenden Sie den SEQ -Befehl in Bash
Der Befehl 'SEQ' ist ein nützliches Werkzeug in Bash zum Generieren von Sequenzen von Zahlen. Lesen ...
Prof. Dr. Julien Plank
Java
Was ist Scanner.NEXTLINE IN JAVA
Die Methode „Nextline ()“ der Scannerklasse in Java gibt eine aus dem Scannerobjekt gelesene Textzei...
Ansgar Radtke
Windows OS
Was ist Windows Package Manager
Prof. Dr. Julien Plank
Docker
Wie werden Volumina in Docker definiert??
Jean Dengler
Ubuntu
So installieren Sie CUDA auf Ubuntu Top 10.Top 10 Lts
Stephan Harms
C -Programmierung
So drucken Sie eine Adresse einer Variablen in der C -Programmierung?
Lars Daub
C -Programmierung
So finden Sie den ASCII -Wert eines Charakters in der C -Programmierung?
Prof. Dr. Julien Plank
Php
So verwenden Sie Strlen -Funktion in PHP
Mohamed Flore
c scharf
Was ist der Switch -Ausdruck in C#
Mohamed Flore
Golang
Was ist eine Klasse und ein Objekt in Golang?
Mohamed Flore
Power Shell
Was ist ein Add-Computer in PowerShell?
Frederik Rodehau
Java
Beispiele für Java Treemap
Stephan Harms