СЕЛинук

СЕЛинук за почетнике који користе ЦентОС

СЕЛинук за почетнике који користе ЦентОС
Развијен од стране НСА како би спречио злонамеран приступ и упаде, Линук или СЕЛинук са побољшаном безбедношћу је напредна функција контроле приступа која се испоручује са већином модерних Линук дистрибуција. СЕЛинук је дефинисан као систем обавезне контроле приступа (МАЦ) развијен као замена за дискрециони систем контроле приступа (ДАЦ).

СЕЛинук може изгледати застрашујуће и врло га је тешко применити у већини савремених система. Међутим, конфигурисање СЕЛинук-а има огромне предности како у наметању безбедности, тако и у решавању проблема.

Овај водич ће размотрити различите концепте које имплементира СЕЛинук и истражиће различите практичне методе примене СЕЛинук-а.

НАПОМЕНА: Пре него што започнемо, добро је користити команде у овом упутству као роот корисник или корисник у групи судоерс.

Инсталирајте СЕЛинук пакете

Допустите нам да инсталирамо разне СЕЛинук пакете, што ће заузврат помоћи у раду са СЕЛинук политикама.

Пре него што наставимо са инсталирањем СЕЛинук пакета, добро је да проверимо који су инсталирани на тренутном систему.

У већини инсталација РЕХЛ дистрибуција неки пакети су инсталирани по дефаулту. Ови пакети укључују:

  1. сетоолс - овај пакет се користи за надгледање евиденција, политика за упите и управљање датотекама контекста.
  2. полицицореутилс-питхон - пружа основне услужне програме питхона за управљање СЕЛинук-ом
  3. полицицореутилс - овај пакет такође нуди услужне програме за управљање СЕЛинук-ом.
  4. мцстранс - мцстранс пружа СЕЛинук демон демон, који преводи различите нивое у лаке формате који се лако могу разумети.
  5. сетоолс-цонсоле - слично сетоолс-у.
  6. Селинук-полици - пружа референцу за конфигурисање СЕЛинук политике
  7. Селинук-полици-таргет - слично СЕЛинук-политици
  8. Либселинук-утилс - СЕЛинук либселинук услужни програми који помажу у управљању СЕЛинук-ом
  9. Сетроублесхоот-сервер - алати за решавање проблема СЕЛинук

Да бисте верификовали који су пакети већ инсталирани на вашем систему, можете користити наредбу рпм -ка и повезати резултат за греп за СЕЛинук као:

рпм -ка | греп селинук
либселинук-утилс-2.9-4.ел8_3.к86_64
рпм-плугин-селинук-4.14.3-4.ел8.к86_64
селинук-полици-таргет-3.14.3-54.ел8_3.2.ноарцх
питхон3-либселинук-2.9-4.ел8_3.к86_64
селинук-полици-3.14.3-54.ел8_3.2.ноарцх
либселинук-2.9-4.ел8_3.к86_64

Ово би вам требало дати излаз свих пакета инсталираних за СЕЛинук подршку

Ако на вашем систему нису инсталирани сви СЕЛинук пакети, користите иум да бисте их инсталирали како је приказано у наредби испод:

иум инсталирај полицицореутилс полицицореутилс-питхон-утилс селинук-полици селинук-полици-таргет либселинук-утилс сетроублесхоот-сервер сетоолс сетоолс-цонсоле мцстранс

Режими и стања СЕЛинук-а

Почнимо сада да се играмо са СЕЛинук-ом, конкретно, са СЕЛинук-овим режимима.

Режими СЕЛинук

Када је омогућен, СЕЛинук могу бити три могућа начина:

Енфорцинг Моде

Ако СЕЛинук начин примени, он ће осигурати да ниједан неовлашћени приступ систему не буде одбијен од било ког корисника или процеса. Режим спровођења такође води евиденције свих покушаја неовлашћеног приступа.

Пермиссиве Моде

Дозвољени режим делује као делимично омогућено СЕЛинук стање. У овом режиму није одбијен приступ јер СЕЛинук не примењује своје политике у овом режиму. Међутим, дозвољени режим води евиденцију о свим покушајима кршења смерница. Овај режим је врло ефикасан за тестирање пре него што га омогући у потпуности, јер корисници и компоненте још увек могу да комуницирају са системом, али и даље прикупљају евиденције. Ово вам омогућава да фино подесите систем на начин који сматрате прикладним.

Дисаблед Моде

Онемогућени режим се такође може сматрати онемогућеним стањем у којем је СЕЛинук онемогућен и не нуди никакву сигурност.

СЕЛинук државе

Једном када се СЕЛинук инсталира на систем. Може имати бинарна стања: омогућена и онемогућена. Да бисте видели стање СЕЛинук-а, користите наредбу:

гетенфорце
Инвалиди

Горњи излаз показује да је СЕЛинук тренутно онемогућен.

Такође можете користити наредбу сестатус као што је приказано доле:

сестатус
СЕЛинук статус: онемогућен

Омогућите и онемогућите СЕЛинук

Стањем и конфигурацијом СЕЛинука управља датотека конфигурације која се налази у / етц / селинук / цонфиг. Помоћу команде цат можете прегледати њен садржај.

мачка / етц / селинук / цонфиг
# Ова датотека контролише стање СЕЛинук-а на систему.
# СЕЛИНУКС = може узети једну од ове три вредности:
# присиљавање - СЕЛинук сигурносна политика се примењује.
#пермиссиве - СЕЛинук исписује упозорења уместо да примењује.
#дисаблед - Није учитана ниједна СЕЛинук политика.
СЕЛИНУКС = спровођење
# СЕЛИНУКСТИПЕ = може узети једну од ове три вредности:
# циљано - циљани процеси су заштићени,
# минимум - Измена циљане политике. Само су изабрани процеси заштићени.
# млс - Више нивоа сигурносне заштите.
СЕЛИНУКСТИПЕ = циљано

Из горњег резултата имамо омогућене две главне директиве. Директива СЕЛИНУКС прецизирала је режим у којем је СЕЛинук конфигурисан. Директива СЕЛИНУКСТИПЕ специфицира скуп СЕЛинук политика. Подразумевано, СЕЛинук користи циљану политику која вам омогућава да прилагодите дозволе за контролу приступа. Друга политика је безбедност на више нивоа или МЛС.

Можда ћете пронаћи минималне смернице у неким верзијама.

цд / етц / селинук /
[лс -л
укупно 4
-рв-р - р-- 1 роот роот 548 16. фебруара 22:40 конфиг
дрвкр-кр-к 1 роот роот 4096 16. фебруара 22:43 млс
-рв-р - р-- 1 роот роот 2425 21. јула 2020. семанаге.цонф
дрвкр-кр-к 1 роот роот 4096 16. фебруар 22:40 циљано

Погледајмо сада како да омогућимо СЕЛинук на систему. Препоручујемо да прво подесите режим СЕЛИНУКС на пермисиван и не спроводи се.

нано / етц / селинук / цонфиг

Сада уредите СЕЛИНУКС директиву као:

СЕЛИНУКС = допуштајући

Једном када сачувате датотеку, извршите поновно покретање система.

рестарт

НАПОМЕНА: Препоручујемо да поставите СЕЛИНУКС директиву на пермисивне пре него што примените СЕЛинук.

Након што поново покренете систем, проверите да ли има евиденција које је СЕЛинук пријавио у / вар / лог / мессагес.

Даље, уверите се да нема грешака и примените СЕЛинук постављањем директиве за примену у / етц / селинук / цонфиг

На крају, статус СЕЛинук-а можете погледати помоћу наредбе сестатус:

СЕЛинук статус: омогућен
СЕЛинукфс моунт: / сис / фс / селинук
Коренски директоријум СЕЛинук: / етц / селинук
Учитани назив смернице: циљано
Тренутни режим: спровођење
Режим из датотеке конфигурације: грешка (успех)
Статус МЛС смерница: омогућено
Политика дени_ункновн статус: дозвољено
Провера заштите меморије: стварна (сигурна)
Верзија максималне политике језгра: 31

Наредбу сетенфорце такође можете користити за пребацивање између различитих СЕЛинук режима. На пример, да бисте режим поставили на пермисиван, користите наредбу:

сетенфорце пермиссиве

Овај режим је привремен и вратиће се на један у датотеци конфигурације након поновног покретања.

сестатус СЕЛинук статус: омогућено
СЕЛинукфс моунт: / сис / фс / селинук
Коренски директоријум СЕЛинук: / етц / селинук
Учитани назив смернице: циљано
Тренутни режим: дозвољен
Режим из датотеке конфигурације: спровођење
Статус МЛС смерница: омогућено
Политика дени_ункновн статус: дозвољено
Провера заштите меморије: стварна (сигурна)
Верзија максималне политике језгра: 31

СЕЛинук политика и контекст

Да не би дошло до забуне за почетнике СЕЛинук-а, нећемо зарањати дубоко у то како се имплементирају СЕЛинук политике, већ само додирните га да бисте добили идеју.

СЕЛинук функционише применом безбедносних политика. СЕЛинук политика односи се на правило које се користи за дефинисање права приступа за сваки објекат у систему. Објекти се односе на кориснике, процесе, датотеке и улоге.

Сваки контекст је дефинисан у облику корисник: улога: тип: ниво.

На пример, креирајте директоријум у свом кућном директоријуму и погледајте његов СЕЛинук сигурносни контекст као што је приказано у наредбама испод:

мкдир ~ / линукхинт_дир
лс -З ~ / | греп линукхинт

Ово ће приказати излаз као што је приказано доле:

унцонфинед_у: објецт_р: усер_хоме_т: с0 линукхинт_дир

Такође можете пронаћи и друге директоријуме са сигурносним контекстом као:

систем: _у: објецт_р: усер_хоме_т: с0

Можда схватите да горњи излаз следи синтаксу корисника: роле: типе: левел.

Закључак

То је био почетнички водич за СЕЛинук помоћу ЦентОС 8. Иако је водич намењен почетницима, више је него довољно да покренете ноге у СЕЛинук-у и уклоните застрашујућу природу СЕЛинук-а.

Хвала вам за читање.

Игре Најбоље апликације за мапирање гамепада за Линук
Најбоље апликације за мапирање гамепада за Линук
Ако волите да играте игре на Линуку са гамепадом уместо са типичним системом за унос тастатуре и миша, за вас постоје неке корисне апликације. Многе и...
Игре Корисни алати за Линук играче
Корисни алати за Линук играче
Ако волите да играте игре на Линуку, велика је вероватноћа да сте можда користили апликације и услужне програме попут Вине, Лутрис и ОБС Студио за поб...
Игре ХД Ремастеред игре за Линук које никада раније нису имале Линук издање
ХД Ремастеред игре за Линук које никада раније нису имале Линук издање
Многи програмери и издавачи игара долазе са ХД ремастером старих игара како би продужили живот франшизе, молимо обожаваоце да захтевају компатибилност...