Phenquestions
Пре почетка мораћете да научите следеће концепте:
Предмети: процеси или корисници.
Објекти: датотеке или систем датотека.
Извршење типа: на СЕЛинук-у сви субјекти и објекти имају идентификатор типа који се завршава са _т. „Провођење типа је појам да се у обавезном систему контроле приступа приступ управља путем одобрења на основу скупа правила субјект-приступ-објекту.
У СЕЛинук-у се спровођење типа спроводи на основу ознака субјеката и објеката. СЕЛинук сам по себи нема правила која кажу / бин / басх може извршити / бин / лс. Уместо тога, он има правила слична „Процеси са ознаком усер_т могу извршавати редовне датотеке са ознаком бин_т.”(Извор хттпс: // вики.гентоо.орг / вики / СЕЛинук / Типе_енфорцемент)
Дискрециона контрола приступа (ДАЦ): ДАЦ је систем власништва и дозвола који користимо у Линуку за управљање приступом објектима попут датотека или директорија. Дискрециона контрола приступа нема никакве везе са СЕЛинук-ом и представља другачији сигурносни слој. За додатне информације о ДАЦ-у посетите Објашњене дозволе за Линук.
Обавезна контрола приступа (МАЦ): је врста контроле приступа која ограничава приступ субјеката у интеракцији са објектима. Супротно ДАЦ-у, МАЦ корисници не могу да мењају смернице.
Предмети и објекти имају сигурносни контекст (сигурносни атрибути) који надгледа СЕЛинук и њима се управља у складу са сигурносним политикама сачињеним правилима која треба применити.
Контрола приступа заснована на улогама (РБАЦ): је врста контроле приступа заснована на улогама, може се комбиновати са МАЦ и ДАЦ. РБАЦ политике чине управљање многим корисницима у организацији једноставним, за разлику од ДАЦ-а који може да се изведе у појединачним задацима дозвола, олакшава ревизију, конфигурацију и ажурирање смерница.
Начин примене: СЕЛинук ограничава приступ субјеката објектима на основу смерница.
Дозвољени начин: СЕЛинук евидентира само нелегитимне активности.
СЕЛинук функције укључују (листа Википедије):
- Чисто одвајање политике од спровођења
- Добро дефинисани интерфејси политике
- Подршка за апликације које постављају упите у смернице и примењују контролу приступа (на пример, цронд покретање послова у исправном контексту)
- Независност одређених политика и језика политике
- Независност одређених формата и садржаја безбедносних налепница
- Појединачне ознаке и контроле за објекте и услуге језгра
- Подршка променама политика
- Одвојене мере за заштиту интегритета система (типа домена) и поверљивости података (вишеразинска сигурност)
- Флексибилна политика
- Контроле над иницијализацијом и наслеђивањем процеса и извршавањем програма
- Контролише систем датотека, директоријуме, датотеке и отвара дескриптори датотека
- Контроле над утичницама, порукама и мрежним интерфејсима
- Контроле над употребом „могућности“
- Кеширане информације о одлукама о приступу путем приступне кеш меморије (АВЦ)
- Дефаулт-дени полиса (све што није изричито наведено у полиси је забрањено).
Извор: хттпс: // ен.википедиа.орг / вики / Сецурити-Енханцед_Линук # Карактеристике
Белешка: корисници се разликују на СЕЛинук-у и пассвд-у.
Постављање СЕЛинук-а на Дебиан 10 Бустер-у
У мом случају СЕЛинук је онемогућен на Дебиан 10 Бустеру. Одржавање СЕЛинук-а један је од основних корака за заштиту Линук уређаја. Да бисте знали статус СЕЛинук-а на уређају, покрените наредбу:
/ # сестатус
Открио сам да је СЕЛинук онемогућен, да бисте га омогућили, морате инсталирати неке пакете пре, после апт упдате, покрените команду:
/ # апт инсталл селинук-басицс селинук-полици-дефаулт
Ако се затражи притисните И да бисте наставили поступак инсталације. Трцати апт упдате по завршетку уградње.
Да бисте омогућили СЕЛинук, покрените следећу наредбу:
/ # селинук-ацтивате
Као што видите, СЕЛинук је правилно активиран. Да бисте применили све промене, морате поново покренути систем према упутствима.
Команда гетенфорце се може користити за учење СЕЛинук статуса ако је у пермисивном или принудном режиму:
/ # гетенфорце
Дозвољени начин рада могао би се заменити подешавањем параметра 1 (дозвољено је 0). Такође помоћу команде можете да проверите режим у конфигурационој датотеци мање:
/ # мање / етц / селинук / цонфиг
Излаз:
Као што видите, конфигурационе датотеке приказују дозвољени режим. Притисните К да престанем.
Да бисте видели безбедносни контекст датотеке или процеса, можете користити заставицу -З:
/ # лс -З
Формат етикете је корисник: улога: тип: ниво.
семанаге - Алат за управљање политикама СЕЛинук
семанаге је СЕЛинук алат за управљање политикама. Омогућава управљање логичким вредностима (које омогућавају измену процеса у току), корисничким улогама и нивоима, мрежним интерфејсима, модулима смерница и још много тога. Семанаге омогућава конфигурисање СЕЛинук политика без потребе за компајлирањем извора. Семанаге омогућава везу између ОС и СЕЛинук корисника и одређених контекста заштите објеката.
За додатне информације о семанаге посетите ман страницу на: хттпс: // линук.умрети.нет / ман / 8 / семанаге
Закључак и белешке
СЕЛинук је додатни начин администрирања приступа процесима системским ресурсима као што су датотеке, партиције, директоријуми итд. Омогућава управљање масовним привилегијама према улози, нивоу или типу. Ако је омогућено, обавезна је мера заштите, а приликом употребе важно је запамтити његов сигурносни слој и поново покренути систем након омогућавања или онемогућавања (онемогућавање се уопште не препоручује, осим за одређене тестове). Понекад је приступ датотекама блокиран упркос додељеним системским или ОС дозволама јер СЕЛинук то забрањује.
Надам се да вам је овај чланак о СЕЛинуку био користан као увод овог сигурносног решења, наставите да следите ЛинукХинт за више савета и исправки о Линуку и умрежавању.
Повезани чланци:
- СЕЛинук на Убунту водичу
- Како онемогућити СЕЛинук на ЦентОС 7
- Контролна листа за учвршћивање Линук сигурности
- АппАрмор Профили на Убунту-у
