Phenquestions
Увод
СЕЛинук је обавезни модул контроле приступа (МАЦ) који се налази на нивоу језгра линук система. То је заједнички развој Редхата и НСА објављеног око 1998. године, који још увек одржава заједница ентузијаста. Подразумевано, Убунту користи АппАрмор, а не СеЛинук, који је сличан у погледу перформанси, али прилично популаран у погледу једноставности. Међутим, познато је да је СеЛинук прилично сигуран због умешаности владине агенције. СЕЛинук је апликација отвореног кода која штити хоста изолирајући сваку апликацију и ограничавајући њене активности. Подразумевано је да је процесима онемогућено обављање било каквих активности уколико им није дата изричита дозвола. Модул изворно пружа два правила за управљање на глобалном нивоу: Пермиссиве и Енфорцинг, односно евидентира свако кршено правило и одбија приступ одређеном захтеву послатом из процеса. Овај водич показује како га лако користити на Убунту-у.
Како инсталирати и омогућити
СеЛинук је врло незгодна апликација за инсталирање, јер ако није правилно конфигурисана пре првог поновног покретања, учиниће читав оперативни систем необновљивим, што значи да ће било шта изван почетног екрана за покретање бити практично недоступно уобичајеним средствима.
Такође, као што је раније речено, Убунту већ има софистицирани систем високог нивоа обавезне контроле приступа познат као АппАрмор, и зато мора бити онемогућен пре инсталирања СеЛинук-а како би се избегли било какви сукоби. Користите следећа упутства да бисте онемогућили АппАрмор и омогућили СеЛинук.
судо / етц / инит.д / аппармор стоп апт-гет упдате && упграде -иуф апт-гет инсталл селинук нано / етц / селинук / цонфиг 'подеси СЕЛИНУКС на пермисивни, СЕЛИНУКСТИПЕ на подразумевани' ребоот
Ову конфигурацију датотеке можете отворити било којим уређивачем текста да бисте извршили промене. Разлог за додељивање пермисивног правила СЕТЛИНУКС-у је омогућавање приступачности оперативног система уз омогућавање СеЛинук-а. Препоручује се употреба пермисивне опције јер је бесплатна, али евидентира кршена правила постављена у СеЛинук-у.
доступне опције
СЕЛинук је сложен и свеобухватан модул; стога садржи пуно карактеристика и опција. То је речено, већина ових опција можда неће бити корисна свима због своје егзотичне природе. Следеће опције су неке од основних и корисних опција у овом модулу. Они су више него довољни за покретање СЕЛинук-а.
Проверите статус: Статус СЕЛинук-а се може проверити директно кроз прозор терминала, који приказује основне информације попут тога да ли је СеЛинук омогућен, СЕЛинук-ов основни директоријум, учитано име политике, тренутни режим итд. Након поновног покретања система након инсталирања СеЛинука, користите следећу наредбу као роот корисника са судо командом. Ако у одељку статуса наводи да је СеЛинук омогућен, то значи да ради и ради у позадини.
[заштићена е-поштом]: / хоме / дондиланга # сестатус
Промените глобални ниво дозволе: Глобални ниво дозвола наводи како се СЕЛинук понаша када налети на правило. По дефаулту, СеЛинук се поставља на извршење које ефикасно блокира све захтеве, али се може променити у пермисивно, што је на неки начин блаже према кориснику јер дозвољава приступ, али крши правила у своју евиденцију.
нано / етц / селинук / цонфиг 'подеси СЕЛИНУКС на дозволу или примену, СЕЛИНУКСТИПЕ на подразумевану вредност'
Проверите датотеку евиденције: Датотека евиденције у којој су наведена кршена правила по сваком захтеву. Ово чува евиденције само ако је омогућен СеЛинук.
греп селинук / вар / лог / аудит / аудит.Пријава
Омогућите и онемогућите политике и које заштите нуде: Ово је једна од најважнијих опција у СеЛинук-у, јер омогућава омогућавање и онемогућавање смерница. СеЛинук има велики број унапред изграђених смерница које одређују да ли је наведени захтев дозвољен или не. Неки од примера тога су аллов_фтпд_фулл_аццесс који одређује способност ФТП услуге да се пријави локалним корисницима и прочита записе свих датотека на систему, аллов_ссх_кеисигн који омогућава коришћење кључева приликом пријаве на ССХ, аллов_усер_мискл_цоннецт који омогућава корисницима да се повежу на мискл , хттпд_цан_сендмаил који одређује способност ХТТП услуге да пошаље е-пошту итд ... У следећем примеру кода инсталира полицицореутилс-питхон-утилс што заправо помаже у описном навођењу сваке политике, затим наводи све расположиве смернице за терминал , напокон учи како поставити или искључити политику, аллов_фтпд_фулл_аццесс је назив политике као што је приказано у терминалу који враћа семанаге,
апт-гет инсталл полицицореутилс-питхон-утилс семанаге боолеан -л сетсебоол -П аллов_фтпд_фулл_аццесс ОН
Напредне опције
Напредне опције су опције које помажу у проширивању функционалности СЕЛИнука. Постоји огромна количина комбинација због свеобухватне природе СеЛинука, тако да овај чланак наводи неке од истакнутих и корисних међу њима.
Контрола приступа заснована на улогама (РБАЦ): РБАЦ омогућава администраторима да пређу на начин заснован на улогама како би ограничили дозволу апликација. Шта то значи да је кориснику одређене корисничке групе дозвољено да извршава или извршава одређене унапред дефинисане радње. Све док је корисник део улоге, у реду је. То је иста ствар као и прелазак на роот када инсталирате апликације на Линук са административним правима.
семанаге логин -а -с 'мироле' -р 'с0-с0: ц0.ц1023 '
Корисници могу променити своју улогу следећом командом.
судо -р нев_роле_р -и
Корисници се такође могу даљински повезати са сервером путем ССХ-а са улогом омогућеном при покретању.
ссх/ [емаил заштићен]
Дозволите сервису да преслушава нестандардни порт: Ово је врло корисно у прилагођавању услуге, на пример када се ФТП порт промени у нестандардни како би се избегли неовлашћени приступи, СЕЛинук мора бити обавештен у складу с тим како би омогућио да такви портови пролазе и функционишу као и обично. Следећи пример омогућава ФТП порту да преслуша 992 порт. Исто тако, било која услуга коју је вратио семанаге порт -л може се заменити. Неки од популарних портова су хттп_порт_т, поп_порт_т, ссх_порт_т.
одвојена лука -а -тсемански порт -а -т фтп_порт_т -п тцп 992
Како онемогућити
Онемогућавање СЕЛинук-а је лакше јер је омогућено и инсталирано. У основи постоје два начина да се то онемогући. Било привремено или трајно. Онемогућавање СеЛинук-а привремено онемогућава га на неко време до следећег покретања, а чим се рачунар поново укључи, стање се поново покреће. С друге стране, трајно онемогућавање СеЛинука га искључује у потпуности излажући га претњама; отуда је мудар избор вратити Убунту-ов подразумевани АппАрмор барем због безбедности система.
Следећа команда на терминалу га привремено искључује:
сетенфорце 0
Трајно онемогућено уређивање / етц / селинук / цонфиг и подесите СЕЛИНУКС на онемогућен.
