Како поставити политику на СЕЛинук

Један од главних разлога зашто људи бирају Линук је сигурност коју он нуди. Због тога ћете Линук пронаћи на серверима и професионалним радним станицама. СЕЛинук је једна од таквих безбедносних карактеристика Линука. Већ је доста времена део стандардног језгра Линука, а било који модерни дистро има СЕЛинук подршку.

Постоји неколико различитих начина на које СЕЛинук може да ради. Ово је дефинисано СЕЛинук политиком. У овом водичу ћете сазнати више о СЕЛинук политикама и како поставити смернице у СЕЛинуку.

Преглед СЕЛинук смерница

Кратко ћемо прегледати СЕЛинук и његове политике. СЕЛинук је акроним за „Побољшани безбедност Линук.”Садржи низ сигурносних закрпа за Линук језгро. СЕЛинук је првобитно развила Агенција за националну безбедност (НСА) и пуштена у развојну заједницу отвореног кода 2000. године под ГПЛ лиценцом. Спојен је са главним Линук језгром 2003. године.

СЕЛинук пружа МАЦ (обавезна контрола приступа), а не подразумевани ДАЦ (дискрециона контрола приступа). Ово омогућава примену неких безбедносних политика које иначе не би било могуће применити.

СЕЛинук политике су скупови правила која воде СЕЛинук сигурносни механизам. Смерница дефинише типове објеката датотека и домене процеса. Улоге се користе за ограничавање приступа доменима. Кориснички идентитети одређују које се улоге могу постићи.
Доступне су две СЕЛинук смернице:

• Циљано: Подразумевана политика. Примењује контролу приступа циљаним процесима. Процеси се изводе у ограниченом домену где процес има ограничен приступ датотекама. Ако је ограничени процес угрожен, штета се ублажава. У случају услуга, само су одређене услуге смештене у ове домене.
• МЛС: Стоји за сигурност на више нивоа. Погледајте документацију Ред Хат-а о СЕЛинук МЛС смерницама.

Процеси који нису циљани ће се изводити на неограниченом домену. Процеси који се изводе у неограниченим доменима уживају готово потпун приступ. Ако је такав процес угрожен, СЕЛинук не нуди ублажавање. Нападач може добити приступ целом систему и ресурсима. Међутим, ДАЦ правила и даље важе за неограничене домене.
Следи кратка листа примера неограничених домена:

• домен инитрц_т: програми инит
• домен кернел_т: процеси језгра
• унцонфинед_т домен: корисници пријављени у систем Линук

Промена СЕЛинук политике

Следећи примери су изведени у ЦентОС 8. Све наредбе у овом чланку изводе се као основни корисник. За остале дистрибуције, погледајте одговарајући водич о томе како да омогућите СЕЛинук.
Да бисте променили политику у СЕЛинук-у, почните са провером статуса СЕЛинук-а. Подразумевани статус треба да буде СЕЛинук омогућен у режиму „Провођење“ са „циљаном“ политиком.

$ сестатус

Да бисте променили СЕЛинук политику, отворите СЕЛинук конфигурациону датотеку у свом омиљеном уређивачу текста.

$ вим / етц / селинук / цонфиг

Овде је наш циљ променљива „СЕЛИНУКСТИПЕ“ која дефинише СЕЛинук политику. Као што видите, подразумевана вредност је „циљана.”

Сви кораци приказани у овом примеру изведени су у ЦентОС 8. У случају ЦентОС, МЛС смернице се подразумевано не инсталирају. Ово ће вероватно бити случај и у другим дистро-системима. Овде научите како да конфигуришете СЕЛинук на Убунту-у. Обавезно прво инсталирајте програм. У случају Убунту, ЦентОС, опенСУСЕ, Федора, Дебиан и других, назив пакета је „селинук-полици-млс.”

$ днф инсталирајте селинук-полици-млс

У овом случају ћемо пребацити политику на МЛС. Промените вредност променљиве у складу с тим.

$ СЕЛИНУКСТИПЕ = мил

Сачувајте датотеку и изађите из уређивача. Да бисте извршили ове промене, морате поново покренути систем.

$ ребоот

Потврдите промену издавањем следећег.

$ сестатус

Промена режима СЕЛинук-а

СЕЛинук може радити у три различита режима. Ови модуси одређују како ће се политика спроводити.

• Извршено: свака радња против смерница је блокирана и пријављена у евиденцији ревизије.
• Дозвољено: свака радња против политике се пријављује само у евиденцији ревизије.
• Онемогућено: СЕЛинук је онемогућен.

Да бисте привремено променили режим у СЕЛинук-у, користите наредбу сетенфорце. Ако се систем поново покрене, систем ће се вратити на подразумеване поставке.

$ сетенфорце Извршење

$ сетенфорцед Пермиссиве

Да бисте трајно променили режим у СЕЛинук-у, морате подесити СЕЛинук-ову конфигурациону датотеку.

$ вим / етц / селинук / цонфиг

Сачувајте и затворите уређивач. Поново покрените систем да бисте извршили промене.
Можете да проверите промену помоћу наредбе сестатус.

$ сестатус

Закључак

СЕЛинук је моћан механизам за наметање сигурности. Надам се да вам је овај водич помогао да научите како да конфигуришете и управљате понашањем СЕЛинук-а.
Срећно рачунање!