ലിനക്സിൽ SELinux അല്ലെങ്കിൽ AppArmor ഉപയോഗിച്ച് നിർബന്ധിത ആക്സസ് നിയന്ത്രണം നടപ്പിലാക്കുന്നു
സ്റ്റാൻഡേർഡ് ugo/rwx
അനുമതികളും ആക്സസ് കൺട്രോൾ ലിസ്റ്റുകളും നൽകുന്ന സുരക്ഷാ സംവിധാനങ്ങളുടെ പരിമിതികൾ മറികടക്കുന്നതിനും വർദ്ധിപ്പിക്കുന്നതിനും, യുണൈറ്റഡ് സ്റ്റേറ്റ്സ് നാഷണൽ സെക്യൂരിറ്റി ഏജൻസി (NSA) അറിയപ്പെടുന്ന ഒരു ഫ്ലെക്സിബിൾ നിർബന്ധിത ആക്സസ് കൺട്രോൾ (MAC) രീതി ആവിഷ്കരിച്ചു. SELinux (സെക്യൂരിറ്റി എൻഹാൻസ്uഡ് ലിനക്uസിന്റെ ചുരുക്കം) ആയി, സിസ്റ്റം ഒബ്uജക്uറ്റുകളിൽ (ഫയലുകൾ, ഡയറക്uടറികൾ, നെറ്റ്uവർക്ക് പോർട്ടുകൾ മുതലായവ) ആക്uസസ് ചെയ്യാനോ മറ്റ് പ്രവർത്തനങ്ങൾ നടത്താനോ ഉള്ള പ്രോസസുകളുടെ കഴിവ്, സാധ്യമായ ഏറ്റവും കുറഞ്ഞ അനുമതിയിൽ, ഈ മോഡലിൽ പിന്നീട് മാറ്റങ്ങൾ വരുത്താൻ അനുവദിക്കുന്നു.
മറ്റൊരു ജനപ്രിയവും വ്യാപകമായി ഉപയോഗിക്കുന്നതുമായ MAC ആണ് AppArmor, അതിൽ SELinux നൽകുന്ന സവിശേഷതകൾക്ക് പുറമേ, ഒരു പ്രത്യേക ആപ്ലിക്കേഷൻ എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് \പഠിക്കുന്നതിനും സുരക്ഷിതമായ ആപ്ലിക്കേഷൻ ഉപയോഗത്തിനായി പ്രൊഫൈലുകൾ ക്രമീകരിച്ചുകൊണ്ട് പരിധികൾ ക്രമീകരിക്കുന്നതിനും സിസ്റ്റത്തെ അനുവദിക്കുന്ന ഒരു ലേണിംഗ് മോഡ് ഉൾപ്പെടുന്നു. .
CentOS 7-ൽ, SELinux കേർണലിൽ തന്നെ സംയോജിപ്പിച്ചിരിക്കുന്നു, കൂടാതെ AppArmor ഉപയോഗിക്കുന്ന openSUSE, Ubuntu എന്നിവയ്uക്ക് വിരുദ്ധമായി സ്ഥിരസ്ഥിതിയായി എൻഫോഴ്uസിംഗ് മോഡിൽ പ്രവർത്തനക്ഷമമാക്കുന്നു (ഇതിനെക്കുറിച്ച് കൂടുതൽ അടുത്ത വിഭാഗത്തിൽ).
ഈ ലേഖനത്തിൽ SELinux, AppArmor എന്നിവയുടെ അവശ്യകാര്യങ്ങളും നിങ്ങൾ തിരഞ്ഞെടുത്ത വിതരണത്തെ ആശ്രയിച്ച് നിങ്ങളുടെ പ്രയോജനത്തിനായി ഈ ടൂളുകളിൽ ഒന്ന് എങ്ങനെ ഉപയോഗിക്കാമെന്നും ഞങ്ങൾ വിശദീകരിക്കും.
SELinux-ലേക്കുള്ള ആമുഖവും CentOS 7-ൽ അത് എങ്ങനെ ഉപയോഗിക്കാം
സുരക്ഷ മെച്ചപ്പെടുത്തിയ ലിനക്സിന് രണ്ട് വ്യത്യസ്ത രീതികളിൽ പ്രവർത്തിക്കാൻ കഴിയും:
- നിർവ്വഹിക്കുന്നു: സെക്യൂരിറ്റി എഞ്ചിനെ നിയന്ത്രിക്കുന്ന ഒരു കൂട്ടം മാർഗ്ഗനിർദ്ദേശങ്ങളായ SELinux നയ നിയമങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള ആക്uസസ് SELinux നിരസിക്കുന്നു.
- അനുവദനീയം: SELinux ആക്uസസ്സ് നിരസിക്കുന്നില്ല, എന്നാൽ എൻഫോഴ്uസിംഗ് മോഡിൽ പ്രവർത്തിക്കുകയാണെങ്കിൽ നിരസിക്കപ്പെടുമായിരുന്ന പ്രവർത്തനങ്ങൾക്കായി നിഷേധങ്ങൾ ലോഗ് ചെയ്uതിരിക്കുന്നു.
SELinux പ്രവർത്തനരഹിതമാക്കാനും കഴിയും. ഇത് ഒരു ഓപ്പറേഷൻ മോഡ് അല്ലെങ്കിലും, ഇത് ഇപ്പോഴും ഒരു ഓപ്ഷനാണ്. എന്നിരുന്നാലും, ഈ ഉപകരണം എങ്ങനെ ഉപയോഗിക്കണമെന്ന് പഠിക്കുന്നത് അത് അവഗണിക്കുന്നതിനേക്കാൾ നല്ലതാണ്. മനസ്സിൽ സൂക്ഷിക്കുക!
SELinux-ന്റെ നിലവിലെ മോഡ് പ്രദർശിപ്പിക്കുന്നതിന്, getenforce
ഉപയോഗിക്കുക. നിങ്ങൾക്ക് ഓപ്പറേഷൻ മോഡ് ടോഗിൾ ചെയ്യണമെങ്കിൽ, setenforce 0
(അത് അനുവദനീയമായി സജ്ജമാക്കാൻ) അല്ലെങ്കിൽ setenforce 1
(എൻഫോഴ്സിംഗ്) ഉപയോഗിക്കുക.
ഈ മാറ്റം ഒരു റീബൂട്ടിനെ അതിജീവിക്കില്ല എന്നതിനാൽ, നിങ്ങൾ /etc/selinux/config ഫയൽ എഡിറ്റ് ചെയ്യുകയും SELINUX വേരിയബിൾ enforcing
, permissive
, അല്ലെങ്കിൽ എന്നിങ്ങനെ സജ്ജമാക്കുകയും വേണം. റീബൂട്ടുകളിലുടനീളം സ്ഥിരത കൈവരിക്കുന്നതിന് >അപ്രാപ്തമാക്കി
:
ഒരു വശത്ത് കുറിപ്പിൽ, getenforce
അപ്രാപ്തമാക്കി നൽകുകയാണെങ്കിൽ, നിങ്ങൾക്ക് ആവശ്യമുള്ള പ്രവർത്തന മോഡ് ഉപയോഗിച്ച് /etc/selinux/config എഡിറ്റ് ചെയ്ത് റീബൂട്ട് ചെയ്യേണ്ടിവരും. അല്ലെങ്കിൽ, നിങ്ങൾക്ക് setenforce
ഉപയോഗിച്ച് പ്രവർത്തന മോഡ് സജ്ജമാക്കാൻ (അല്ലെങ്കിൽ ടോഗിൾ ചെയ്യാൻ) കഴിയില്ല.
setenforce
ന്റെ സാധാരണ ഉപയോഗങ്ങളിലൊന്ന്, തെറ്റായി പെരുമാറുന്നതോ പ്രതീക്ഷിച്ച രീതിയിൽ പ്രവർത്തിക്കാത്തതോ ആയ ഒരു ആപ്ലിക്കേഷന്റെ ട്രബിൾഷൂട്ട് ചെയ്യുന്നതിനായി SELinux മോഡുകൾക്കിടയിൽ ടോഗിൾ ചെയ്യുന്നതാണ് (നിർവഹണത്തിൽ നിന്ന് അനുവദനീയമായതോ അല്ലെങ്കിൽ മറ്റ് വഴികളിലേക്കോ). നിങ്ങൾ SELinux പെർമിസീവ് മോഡിലേക്ക് സജ്ജീകരിച്ചതിന് ശേഷം ഇത് പ്രവർത്തിക്കുന്നുവെങ്കിൽ, നിങ്ങൾ ഒരു SELinux അനുമതികളുടെ പ്രശ്നമാണ് നോക്കുന്നതെന്ന് നിങ്ങൾക്ക് ഉറപ്പിക്കാം.
SELinux-നെ നേരിടേണ്ടിവരുന്ന രണ്ട് ക്ലാസിക് കേസുകൾ ഇവയാണ്:
- ഒരു ഡെമൺ കേൾക്കുന്ന ഡിഫോൾട്ട് പോർട്ട് മാറ്റുന്നു.
- /var/www/html-ന് പുറത്തുള്ള ഒരു വെർച്വൽ ഹോസ്റ്റിനായി DocumentRoot നിർദ്ദേശം സജ്ജമാക്കുന്നു.
ഇനിപ്പറയുന്ന ഉദാഹരണങ്ങൾ ഉപയോഗിച്ച് ഈ രണ്ട് കേസുകൾ നോക്കാം.
മിക്ക സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാരും അവരുടെ സെർവറുകൾ സുരക്ഷിതമാക്കാൻ ആദ്യം ചെയ്യുന്ന ഒരു കാര്യം, SSH ഡെമൺ കേൾക്കുന്ന പോർട്ട് മാറ്റുക എന്നതാണ്, കൂടുതലും പോർട്ട് സ്കാനറുകളെയും ബാഹ്യ ആക്രമണകാരികളെയും നിരുത്സാഹപ്പെടുത്താൻ. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾ /etc/ssh/sshd_config എന്നതിലെ പോർട്ട് ഡയറക്uടീവും തുടർന്ന് പുതിയ പോർട്ട് നമ്പറും ഇനിപ്പറയുന്ന രീതിയിൽ ഉപയോഗിക്കുന്നു (ഈ സാഹചര്യത്തിൽ ഞങ്ങൾ പോർട്ട് 9999 ഉപയോഗിക്കും):
Port 9999
സേവനം പുനരാരംഭിക്കാൻ ശ്രമിച്ച് അതിന്റെ നില പരിശോധിച്ചതിന് ശേഷം അത് ആരംഭിക്കുന്നതിൽ പരാജയപ്പെട്ടതായി ഞങ്ങൾ കാണും:
# systemctl restart sshd # systemctl status sshd
നമ്മൾ /var/log/audit/audit.log പരിശോധിച്ചാൽ, SELinux പോർട്ട് 9999-ൽ ആരംഭിക്കുന്നതിൽ നിന്ന് sshd തടഞ്ഞതായി നമുക്ക് കാണാം, കാരണം അത് JBoss മാനേജ്uമെന്റ് സേവനത്തിനായി റിസർവ് ചെയ്uത പോർട്ട് ആണ് (SELinux ലോഗ് സന്ദേശങ്ങളിൽ എന്ന വാക്ക് ഉൾപ്പെടുന്നു. AVC അതുവഴി മറ്റ് സന്ദേശങ്ങളിൽ നിന്ന് എളുപ്പത്തിൽ തിരിച്ചറിയാൻ കഴിയും):
# cat /var/log/audit/audit.log | grep AVC | tail -1
ഈ സമയത്ത് മിക്ക ആളുകളും SELinux അപ്രാപ്uതമാക്കും, പക്ഷേ ഞങ്ങൾ ചെയ്യില്ല. SELinux-നും sshd-നും മറ്റൊരു പോർട്ടിൽ ശ്രവിക്കുന്നവർക്കും ഒരുമിച്ചു ജീവിക്കാൻ ഒരു വഴിയുണ്ടെന്ന് ഞങ്ങൾ കാണും. നിങ്ങൾ policycoreutils-python പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പുവരുത്തി പ്രവർത്തിപ്പിക്കുക:
# yum install policycoreutils-python
SELinux sshd-നെ കേൾക്കാൻ അനുവദിക്കുന്ന പോർട്ടുകളുടെ ഒരു ലിസ്റ്റ് കാണുന്നതിന്. ഇനിപ്പറയുന്ന ചിത്രത്തിൽ പോർട്ട് 9999 മറ്റൊരു സേവനത്തിനായി റിസർവ് ചെയ്uതിരിക്കുന്നതായും നമുക്ക് കാണാൻ കഴിയും, അതിനാൽ തൽക്കാലം മറ്റൊരു സേവനം പ്രവർത്തിപ്പിക്കാൻ ഞങ്ങൾക്ക് ഇത് ഉപയോഗിക്കാൻ കഴിയില്ല:
# semanage port -l | grep ssh
തീർച്ചയായും ഞങ്ങൾക്ക് SSH-നായി മറ്റൊരു പോർട്ട് തിരഞ്ഞെടുക്കാം, എന്നാൽ JBoss-മായി ബന്ധപ്പെട്ട ഏതെങ്കിലും സേവനങ്ങൾക്കായി ഈ നിർദ്ദിഷ്ട മെഷീൻ ഉപയോഗിക്കേണ്ടതില്ലെന്ന് ഞങ്ങൾക്ക് ഉറപ്പുണ്ടെങ്കിൽ, നിലവിലുള്ള SELinux റൂൾ പരിഷ്കരിച്ച് പകരം SSH-ന് ആ പോർട്ട് നൽകാം:
# semanage port -m -t ssh_port_t -p tcp 9999
അതിനുശേഷം, പോർട്ട് ശരിയായി അസൈൻ ചെയ്uതിട്ടുണ്ടോ എന്ന് പരിശോധിക്കാൻ നമുക്ക് ആദ്യത്തെ സെമനേജ് കമാൻഡ് ഉപയോഗിക്കാം, അല്ലെങ്കിൽ -lC
ഓപ്ഷനുകൾ (ലിസ്റ്റ് കസ്റ്റം എന്നതിന്റെ ചുരുക്കം):
# semanage port -lC # semanage port -l | grep ssh
നമുക്ക് ഇപ്പോൾ SSH പുനരാരംഭിച്ച് പോർട്ട് 9999 ഉപയോഗിച്ച് സേവനത്തിലേക്ക് കണക്റ്റുചെയ്യാനാകും. ഈ മാറ്റം ഒരു റീബൂട്ടിനെ അതിജീവിക്കും എന്നത് ശ്രദ്ധിക്കുക.
DocumentRoot ആയി /var/www/html അല്ലാത്ത ഒരു ഡയറക്uടറി ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഒരു Apache വെർച്വൽ ഹോസ്റ്റ് സജ്ജീകരിക്കണമെങ്കിൽ (ഉദാഹരണത്തിന്, /websrv/sites/gabriel/public_html):
DocumentRoot “/websrv/sites/gabriel/public_html”
index.html default_t SELinux തരത്തിൽ ലേബൽ ചെയ്uതിരിക്കുന്നതിനാൽ ഉള്ളടക്കം നൽകാൻ Apache വിസമ്മതിക്കും, അത് Apache-ന് ആക്uസസ് ചെയ്യാൻ കഴിയില്ല:
# wget http://localhost/index.html # ls -lZ /websrv/sites/gabriel/public_html/index.html
മുമ്പത്തെ ഉദാഹരണം പോലെ, ഇത് തീർച്ചയായും ഒരു SELinux-മായി ബന്ധപ്പെട്ട പ്രശ്നമാണോ എന്ന് പരിശോധിക്കാൻ നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം:
# cat /var/log/audit/audit.log | grep AVC | tail -1
/websrv/sites/gabriel/public_html എന്നതിന്റെ ലേബൽ ആവർത്തിച്ച് httpd_sys_content_t
എന്നതിലേക്ക് മാറ്റാൻ, ചെയ്യുക:
# semanage fcontext -a -t httpd_sys_content_t "/websrv/sites/gabriel/public_html(/.*)?"
മുകളിലെ കമാൻഡ് ആ ഡയറക്uടറിയിലേക്കും അതിലെ ഉള്ളടക്കങ്ങളിലേക്കും അപ്പാച്ചെ റീഡ്-ഓൺലി ആക്uസസ് അനുവദിക്കും.
അവസാനമായി, നയം പ്രയോഗിക്കുന്നതിന് (ലേബൽ മാറ്റം ഉടനടി പ്രാബല്യത്തിൽ വരുത്തുന്നതിന്), ചെയ്യുക:
# restorecon -R -v /websrv/sites/gabriel/public_html
ഇപ്പോൾ നിങ്ങൾക്ക് ഡയറക്ടറി ആക്സസ് ചെയ്യാൻ കഴിയും:
# wget http://localhost/index.html
SELinux-നെ കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, Fedora 22 SELinux ഉം അഡ്മിനിസ്ട്രേറ്റർ ഗൈഡും കാണുക.