SELinux Redhat'ı daha güvenli hale getirir mi?

SELinux Redhat'ı daha güvenli hale getirir mi?

SELinux'u ne zaman devre dışı bıraktığımı hatırlayamıyorum, çünkü işleri çalıştırmak için yeteneğimi sinirlendirmeye devam etti. Çoğu zaman işlerin neden çalışmadığının açık bir nedeni yoktu ve nedenini bulmak için Google'a gitmek zorunda kaldım.

Sıradan kullanıcıların çoğunun, ciddi, girişimci Redhat kullanıcılarının hariç tutulmasıyla, yoluna girdiğinde güvenliği devre dışı bırakacağı veya zayıflatacağı göz önüne alındığında, SELinux gerçekten yararlı mı?

PS. Tüm uygulamalarda SELinux sorunlarını günlüğe kaydetmenize, izlemenize ve yönetmenize yardımcı olan bazı araçlar var mı?

Evet, Selinux sistemi daha güvenli hale getirir. Ancak bunun kavramlarını anlamanız ve selinux ve denetim araçları hakkında en azından temel bilgiye sahip olmanız gerekir.

Selinux /var/log/audit/audit.log sitesine giriş yapıyor (ancak denetlemenin çalıştığından emin olun) ve selinux sorunlarını çözmek için çok sayıda araç var. Muhtemelen kullanmanın en basit yolu denetimdir2

Evet, SELinux, aslında kullanımda olduğu varsayılarak Red Hat'ı (ve onu kullanan diğer Linux dağıtımlarını) daha güvenli hale getirir.

SELinux zorunlu erişim kontrolü uygular . Normal Unix izinleri, EKL'ler vb . İsteğe bağlı erişim denetimi uygular . İkisi birbirini tamamlar.

Çalışmak için SELinux, sistem üzerinde hangi eylemlere izin verilebileceğini tanımlayan bir politika gerektirir. Tüm bir sistem politikasını sıfırdan oluşturmak mümkün olsa da, çoğu Linux dağıtımı, referans politikasına dayanan bir politika gönderir . Bu, diğer şeylerin yanı sıra, SELinux'u dağıtımlar arasında yapılandırmanın çok benzer olacağı anlamına gelir. (Çoğu Linux dağıtımı, SELinux referans ilkesini paket depolarında kullanılabilir hale getirir, ancak varsayılan olarak yüklenmeyebilir.)

SELinux, kullanıcıları ve işlemleri yalnızca politikada kendilerine izin verilen eylemleri gerçekleştirmeleri için kısıtlayarak çalışır. Varsayılan olarak, ilke reddetmektir, bu nedenle ilke bir eyleme açıkça izin vermezse gerçekleşmez. Bu yüzden SELinux'un yapmaya çalıştığınız bir şeye izin vermemesi konusunda sık sık sorun yaşarsınız.

Parlak tarafta, bu, istismarların, hatta 0 günlük istismarların bile kontrolden çıkmasını önler. Örneğin, web sunucunuzdan (Apache) yararlanırsa, hasar yalnızca Apache'nin erişebileceği şeylerle sınırlıdır. /etc/shadowÖrneğin, uzak bir root istismarıyla bile dosyanızı okuyamaz . Unix izinleri (DAC) root'un dosyayı okumasına izin verirken, SELinux (MAC) güvenliği ihlal edilmiş sürecin sınırların dışına çıkmasına izin vermez.

Büyük sorun, hizmet için yüklenmiş bir SELinux ilke modülü olması gerektiğidir. Kutunuza bir SELinux ilke modülü içermeyen bir hizmet yüklerseniz, serbest çalışacak ve istediği her şeyi yapabilecektir. SELinux buna uygulanmaz.

Bilmeniz gereken bir diğer şey de booleanlarla ilgili . Bu ayarlanabilir parametreler, SELinux ilkeleri tarafından belirli kurulumlar için özelleştirmek ve yerel yapılandırma gereksinimlerine göre erişime izin vermek veya reddetmek için sağlanır. Örneğin, Apache'nin Samba paylaşımlarına erişmesine izin verebilir, Samba'nın kullanıcı ana dizinlerini ve bazı kurulumlar için gerekli olan, ancak diğerleri için gerekli olmayan diğer birçok yararlı şeyi paylaşmasını sağlayabilirsiniz.

SELinux için şu anda gördüğüm en iyi rehber Red Hat'ın Güvenliği Geliştirilmiş Linux Kullanıcı Kılavuzu . Hızlı bir şekilde çalışmaya başlamanıza ve olanların arka plan ayrıntılarını doldurmanıza yardımcı olur. Ayrıca, SELinux altında işleminizi yürütmenize yardımcı olan kapsamlı bir sorun giderme kılavuzu da içerir .

Yararlı mı?

SELinux beklenmedik şeyler yaparak süreçlere (ve kullanıcılarınızı kısıtladıysanız kullanıcılara) karşı koruma sağlar. Uzaktan istismarın yapabileceği hasarı ciddi şekilde sınırlar. Daha önce hiç uzaktan uzlaşmamışsanız, (1) şanslısınız ve (2) muhtemelen yenisiniz. Eğer varsa var uzak uzlaşma çalıştı, kesinlikle her zamankinden daha olmasını istemiyorum.

Evde Internet'e dönük hizmetler çalıştırmıyorsanız (ve bazı insanlar bunu yapmazsa), bir ev ortamında o kadar yararlı değildir . Bu durumda, yukarıda belirtilen her şey geçerlidir.

SELinux, verilerinizle gerçekten isteyen 0 günlük bir istismara sahip bir saldırgan arasında duran son şey olabilir. Eğer varsa olabilir kullanmak, neden değil mi?

SELinux'un izinler üzerinde genişletilmiş ayarlar getirerek geleneksel izinler sistemini genişlettiğini düşünüyorum. Sisteminizi daha güvenli hale getiriyor mu? Bence SELinux'u uygulamalarınızda nasıl kullandığınıza bağlı. Ayrıca SELinux'da iyi değilim ama yapılandırmak size hangi kısıtlamaları sağlayabileceği konusunda daha fazla bilgiye ihtiyaç duyuyor. Ancak, üstesinden gelmek için manuel olarak araştırmanız gereken birçok sorunu da beraberinde getirir.

Kullanıcıların setrofixot adlı SELinux'un neden olduğu sorunları bulmasına yardımcı olan bir paket var. Kurun, başlangıçta çalışacak şekilde ayarlayın. Eğer SELinux reddi olsun Sonra, fark edilecektir /var/log/messages. GUI'de de oturum açtıysanız bir bildirim alırsınız.