Selinux no Debian Top 10 Buster

Evan Mueller
Selinux no Debian Top 10 Buster
Selinux é um sistema de rotulagem para processos e arquivos. Os sujeitos rotulados o acesso a objetos rotulados é restringido por regras que formam políticas. Este tutorial é uma introdução ao básico do Selinux, mostrando como configurar e ativar o Selinux no Debian 10 Buster e ativá -lo com algumas informações adicionais sobre comandos populares.

Antes de começar, você precisará aprender os seguintes conceitos:

Assuntos: processos ou usuários.
Objetos: arquivos ou sistemas de arquivos.

Execução de tipo: No Selinux, todos os assuntos e objetos têm um identificador de tipo terminando com _t. ““A aplicação do tipo é a noção de que, em um sistema obrigatório de controle de acesso, o acesso é governado por meio de liberação com base em um conjunto de regras de objeto-objeto-objeto de objeto.

No Selinux, o tipo de aplicação é implementado com base nos rótulos dos assuntos e objetos. Selinux por si só não tem regras que dizem /BIN/BASH pode executar /bin/ls. Em vez disso, possui regras semelhantes a “processos com o rótulo user_t pode executar arquivos regulares rotulados bin_t.”(Fonte https: // wiki.Gentoo.org/wiki/selinux/type_enforcement)

Controle de acesso discricionário (DAC): DAC é o sistema de propriedade e permissão que usamos no Linux para gerenciar o acesso a objetos como arquivos ou diretórios. O controle de acesso discricionário não tem nada a ver com o Selinux e é uma camada de segurança diferente. Para obter informações adicionais sobre o DAC, visite as permissões Linux explicadas.

Controle de acesso obrigatório (MAC): é um tipo de controle de acesso que restringe os sujeitos que acordam a interação com objetos. Ao contrário do DAC com os usuários de Mac, não podem alterar as políticas.
Assuntos e objetos têm um contexto de segurança (atributos de segurança) monitorado por Selinux e administrado de acordo com as políticas de segurança feitas por regras a serem cumpridas.


Controle de acesso baseado em função (RBAC): é um tipo de controle de acesso baseado em funções, ele pode ser combinado com Mac e DAC. As políticas do RBAC simplificam o gerenciamento de muitos usuários de uma organização em contraste com o DAC, o que pode derivar em atribuições de permissão individual, ele facilita mais a auditoria, configuração e atualizações de políticas.

Modo de aplicação: Selinux restringe os sujeitos o acesso a objetos com base em políticas.

Modo Permissivo: Selinux apenas registra atividades ilegítimas.

Os recursos do Selinux incluem (lista da Wikipedia):

  • Separação limpa da política da execução
  • Interfaces de política bem definidas
  • Suporte para aplicativos consultando a política e aplicando o controle de acesso (por exemplo, Crond executando empregos no contexto correto)
  • Independência de políticas específicas e idiomas políticos
  • Independência de formatos e conteúdos específicos de rótulos de segurança
  • Etiquetas e controles individuais para objetos e serviços do kernel
  • Suporte para mudanças de política
  • Medidas separadas para proteger a integridade do sistema (tipo de domínio) e confidencialidade dos dados (Segurança multinível)
  • Política flexível
  • Controles sobre a inicialização e herança do processo e a execução do programa
  • Controles sobre sistemas de arquivos, diretórios, arquivos e abertos Descritores de arquivo
  • Controles sobre soquetes, mensagens e interfaces de rede
  • Controles sobre o uso de "capacidades"
  • Informações em cache sobre decisões de acesso por meio do Cache de Vetor de Acesso (AVC)
  • Padrão-deque-deno Política (qualquer coisa que não seja explicitamente especificada na política não é permitida).

Fonte: https: // pt.Wikipedia.Org/Wiki/Security-Encanced_linux#Recursos

Observação: Os usuários são diferentes no Selinux e Passwd.

Configurando Selinux no Debian 10 Buster

No meu caso, Selinux foi desativado no Debian 10 Buster. Manter o Selinux ativado é uma das etapas básicas para manter um dispositivo Linux seguro. Para conhecer o status de Selinux em seu dispositivo, execute o comando:

/# sestatus

Eu descobri que o Selinux estava desativado, para ativá -lo, você precisa instalar alguns pacotes antes, depois de um Atualização APT, Execute o comando:

/# APT Install Selinux-Basics Selinux-Policy-Default

Se solicitado, pressione Y Para continuar o processo de instalação. Correr Atualização APT Depois de terminar a instalação.

Para ativar o Selinux, execute o seguinte comando:

/# Selinux-Activate

Como você pode ver, Selinux foi ativado corretamente. Para aplicar todas as alterações, você deve reiniciar seu sistema conforme instruído.

O comando getenforce pode ser usado para aprender o status do Selinux, se estiver em modo permissivo ou de aplicação:

/# getenforce

O modo permissivo pode ser substituído definindo o parâmetro 1 (Permissivo é 0). Você também pode verificar o modo no arquivo de configuração usando o comando menos:

/# menos/etc/Selinux/config

Saída:

Como você pode ver, os arquivos de configuração mostram o modo permissivo. Imprensa Q para sair.

Para ver um contexto de segurança de arquivo ou processo, você pode usar o sinalizador -z:

/# ls -z

O formato da etiqueta é Usuário: Função: Tipo: Nível.

Semanage - Ferramenta de Gerenciamento de Políticas da Selinux

Semanage é a ferramenta de gerenciamento de políticas do Selinux. Ele permite gerenciar booleanos (que permitem modificar o processo na execução), funções e níveis do usuário, interfaces de rede, módulos de política e mais. Semanage permite configurar políticas de Selinux sem a necessidade de compilar fontes. Semanage permite o link entre os usuários do sistema operacional e Selinux e determinados contextos de segurança de objetos.

Para obter informações adicionais sobre semanage, visite a página do homem em: https: // linux.morrer.net/homem/8/semanage

Conclusão e notas

O Selinux é uma maneira adicional de administrar o acesso de processos a recursos do sistema, como arquivos, partições, diretórios, etc. Permite gerenciar privilégios maciços de acordo com a função, nível ou tipo. Tê -lo ativado é uma medida de segurança obrigatória e, ao usá -lo, é importante lembrar sua camada de segurança e reiniciar o sistema após ativá -lo ou desativá -lo (desabilitar não é recomendado, exceto para testes específicos). Às vezes, um acesso ao arquivo é bloqueado, apesar do sistema ou das permissões do sistema operacional, é concedido porque o Selinux está proibindo -o.

Espero que você tenha achado este artigo sobre Selinux útil como introdução esta solução de segurança, continue seguindo Linuxhint para obter mais dicas e atualizações sobre Linux e rede.

Artigos relacionados:

  • Selinux no tutorial do Ubuntu
  • Como desativar o Selinux no CentOS 7
  • Lista de verificação de endurecimento da segurança Linux
  • Perfis de Aparmor no Ubuntu
C Programação
O que são cordas na programação C?
Uma string é uma sequência de caracteres. C não suporta explicitamente os tipos de dados de string. ...
Orlando Green
C nítido
Qual é a diferença entre int e duplo em c#
Inteiros (int) são números inteiros, o que significa que eles não têm pontos decimais. Duplas (dupla...
Marlon Bernhard
Ubuntu
Como tirar capturas de tela do shell de login do servidor Ubuntu/Debian
Tutorial prático sobre como instalar o programa FBGRAB e como tirar capturas de tela da interface da...
Bryant Rowe Sr.
Pitão
Como faço para converter uma exceção em uma string em python
Rickey Greenholt
Windows OS
Qual é a diferença entre o Windows Top 10 Home e Pro
Evan Mueller
C nítido
O que é sistema.Namespace io em c#
Mr. Warren Cummerata
Docker
Docker Motor Plugins
Benny Hilll DDS
php
Como buscar a lista de fuso horário do PHP
Pedro Macejkovic
Oracle Linux
Como instalar o Oracle SQL Developer no Windows?
Pedro Macejkovic
Docker
Como usar o comando cópia do docker para transferir um arquivo de um contêiner do docker para a máquina host?
Ed Treutel IV
Java
Como contar o número de palavras em uma string usando java?
Benny Hilll DDS
MS SQL Server
O que é MySQL RDBMS um guia abrangente
Shaun Bogan
Pitão
O que é B String em Python?
Evan Mueller