Selinux no Debian Top 10 Buster

Evan Mueller
Selinux no Debian Top 10 Buster
Selinux é um sistema de rotulagem para processos e arquivos. Os sujeitos rotulados o acesso a objetos rotulados é restringido por regras que formam políticas. Este tutorial é uma introdução ao básico do Selinux, mostrando como configurar e ativar o Selinux no Debian 10 Buster e ativá -lo com algumas informações adicionais sobre comandos populares.

Antes de começar, você precisará aprender os seguintes conceitos:

Assuntos: processos ou usuários.
Objetos: arquivos ou sistemas de arquivos.

Execução de tipo: No Selinux, todos os assuntos e objetos têm um identificador de tipo terminando com _t. ““A aplicação do tipo é a noção de que, em um sistema obrigatório de controle de acesso, o acesso é governado por meio de liberação com base em um conjunto de regras de objeto-objeto-objeto de objeto.

No Selinux, o tipo de aplicação é implementado com base nos rótulos dos assuntos e objetos. Selinux por si só não tem regras que dizem /BIN/BASH pode executar /bin/ls. Em vez disso, possui regras semelhantes a “processos com o rótulo user_t pode executar arquivos regulares rotulados bin_t.”(Fonte https: // wiki.Gentoo.org/wiki/selinux/type_enforcement)

Controle de acesso discricionário (DAC): DAC é o sistema de propriedade e permissão que usamos no Linux para gerenciar o acesso a objetos como arquivos ou diretórios. O controle de acesso discricionário não tem nada a ver com o Selinux e é uma camada de segurança diferente. Para obter informações adicionais sobre o DAC, visite as permissões Linux explicadas.

Controle de acesso obrigatório (MAC): é um tipo de controle de acesso que restringe os sujeitos que acordam a interação com objetos. Ao contrário do DAC com os usuários de Mac, não podem alterar as políticas.
Assuntos e objetos têm um contexto de segurança (atributos de segurança) monitorado por Selinux e administrado de acordo com as políticas de segurança feitas por regras a serem cumpridas.


Controle de acesso baseado em função (RBAC): é um tipo de controle de acesso baseado em funções, ele pode ser combinado com Mac e DAC. As políticas do RBAC simplificam o gerenciamento de muitos usuários de uma organização em contraste com o DAC, o que pode derivar em atribuições de permissão individual, ele facilita mais a auditoria, configuração e atualizações de políticas.

Modo de aplicação: Selinux restringe os sujeitos o acesso a objetos com base em políticas.

Modo Permissivo: Selinux apenas registra atividades ilegítimas.

Os recursos do Selinux incluem (lista da Wikipedia):

  • Separação limpa da política da execução
  • Interfaces de política bem definidas
  • Suporte para aplicativos consultando a política e aplicando o controle de acesso (por exemplo, Crond executando empregos no contexto correto)
  • Independência de políticas específicas e idiomas políticos
  • Independência de formatos e conteúdos específicos de rótulos de segurança
  • Etiquetas e controles individuais para objetos e serviços do kernel
  • Suporte para mudanças de política
  • Medidas separadas para proteger a integridade do sistema (tipo de domínio) e confidencialidade dos dados (Segurança multinível)
  • Política flexível
  • Controles sobre a inicialização e herança do processo e a execução do programa
  • Controles sobre sistemas de arquivos, diretórios, arquivos e abertos Descritores de arquivo
  • Controles sobre soquetes, mensagens e interfaces de rede
  • Controles sobre o uso de "capacidades"
  • Informações em cache sobre decisões de acesso por meio do Cache de Vetor de Acesso (AVC)
  • Padrão-deque-deno Política (qualquer coisa que não seja explicitamente especificada na política não é permitida).

Fonte: https: // pt.Wikipedia.Org/Wiki/Security-Encanced_linux#Recursos

Observação: Os usuários são diferentes no Selinux e Passwd.

Configurando Selinux no Debian 10 Buster

No meu caso, Selinux foi desativado no Debian 10 Buster. Manter o Selinux ativado é uma das etapas básicas para manter um dispositivo Linux seguro. Para conhecer o status de Selinux em seu dispositivo, execute o comando:

/# sestatus

Eu descobri que o Selinux estava desativado, para ativá -lo, você precisa instalar alguns pacotes antes, depois de um Atualização APT, Execute o comando:

/# APT Install Selinux-Basics Selinux-Policy-Default

Se solicitado, pressione Y Para continuar o processo de instalação. Correr Atualização APT Depois de terminar a instalação.

Para ativar o Selinux, execute o seguinte comando:

/# Selinux-Activate

Como você pode ver, Selinux foi ativado corretamente. Para aplicar todas as alterações, você deve reiniciar seu sistema conforme instruído.

O comando getenforce pode ser usado para aprender o status do Selinux, se estiver em modo permissivo ou de aplicação:

/# getenforce

O modo permissivo pode ser substituído definindo o parâmetro 1 (Permissivo é 0). Você também pode verificar o modo no arquivo de configuração usando o comando menos:

/# menos/etc/Selinux/config

Saída:

Como você pode ver, os arquivos de configuração mostram o modo permissivo. Imprensa Q para sair.

Para ver um contexto de segurança de arquivo ou processo, você pode usar o sinalizador -z:

/# ls -z

O formato da etiqueta é Usuário: Função: Tipo: Nível.

Semanage - Ferramenta de Gerenciamento de Políticas da Selinux

Semanage é a ferramenta de gerenciamento de políticas do Selinux. Ele permite gerenciar booleanos (que permitem modificar o processo na execução), funções e níveis do usuário, interfaces de rede, módulos de política e mais. Semanage permite configurar políticas de Selinux sem a necessidade de compilar fontes. Semanage permite o link entre os usuários do sistema operacional e Selinux e determinados contextos de segurança de objetos.

Para obter informações adicionais sobre semanage, visite a página do homem em: https: // linux.morrer.net/homem/8/semanage

Conclusão e notas

O Selinux é uma maneira adicional de administrar o acesso de processos a recursos do sistema, como arquivos, partições, diretórios, etc. Permite gerenciar privilégios maciços de acordo com a função, nível ou tipo. Tê -lo ativado é uma medida de segurança obrigatória e, ao usá -lo, é importante lembrar sua camada de segurança e reiniciar o sistema após ativá -lo ou desativá -lo (desabilitar não é recomendado, exceto para testes específicos). Às vezes, um acesso ao arquivo é bloqueado, apesar do sistema ou das permissões do sistema operacional, é concedido porque o Selinux está proibindo -o.

Espero que você tenha achado este artigo sobre Selinux útil como introdução esta solução de segurança, continue seguindo Linuxhint para obter mais dicas e atualizações sobre Linux e rede.

Artigos relacionados:

  • Selinux no tutorial do Ubuntu
  • Como desativar o Selinux no CentOS 7
  • Lista de verificação de endurecimento da segurança Linux
  • Perfis de Aparmor no Ubuntu
Golang
O que são constantes em Golang?
No idioma Go, as constantes são variáveis ​​com valores fixos que não podem ser alterados durante a ...
Shaun Bogan
C ++
Como usar a instrução Switch em C++?
A instrução Switch é uma instrução condicional em C ++ que testa uma variável contra vários valores ...
Mr. Warren Cummerata
Golang
O que é uma palavra -chave de alcance em Golang
Em Golang, os loops, como para o loop iteram através dos elementos de uma matriz, fatias, canais ou ...
Jackie Blanda
Oracle Linux
Como instalar e usar o pacote de extensão Oracle VirtualBox?
Carl Hintz DDS
Pitão
Como faço para converter uma exceção em uma string em python
Rickey Greenholt
Pitão
Como faço para verificar se uma string está vazia em python
Marlon Bernhard
JavaScript
Como usar o método getElementsByTagName em JavaScript
Ed Treutel IV
html
Como usar a propriedade Mouseevent Pagey?
Evan Mueller
Pitão
O que é B String em Python?
Evan Mueller
C Programação
Livros e guias para a linguagem C
Tommie Konopelski
C ++
Como usar expressões booleanas em C ++
Marlon Bernhard
php
Como verificar se uma matriz está vazia em php?
Bryant Rowe Sr.
C ++
O que são identificadores em C++?
Benny Hilll DDS