SELinux को अक्षम / सक्षम करने के कारण

StackOverflow पर इस सवाल की लाइन में और पूरी तरह से अलग भीड़ हमारे यहाँ है, मुझे आश्चर्य है: SELinux को निष्क्रिय करने के आपके क्या कारण हैं (अभी भी अधिकांश लोग ऐसा कर रहे हैं)? क्या आप इसे सक्षम रखना चाहेंगे? SELinux को छोड़ कर आपने किन विसंगतियों का अनुभव किया है? ओरेकल के अलावा, अन्य विक्रेताओं को SELinux सक्षम सिस्टम के साथ परेशानी देने में क्या सक्षम है?

बोनस सवाल: लक्षित मोड लागू करने में ओएलएक्स के साथ आरएचईएल 5 पर ओरेकल को चलाने में कोई भी कामयाब रहा है? मेरा मतलब है, सख्त भयानक होगा, लेकिन मैं ऐसा नहीं है जो अभी तक भी संभव है, इसलिए चलो पहले लक्षित के साथ रहें;;

RedHat डिफ़ॉल्ट रूप से SELinux चालू करता है क्योंकि इसका सुरक्षित है। लगभग हर विक्रेता जो रेडहैट-व्युत्पन्न उत्पादों का उपयोग करता है, वह SELinux को बंद कर देता है क्योंकि वे नहीं चाहते हैं कि समय (और इसलिए धन) को यह पता लगाना है कि चीज़ काम क्यों नहीं करती है। Redhat / फेडोरा लोगों ने बड़े पैमाने पर समय और प्रयास का चयन किया है और SELinux को एंटरप्राइज़ में एक व्यवहार्य विकल्प के रूप में अधिक विकसित किया है, लेकिन बहुत सारे अन्य संगठन वास्तव में आपकी सुरक्षा की परवाह नहीं करते हैं । (वे अपनी सुरक्षा और अपने उत्पाद की सुरक्षा प्रतिष्ठा के बारे में परवाह करते हैं , जो बिल्कुल अलग बात है।)

यदि आप इसे काम कर सकते हैं, तो इसके लिए जाएं। यदि आप नहीं कर सकते हैं, तो वहां के विक्रेताओं से बहुत अधिक सहायता की उम्मीद न करें। आप शायद रेडहैट / फेडोरा लोगों की मदद ले सकते हैं, सेलिनक्स मेलिंग सूचियों और रसेलोडे पर # चैनलिनक्स चैनल से। लेकिन ओरेकल जैसी कंपनियों से - SELinux वास्तव में उनके व्यवसाय योजना के लिए कारक नहीं है।

आमतौर पर आप पूरी तरह से अक्षम करने के बजाय Perminive में SELinux को चलाना बेहतर समझते हैं। आप audit2whyअपने नियमित उपयोग के दौरान किस प्रकार के उल्लंघनों का खंडन किया गया है, यह देखने के लिए थोड़ी देर के बाद (फिर से ) जांच कर सकते हैं , और audit2allowउन नीतियों का निर्माण कर सकते हैं जिनके माध्यम से आपके 'सेटअप' के लिए झूठे-सकारात्मक हैं।

मैंने पाया है कि गैर-फेडोरा व्युत्पन्न सिस्टमों पर SELinux का व्यवहार सामान्य रूप से एक विशिष्ट फेडोरा / RHEL प्रणाली की तुलना में आपको काफी बेहतर है।

यदि आपने इसे पहले से नहीं देखा है, तो आपको फेडोरा SELinux उपयोगकर्ता गाइड शैक्षिक मिल सकता है ।

के कारण:

• अनिवार्य पहुंच नियंत्रण के माध्यम से उच्च स्तर की सुरक्षा
• आपको उच्च स्तर की सुरक्षा से परे एक कारण की आवश्यकता है? :-)

इसके कारण:

• समझना मुश्किल
• प्रबंधन करना मुश्किल
• समस्या निवारण के लिए मुश्किल है

यदि आप SELinux पर विचार कर रहे हैं, तो मैंने कहा कि मैं SELinux पुस्तक उदाहरण के लिए सुझाता हूँ ।

मैंने एक ऐसी कंपनी के लिए काम किया, जिसमें SELinux सक्षम था, हर सिस्टम पर मोड को लागू करने में। हमारे लिए कुंजी ऑडिट 2 क्लो कार्यक्रम को समझना और उपयोग करना था जिसका उपयोग नए संदर्भ नियम बनाने के लिए किया जा सकता है।

सबसे पहले, हम ऑडिट 2 क्लू के साथ एक टेम्पलेट तैयार करेंगे, और फिर इसे बनाने के लिए एक स्क्रिप्ट का उपयोग करेंगे, जैसे:

export NAME="my_serviced"
sudo audit2allow -m "${NAME}" -i /var/log/audit/audit.log > ${NAME}.te
sudo setup_semodule ${NAME}

Setup_semodule स्क्रिप्ट:

#!/bin/sh

# Where to store selinux related files
SOURCE=/etc/selinux/local
BUILD=/etc/selinux/local
NAME=$1

/usr/bin/checkmodule -M -m -o ${BUILD}/${NAME}.mod ${SOURCE}/${NAME}.te
/usr/bin/semodule_package -o ${BUILD}/${NAME}.pp -m ${BUILD}/${NAME}.mod
/usr/sbin/semodule -i ${BUILD}/${NAME}.pp

/bin/rm ${BUILD}/${NAME}.mod ${BUILD}/${NAME}.pp

यह टेम्पलेट (.te फ़ाइल) से मॉड्यूल बनाता है, एक पैकेज बनाता है, और फिर मॉड्यूल लोड करता है।

हमने अपने कॉन्फ़िगरेशन प्रबंधन सिस्टम के लिए कठपुतली का उपयोग किया, और हमने यह सब प्रबंधित करने के लिए कठपुतली के लिए विन्यास लिखा।

SELinux कठपुतली मॉड्यूल:

• http://github.com/sansnoc/puppet/tree/master/selinux

इसे बंद करने का कारण यह है क्योंकि यह डिबग करने के लिए दर्द हो सकता है।

हालाँकि अब हम इसे बंद नहीं करते हैं। हम लगभग हमेशा इसे चालू रखते हैं। मैं कभी-कभी इसे जल्दी से सत्यापित करने के लिए बंद कर देता हूं कि सेलाइनक्स एक समस्या है या नहीं।

यह अब डिबग करना बहुत आसान है, खासकर यदि आप ऑडिट 2 क्लो के साथ खुद को फेमिलियर बनाते हैं। आपको वास्तव में इसे ऑडिट 2 क्लो के साथ समझने की आवश्यकता नहीं है, लेकिन आप ऑडिट 2 क्लॉक के साथ कुछ समय के लिए व्यापक रूप से ओपनिंग थिंक अप कर सकते हैं। कहा कि कुछ SELinux से बेहतर कोई नहीं है।

मैं किसी भी तरह से एक SELinux विशेषज्ञ नहीं हूँ और केवल कुछ वर्षों से इसका उपयोग कर रहा हूँ। मैं अभी भी वास्तव में मूल बातें नहीं समझता हूं, लेकिन मुझे ऐप चलाने के लिए पर्याप्त पता है, जो कि डिस्ट्रो और रैंडम सामान के साथ शामिल हैं, जो 'नेट' संकलित हैं।

मुख्य बात मैं उपयोग करने के लिए मिला है कर रहे हैं ls -lZ(शो SELinux संदर्भ), audit2allow, chcon, semodule, getenforce, setenforceऔर बूलियन। उन उपकरणों के साथ, जिन्हें मैं SELinux के तहत चलाने के लिए आवश्यक हर ऐप को प्राप्त करने में कामयाब रहा हूँ।

मुझे लगता है कि वह SELinux समस्याओं को डिबगिंग के साथ बड़ी समस्याओं में से एक है, बस SELinux समस्याओं के लिए जाँच करने के लिए जब मैं अन्य बुद्धिमान अकथनीय समस्याओं है रीमेकिंग कर रहा हूँ। यह आमतौर पर मुझे "h! चेक SELinux !!" जाने के लिए थोड़ी सी वील लेता है।

बाइंड मैन पेज के अनुसार सेरिनक्स चिरोट जेल में बाइंड चलाने से कहीं ज्यादा सुरक्षित है। बहुत सारे अन्य लोग जिनके पास मेरे मुकाबले कहीं अधिक सुराग है, मैं भी इसकी सिफारिश करता हूं इसलिए मैं इसे अब नेत्रहीन रूप से चलाता हूं। और कभी-कभार होने वाली समस्या के बावजूद शक करना शायद ऐसा करने लायक है।

मैंने AppArmor के लिए SELinux को निष्क्रिय कर दिया , मैंने SELinux की तुलना में इसे अधिक मित्रतापूर्ण और बनाए रखने में आसान पाया।

जब आप इसे अनुमति मोड में चला सकते हैं, तो इसे बंद करने का कोई कारण नहीं है। यह रनिंग एप्लिकेशन के साथ हस्तक्षेप नहीं करेगा और यह अभी भी उपयोगी सुरक्षा लॉगिंग प्रदान करेगा। एकमात्र संदर्भ उपयोगकर्ता संदर्भों के बारे में है: यदि आप अलग-अलग उपयोगकर्ताओं के बीच बदल रहे हैं, तो एक अन्य लिनक्स उदाहरण के अंदर रहने वाले एक चुरोट में चल रहे हैं जो आपके पास समस्याएं हो सकती हैं।

एसई लिनक्स उतने निराशाजनक नहीं हैं जितना कि यह हुआ करता था, कम से कम आरएचएल 5 जैसे व्यावसायिक रूप से समर्थित डिस्ट्रोस में यह नहीं है। अधिकांश भाग के लिए आप इसे छोड़ सकते हैं, और यह RedHat द्वारा प्रदान की गई किसी भी चीज़ के साथ ठीक होगा। किसी और चीज के साथ यह परिवर्तनशील हो सकता है। समस्या यह है कि एसई लिनक्स सक्षम के साथ काम करने वाले अनुप्रयोगों को प्राप्त करने के लिए पेशेवर सेवा कार्य रेडहैट और ओरेकल जैसी कंपनियों के लिए एक अच्छी राजस्व धारा है, इसलिए उनके पास सब कुछ अच्छी तरह से काम करने के लिए कोई प्रोत्साहन नहीं है।