क्या SELinux Redhat को अधिक सुरक्षित बनाता है?


10

क्या SELinux Redhat को अधिक सुरक्षित बनाता है?

मुझे उस समय की संख्या याद नहीं रह सकती जब मैंने SELinux को निष्क्रिय कर दिया था क्योंकि यह सामान चलाने की मेरी क्षमता को निराश करता रहा। बहुत बार इस बात का कोई स्पष्ट कारण नहीं था कि सामान काम क्यों नहीं कर रहा था और मुझे इसकी खोज करने के लिए Google के पास जाना पड़ा।

यह देखते हुए कि अधिकांश आकस्मिक उपयोगकर्ता सुरक्षा को अक्षम या कमजोर कर देंगे, जब यह रास्ते में आने के लिए प्रकट होता है, गंभीर, उद्यमी रेडहैट उपयोगकर्ताओं के बहिष्कार के साथ, SELinux वास्तव में उपयोगी है?

पुनश्च। क्या कोई उपकरण है जो आपको सभी अनुप्रयोगों में SELinux समस्याओं को लॉग, ट्रैक और प्रबंधित करने में मदद करता है?

जवाबों:


9

हां, सेलिनक्स सिस्टम को अधिक सुरक्षित बनाता है। लेकिन आपको इसकी अवधारणाओं को कम करने की आवश्यकता होगी और इसमें सेलिनक्स और ऑडिट टूल के बारे में कम से कम बुनियादी ज्ञान होना चाहिए।

सेलिनक्स /var/log/audit/audit.log पर लॉग इन कर रहा है (लेकिन सुनिश्चित करें कि ऑडिट चल रहा है), और सेलिनक्स समस्याओं को हल करने के लिए कई उपकरण हैं। संभवतः सरलतम तरीका ऑडिट 2 क्लो का उपयोग करना है


17

हां, SELinux Red Hat (और कोई अन्य लिनक्स वितरण जो वास्तव में इसका उपयोग करता है) को अधिक सुरक्षित बनाता है, यह मानते हुए कि यह वास्तव में उपयोग में है।

SELinux अनिवार्य पहुँच नियंत्रण को लागू करता है । सामान्य यूनिक्स अनुमतियाँ, एसीएल आदि, विवेकाधीन अभिगम नियंत्रण को लागू करते हैं । दोनों एक दूसरे के पूरक हैं।

काम करने के लिए, SELinux को एक नीति की आवश्यकता होती है, जो यह परिभाषित करती है कि सिस्टम पर क्या कार्रवाई की अनुमति दी जा सकती है। हालांकि, खरोंच से संपूर्ण सिस्टम नीति बनाना संभव है, अधिकांश लिनक्स वितरण तथाकथित संदर्भ नीति के आधार पर एक नीति को शिप करते हैं । इसका मतलब है, अन्य बातों के अलावा, वितरण में SELinux को कॉन्फ़िगर करना बहुत समान होगा। (अधिकांश लिनक्स वितरण अपने पैकेज रिपॉजिटरी में SELinux संदर्भ नीति उपलब्ध कराते हैं, हालांकि यह डिफ़ॉल्ट रूप से स्थापित नहीं किया जा सकता है।)

SELinux उपयोगकर्ताओं और प्रक्रियाओं को प्रतिबंधित करके काम करता है, केवल नीति में उन्हें अनुमत कार्य करने के लिए। डिफ़ॉल्ट रूप से, नीति को अस्वीकार करना है, इसलिए यदि नीति स्पष्ट रूप से कार्रवाई की अनुमति नहीं देती है, तो ऐसा नहीं होता है। यही कारण है कि आप अक्सर SELinux के साथ मुसीबत में भागते हैं जो आप करने की कोशिश कर रहे हैं।

उज्ज्वल पक्ष पर, यह शोषण को रोकता है, यहां तक ​​कि हाथ से निकलने से 0-दिन के कारनामे भी। उदाहरण के लिए, यदि आपके वेब सर्वर (अपाचे) का दोहन हो जाता है, तो नुकसान केवल उन चीजों तक ही सीमित है, जिन्हें अपाचे एक्सेस कर सकता है। /etc/shadowउदाहरण के लिए, दूरस्थ रूट शोषण के साथ भी यह आपकी फ़ाइल को पढ़ने में सक्षम नहीं होगा । हालांकि यूनिक्स की अनुमति (DAC) रूट को फ़ाइल पढ़ने की अनुमति देती है, SELinux (MAC) समझौता प्रक्रिया को सीमा से बाहर जाने की अनुमति नहीं देता है।

बड़ी गोटा यह है कि सर्विस के लिए SELinux पॉलिसी मॉड्यूल होना चाहिए। यदि आप अपने बॉक्स पर एक सेवा स्थापित करते हैं जिसमें एक SELinux नीति मॉड्यूल शामिल नहीं है, तो यह अपरिभाषित चलेगा और जो चाहे कर सकता है। SELinux उस पर लागू नहीं होगा।

एक और बात जो आपको पता होनी चाहिए वह सब है बुलियन । ये ट्यून करने योग्य पैरामीटर SELinux नीतियों द्वारा प्रदान किए जाते हैं ताकि उन्हें विशेष प्रतिष्ठानों के लिए अनुकूलित किया जा सके, और स्थानीय कॉन्फ़िगरेशन आवश्यकताओं के आधार पर परमिट या अस्वीकार करने की अनुमति दी जा सके। उदाहरण के लिए, आप सांबा के शेयरों को अपाचे एक्सेस दे सकते हैं, सांबा को उपयोगकर्ता के घर निर्देशिकाओं को साझा करने में सक्षम कर सकते हैं, और कई अन्य संभावित उपयोगी चीजें जो कुछ सेटअपों के लिए आवश्यक हैं, लेकिन अन्य नहीं।

SELinux के लिए सबसे अच्छा मार्गदर्शक जो मैंने वर्तमान में देखा है वह Red Hat का सुरक्षा-संवर्धित लिनक्स उपयोगकर्ता गाइड है । यह आपको जल्दी से उठने और दौड़ने में मदद करेगा और साथ ही जो चल रहा है उसकी पृष्ठभूमि के विवरण को भी भरें। इसमें एक व्यापक समस्या निवारण मार्गदर्शिका भी शामिल है जो SELinux के अंतर्गत आपकी प्रक्रिया को चलाने में मदद करती है।

क्या यह उपयोगी है?

SELinux अनपेक्षित चीजों को करने से प्रक्रियाओं (और उपयोगकर्ताओं, यदि आपने अपने उपयोगकर्ताओं को सीमित कर दिया है) से बचाता है। यह गंभीर रूप से उस नुकसान को सीमित करता है जो एक दूरस्थ शोषण कर सकता है। यदि आपने कभी दूरस्थ समझौता नहीं किया है, तो आप (1) भाग्यशाली हैं, और (2) शायद नए हैं। आप तो है एक दूरस्थ समझौता काम किया है, तो आप निश्चित रूप से नहीं है यह कभी दोबारा करना चाहते हैं।

यह घर की सेटिंग में उतना उपयोगी नहीं है , जब तक कि आप घर पर इंटरनेट का सामना करने वाली सेवाएं नहीं चला रहे हों (और कुछ लोग करते हैं)। उस मामले में, ऊपर कहा गया सब कुछ लागू होता है।

SELinux आखिरी चीज हो सकती है जो आपके डेटा और हमलावर के बीच 0 दिन के शोषण के साथ खड़ी हो जो वास्तव में यह चाहती है। यदि आप इसका उपयोग कर सकते हैं, तो आप क्यों नहीं करेंगे?


3

मुझे लगता है कि SELinux सिर्फ परमिशन पर एक्सटेंडेड सेटिंग्स शुरू करके ट्रेडिशनल परमिशन सिस्टम को बढ़ाता है। क्या यह आपके सिस्टम को अधिक सुरक्षित बनाता है? मुझे लगता है कि यह इस बात पर निर्भर करता है कि आप अपने अनुप्रयोगों में SELinux का उपयोग कैसे करते हैं। इसके अलावा, मैं SELinux में अच्छा नहीं हूं, लेकिन इसे कॉन्फ़िगर करने से अधिक ज्ञान की आवश्यकता है कि यह आपको क्या सीमाएं प्रदान कर सकता है। लेकिन यह कई समस्याओं का भी परिचय देता है जिन्हें दूर करने के लिए आपको मैन्युअल रूप से जांच करनी होगी


1
SELinux पारंपरिक POSIX अनुमतियों का विस्तार करने की तुलना में बहुत अधिक करता है। उदाहरण के लिए SELinux कुछ नेटवर्क पोर्ट तक पहुंच को सीमित कर सकता है।
वज़र्ड w

3

एक पैकेज है जो उपयोगकर्ताओं को सेट्रॉउनशूट नाम के SELinux के कारण होने वाली समस्याओं को खोजने में मदद करता है। इसे स्थापित करें, इसे शुरू में चलाने के लिए सेट करें। फिर जब आपको एक SELinux इनकार मिलता है, तो इसे नोट किया जाएगा /var/log/messages। यदि आप GUI में भी लॉग इन हैं, तो आपको एक सूचना मिलेगी।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.