SELinux is een labelsysteem voor processen en bestanden.  Gelabelde onderwerpen toegang tot gelabelde objecten wordt beperkt door regels die beleid vormen. Deze tutorial is een inleiding tot de basisprincipes van SELinux die laat zien hoe je SELinux op Debian 10 Buster instelt en inschakelt en inschakelt met wat extra informatie over populaire commando's.

Voordat u begint, moet u de volgende concepten leren:

Onderwerpen: processen of gebruikers.
Voorwerpen: bestanden of bestandssystemen.

Soort Handhaving: op SELinux hebben alle onderwerpen en objecten een type identifier die eindigt op _t. “Typehandhaving is het idee dat, in een verplicht toegangscontrolesysteem, toegang wordt geregeld door middel van toestemming op basis van een subject-access-object set regels.

In SELinux wordt typehandhaving geïmplementeerd op basis van de labels van de onderwerpen en objecten.  SELinux zelf heeft geen regels die zeggen: /bin/bash kan uitvoeren /bin/ls. In plaats daarvan heeft het regels die vergelijkbaar zijn met "Processen met het label user_t kunnen reguliere bestanden uitvoeren met het label bin_t.” (bron https://wiki.ezel.org/wiki/SELinux/Type_enforcement)

Discretionaire toegangscontrole (DAC): DAC is het eigendoms- en toestemmingssysteem dat we in Linux gebruiken om de toegang tot objecten zoals bestanden of mappen te beheren. De Discretionaire Toegangscontrole heeft niets te maken met SELinux en is een andere beveiligingslaag. Ga voor meer informatie over DAC naar Linux Permissions Explained.

Verplichte toegangscontrole (MAC): is een type toegangscontrole dat de toegang van onderwerpen tot interactie met objecten beperkt. In tegenstelling tot DAC kunnen MAC-gebruikers het beleid niet wijzigen.
Onderwerpen en objecten hebben een beveiligingscontext (beveiligingsattributen) die wordt bewaakt door SELinux en wordt beheerd volgens beveiligingsbeleid dat is gemaakt door regels die moeten worden afgedwongen.

Rolgebaseerde toegangscontrole (RBAC): is een type toegangscontrole op basis van rollen, het kan worden gecombineerd met zowel MAC als DAC. RBAC-beleid maakt het beheer van veel gebruikers binnen een organisatie eenvoudig, in tegenstelling tot DAC, dat kan worden afgeleid uit individuele machtigingstoewijzingen, waardoor controle, configuratie en beleidsupdates eenvoudiger worden.

Afdwingende modus: SELinux beperkt de toegang van subjecten tot objecten op basis van beleid.

Toegeeflijke modus: SELinux registreert alleen onwettige activiteiten.

SELinux-functies omvatten (Wikipedia-lijst):

• Schone scheiding tussen beleid en handhaving
• Goed gedefinieerde beleidsinterfaces
• Ondersteuning voor applicaties die het beleid opvragen en toegangscontrole afdwingen (bijvoorbeeld:, crond taken in de juiste context uitvoeren)
• Onafhankelijkheid van specifiek beleid en beleidstalen
• Onafhankelijkheid van specifieke formaten en inhoud van beveiligingslabels
• Individuele labels en besturingselementen voor kernelobjecten en services
• Ondersteuning voor beleidswijzigingen
• Afzonderlijke maatregelen ter bescherming van systeemintegriteit (domeintype) en vertrouwelijkheid van gegevens (beveiliging op meerdere niveaus)
• Flexibel beleid
• Controle over procesinitialisatie en overerving, en programma-uitvoering
• Controle over bestandssystemen, mappen, bestanden en open bestandsbeschrijvingen
• Controle over sockets, berichten en netwerkinterfaces
• Controle over het gebruik van "mogelijkheden"
• Gecachte informatie over toegangsbeslissingen via de Access Vector Cache (AVC)
• Standaard-weigeren beleid (alles wat niet expliciet in het beleid is gespecificeerd, is niet toegestaan)^.

Bron: https://nl.wikipedia.org/wiki/Security-Enhanced_Linux#Features

Opmerking: gebruikers zijn verschillend op SELinux en passwd.

SELinux instellen op Debian 10 Buster

In mijn geval was SELinux uitgeschakeld op Debian 10 Buster. SELinux ingeschakeld houden is een van de basisstappen om een ​​Linux-apparaat veilig te houden. Om de status van SELinux op je apparaat te weten, voer je het commando uit:

/# sestatus

Ik ontdekte dat SELinux was uitgeschakeld, om het in te schakelen moet je een aantal pakketten installeren voor, na een geschikte update, voer de opdracht uit:

/# apt install selinux-basics selinux-policy-default

Druk op indien gevraagd Y om door te gaan met het installatieproces. Rennen geschikte update na het voltooien van de installatie.

Voer het volgende commando uit om SELinux in te schakelen:

/# selinux-activeren

Zoals je kunt zien was SELinux correct geactiveerd. Om alle wijzigingen toe te passen, moet u uw systeem opnieuw opstarten volgens de instructies.

Het commando getenforce kan worden gebruikt om de SELinux-status te leren, als het zich in de permissieve of afdwingende modus bevindt:

/# getenforce

De permissieve modus kan worden vervangen door de parameter in te stellen: 1 (permissie is 0). U kunt de modus ook controleren in het configuratiebestand met het commando minder:

/# minder /etc/selinux/config

Uitgang:

Zoals u kunt zien, tonen de configuratiebestanden de permissieve modus. druk op Vraag stoppen.

Om een ​​bestands- of procesbeveiligingscontext te zien, kunt u de vlag -Z gebruiken:

/# ls -Z

Het labelformaat is gebruiker:rol:type:niveau.

semanage - SELinux-hulpprogramma voor beleidsbeheer

semanage is de SELinux Policy Management tool. Het maakt het mogelijk om booleans te beheren (waarmee het proces tijdens de uitvoering kan worden gewijzigd), gebruikersrollen en niveaus, netwerkinterfaces, beleidsmodules en meer. Semanage maakt het mogelijk om SELinux-beleid te configureren zonder de noodzaak om bronnen te compileren. Semanage maakt de koppeling mogelijk tussen het besturingssysteem en SELinux-gebruikers en bepaalde beveiligingscontexten van objecten.

Ga voor meer informatie over semanage naar de man-pagina op: https://linux.dood gaan.netto/man/8/semanage

Conclusie en opmerkingen

SELinux is een extra manier om toegang te beheren van processen tot systeembronnen zoals bestanden, partities, mappen, enz. Het maakt het mogelijk om enorme privileges te beheren op basis van rol, niveau of type. Het inschakelen is een must als beveiligingsmaatregel en bij gebruik is het belangrijk om de beveiligingslaag te onthouden en het systeem opnieuw op te starten nadat het is in- of uitgeschakeld (uitschakelen wordt helemaal niet aanbevolen, behalve voor specifieke tests). Soms wordt de toegang tot een bestand geblokkeerd ondanks dat het systeem of OS toestemmingen zijn verleend omdat SELinux het verbiedt.

Ik hoop dat je dit artikel over SELinux nuttig vond als introductie van deze beveiligingsoplossing, blijf LinuxHint volgen voor meer tips en updates over Linux en netwerken.

Gerelateerde artikelen:

• SELinux op Ubuntu-zelfstudie
• Hoe SELinux op CentOS 7 uit te schakelen
• Controlelijst voor het versterken van Linux-beveiliging
• AppArmor-profielen op Ubuntu