Руководство по SELinux

Перевод: SELinux Reference

Что такое SELinux?

SElinux это Security-Enhanced Linux – Линукс с Расширенной Безопасностью – специальный фрэймворк по безопасному обслуживанию процессов, пользователей и файлов в вашем дистрибутиве Red Hat Enterprise Linux OS.

Если вы используете Red Hat или один из его бесплатных вариантов – CentOS Linux или Fedora Linux, то у вас подсистема SELinux, скорее всего, включена по умолчанию.

Основы SELinux

Для начала, проверьте статус SELinux: ваша операционная система может рабоать в одном из следующих режимов SELinux безопасности:

  • enforcing – безопасный режим – в нём все основные элементы операционки находятся под жёстким контролем SELinux и любые попытки доступа записываются в специальные лог файлы. Можно влиять на безопасность и функционал работы вашей ОС посредством работы с SELinux модулями и контектами.
  • permissive – разрешающий режим – это когда всё замечается и учитыватся штатными средствами SELinux, но доступ не ограничивается. Всё продолжает работать, а вы по мотивам лог файлов можете потом создать дополнения к политике SELinux, чтобы ничего не поломалось при возвращении в режим безопасный режим Enforcing.
  • disabled – SELinux система выключена, полностью неактивна. Это значит, что никакой несанкционированный доступ не будет предотвращён, а файлы и каталоги, созданные в этом режиме, могут оказаться безхозными – у них не будет правильного контекста SELinux.

Также можно попробовать включить SELinux или выключить SELinux depending on your scenario.

Работа с SELinux

Всё в системе SELinux контролируется с помощью политики безопасности SELinux и её объектов. Процессы, пользователи и файлы имеют SELinux контексты. Довольно легко показать контексты SELinux для файлов или проверить контексты SELinux для каких-то процессов в системе.

Контексты SELinux

Контекст SELinux это комбинация вот таких меток:

  • пользователь
  • роль
  • тип
  • уровень доступа

Довольно полезно проверить логи audit на предмет событий SELinux, это поможет понять требования и зависимости конкретного приложения для последующего создания SELinux модуля – набора правил, предоставляющих доступ такому приложению.

В SELinux есть свои пользователи – они могут называться так же, как и обычные пользователи вашей системе или же могут иметь совершенно другие имена, но при этом ссылаться на реальных пользователей.

Продвинутые навыки SELinux

Изучите, как использовать команду sestatus для проверки состояния ключевых файлов ОС в SELinux – вам дают полный список важных конфигурационных файлов и указывают, в порядке ли они в плане прав доступа и меток SELinux.

Дополнительные Материалы




Давайте учиться вместе!

Заходите на страницу Facebook или присоединяйтесь к чату в Telegram:
Я использую браузер Brave
Попробуйте сами: Brave Browser
IT Консалтинг
У меня есть консалтинговая компания: Tech Stack Solutions. Я помогаю планировать и создавать облачные решения на базе AWS и помогаю с развёртыванием и поддержкой сервисов на Unix/Linux. Свяжитесь со мной тут.

Recent Tweets