Varnost vašega sistema Linux lahko izboljšate tako, da namestite in implementirate SELinux. To zagotavlja dodatno raven zaščite z izolacijo aplikacij v sistemu in zaščito gostitelja.
Ubuntu privzeto uporablja AppArmor, še en obvezni sistem za nadzor dostopa. Da bo vaš sistem Linux varnejši, lahko namesto tega uporabite SELinux. Poglejmo, kako lahko namestite in konfigurirate SELinux na Ubuntu z uporabo nekaj osnovnih ukazov Linuxa.
Kaj je SELinux?
Security-Enhanced Linux (SELinux) je varnostni modul jedra Linuxa, ki ponuja mehanizem za podporo varnostnih politik nadzora dostopa, vključno z obveznim nadzorom dostopa (MAC).
SELinux je varnostna izboljšava za Linux, ki vključuje spremembe jedra in uporabniških orodij. Ločuje izvajanje varnostnih odločitev od varnostne politike in poenostavlja postopek uveljavljanja politike.
Kako namestiti SELinux na Ubuntu
Tukaj so koraki za namestitev SELinuxa na računalnik Ubuntu:
1. korak: Posodobite in nadgradite Ubuntu
Preden začnete nameščati SELinux, posodobite in nadgradite svoj sistem, da boste lahko nemoteno nameščali nove aplikacije, ne da bi naleteli na kakršne koli težave s pokvarjenimi ali zastarelimi paketi.
Če želite posodobiti in nadgraditi Ubuntu, odprite terminal s pritiskom Ctrl + Alt + Tin zaženite:
sudo apt-get nadgradnja && apt-dobitinadgradnja
2. korak: zaustavite in odstranite AppArmor na Ubuntu
Še ena stvar, ki jo morate storiti, preden namestite SELinux, je, da onemogočite AppArmor ali ga popolnoma odstranite.
Če želite onemogočiti AppArmor, najprej zaustavite storitev s pomočjo pripomočka systemctl:
sudo systemctl stop apparmor
Ko ustavite storitev, preverite njen status z:
systemctl status apparmor
Zdaj lahko preprosto onemogočite AppArmor tako, da zaženete:
sudo systemctl onemogočiti apparmor
V redu je, če želite samo onemogočiti storitev in je ne odstraniti. Če pa ga želite tudi odstraniti, izvedite:
sudo apt-dobiti odstraniti apparmor -y
Da bodo spremembe začele veljati, znova zaženite svoj računalnik Ubuntu:
ponovni zagon sudo
3. korak: Namestite SELinux na Ubuntu
Preden namestite SELinux, morate vedeti, da njegova namestitev vključuje tveganje. Storitev lahko pusti vaš sistem nestabilen, zato se prepričajte varnostno kopirajte sistem, preden nadaljujete z njim.
Če uporabljate virtualno okolje, naredite posnetek virtualnega stroja Ubuntu (VM), preden naredite kakršne koli spremembe v sistemu.
Če želite namestiti SELinux in njegove bistvene odvisnosti na Ubuntu, zaženite:
sudo apt-dobiti namestite policycoreutils selinux-utils selinux-basics -y
Po namestitvi SELinuxa in njegovih odvisnosti aktivirajte storitev z:
sudo selinux-aktiviraj
4. korak: Nastavite načine SELinux v Ubuntuju
V SELinuxu so na voljo štirje različni načini:
- Onemogoči način
- Omogoči način
- Permisivni način
- Način uveljavljanja
Prvi način, onemogoči, z imenom pove, čemu služi. Če ste način SELinux onemogočili, to pomeni, da storitev v vašem sistemu ni aktivna. Po drugi strani pa je način omogočanja nasproten, kar pomeni, da se storitev SELinux izvaja v vašem sistemu.
Ko je način SELinux nastavljen na omogočeno, lahko uporabite permisivni ali prisilni način. Uporabite permisivni način, ko morate le spremljati interakcije. Če pa želite filtrirati in spremljati interakcije, uporabite način uveljavljanja.
Če želite način SELinux nastaviti na uveljavitev, izvedite:
sudo selinux-config-enforcing
Namesto tega lahko uporabite tudi ta ukaz, da nastavite način za uveljavljanje:
setenforce 1
Če želite posodobiti spremembe, znova zaženite sistem:
ponovni zagon sudo
Ko se sistem znova zažene, preverite stanje SELinuxa in se prepričajte, da je omogočen:
setstatus
Če želite način nastaviti na dopusten, uporabite:
setenforce 0
Po spremembi načina morate vedno znova zagnati.
ponovni zagon sudo
Uporabite enega od dveh ukazov, da preverite stanje storitve in spremembe, ki ste jih pravkar naredili:
setstatus
getenforce
The getenforce ukaz natisne samo trenutni način na terminalu. Vendar pa ukaz setstatus poda več podrobnosti o načinu, ki je trenutno nastavljen v vašem sistemu.
Trenutne načine lahko preverite tudi z dostopom do /etc/sysconfig/selinux mapa.
Permisivni način je bolj prilagodljiv v primerjavi z uveljavljanjem. Ta način ne blokira vseh zahtev in hrani dnevniško datoteko za shranjevanje dogodka, če pride do kršitve pravila.
Dostop do dnevniške datoteke SELinux v Ubuntuju
Dnevnike SELinux boste našli v audit.log datoteka, shranjena v /var/log/audit imenik.
Za ogled dnevnikov SELinux zaženite:
grep selinux /var/log/audit/audit.log
Kako onemogočiti SELinux v Ubuntuju
Raziščimo zdaj, kako odstraniti ali onemogočiti SELinux v Ubuntuju. Za to lahko uporabite dva načina:
1. Začasno onemogoči SELinux
Ko začasno onemogočite SELinux, takoj ustavite njegovo uveljavljanje in nadaljujete s SELinuxom v neaktivnem stanju do naslednjega ponovnega zagona sistema. Po ponovnem zagonu se bo SELinux vrnil na uveljavitev.
Če želite začasno onemogočiti SELinux, morate najprej postati uporabnik root:
sudo -i
Zdaj onemogočite SELinux z:
odmev 0 > /selinux/uveljaviti
Namesto tega lahko uporabite tudi orodje setenforce, da onemogočite SELinux za trenutno sejo:
setenforce 0
2. Trajno onemogočite SELinux
SELinux lahko tudi trajno onemogočite z njegovo konfiguracijsko datoteko, tako da se po vsakem vnovičnem zagonu ne vrne na uveljavitev.
Če želite onemogočiti SELinux, odprite konfiguracijsko datoteko, ki se nahaja v /etc/selinux/config imenik:
sudo nano /etc/selinux/config
Poiščite vrstico "SELINUX=uveljavljanje« v vsebini datoteke in jo spremenite v »SELinux=onemogočeno”.
Ko končate, shranite in zaprite datoteko s pritiskom na Ctrl + X, potem Y, in udaril Vnesite.
Kako odstraniti SELinux na Ubuntu
Če ne želite več uporabljati SELinuxa in ga morate odstraniti zaradi težav z nestabilnostjo, zaženite:
sudo apt-dobiti namestite policycoreutils selinux-utils selinux-basics -y
Zgornji ukaz bo popolnoma odstranil SELinux in njegove odvisnosti iz vašega sistema.
Dodajte dodatno varnost Linuxu z uporabo SELinux
SELinux lahko zagotovi dodatno zaščito z omejevanjem širjenja kršitve varnosti. Poleg tega lahko zaščiti spletne strežnike glede na način SELinux, ki ste ga izbrali. Način lahko nastavite na permisivni ali prisilni.
Poleg tega obstajajo še drugi ukrepi, ki jih lahko sprejmete, da zagotovite varnost svojega sistema Linux, kot je uporaba močnih gesel. Od računalnika z operacijskim sistemom Linux lahko zahtevate, da za vas ustvari močna gesla z uporabo več orodij ukazne vrstice, kot so apg, gpg, pwgen itd.