SElinux چیست ؟

SElinux چیست ؟

selinux چیست
selinux چیست

امنیت پیشرفته لینوکس (SELinux) یک لایه اضافی از امنیت سیستم است.

هدف اصلی SELINUX این است که محافظت از داده های کاربر را از خدمات سیستم که به خطر افتاده است.

اکثر مدیران لینوکس با مدل امنیتی مجوز استاندارد / گروه / دیگر آشنا هستند.

این یک مدل مبتنی بر کاربر و گروهی است که به عنوان کنترل دسترسی اختیاری شناخته می شود.

SELINUX یک لایه امنیتی اضافی را فراهم می کند

که مبتنی بر شیء و کنترل شده توسط قوانین پیچیده تر، شناخته شده به عنوان کنترل دسترسی اجباری است.

برای دسترسی به دسترسی ناشناس ناشناس به سرور وب، پورت فایروال باید باز شود.

با این حال، این به مردم اجازه می دهد که سیستم را ترک کنند،

و اگر آنها فرایند وب سرور را به خطر بیندازند، مجوزهای خود را به دست می آورند:

مجوز کاربر آپاچی و گروه آپاچی.

این کاربر / گروه دسترسی به چیزهایی مانند ریشه سند (/ var / www / html) و

همچنین دسترسی به / tmp، / var / tmp و هر فایل / دایرکتوری دیگر که قابل ثبت در جهان است را می نویسد.

SELinuxis یک مفهوم از قوانین امنیتی است

که تعیین می کند که کدام فرآیند می تواند به کدام فایل، دایرکتوری و پورت دسترسی پیدا کند.

هر فایل، پروسه، دایرکتوری و پورت دارای یک سطح امنیتی خاص به نام یک متن SELINUX است.

یک متن یک نام است که توسط سیاست SELINUX برای تعیین اینکه آیا یک فرآیند می تواند به یک فایل،

دایرکتوری یا پورت دسترسی پیدا کند، استفاده می شود.

به طور پیش فرض، این سیاست هر گونه تعامل اجازه نمی دهد مگر اینکه یک قانون صریح به دسترسی دهد.

اگر هیچ اجازه اجازهی وجود نداشته باشد، هیچ دسترسی مجاز نیست.

برچسب های SELinux دارای چندین زمینه هستند:

selinux چیست
selinux چیست

کاربر، نقش، نوع و حساسیت.

سیاست هدف، که سیاست پیش فرض در REDHAT Enterprise Linux فعال است،

قوانین خود را در زمینه سوم قرار می دهد: context type.

نام نوع نوع معمولا با ‘_t’ پایان می یابد. متن نوع وب سرور httpd_t است.

متن نوع برای فایل ها و دایرکتوری ها که معمولا در / var / www / html یافت می شود httpd_sys_content_t است.

زمینه های نوع برای فایل ها و دایرکتوری ها به طور معمول در / tmp و / var / tmp یافت می شود tmp_t.

متن نوع برای پورت های وب سرور http_port_t است.

یک قانون سیاست وجود دارد که آپاچی را اجازه دسترسی به فایل ها و دایرکتوری ها را با زمینه ای که به طور معمول در / var / www / html و

سایر دایرکتوری های سرور وب (httpd_sys_content_t) یافت می شود وجود دارد.

هیچ قانون اجازه در سیاست برای فایل های معمولی در / tmp و / var / tmp وجود ندارد، بنابراین دسترسی مجاز نیست.

با SELINUX یک کاربر مخرب نمیتوانست به دایرکتوری / tmp دسترسی پیدا کند.

SELinux دارای قوانین برای سیستم های فایل از راه دور مانند NFS و CIFS است،

هرچند تمام فایل ها در این سیستم های فایل با همان متن برچسب گذاری شده اند.

 

حالت SELinux

SElinux چیست ؟

برای مقاصد عیبیابی، حفاظت SELinux می تواند به طور موقت با استفاده از حالت SELinux غیر فعال شود.

SELinux می تواند در هر سه حالت ممکن باشد:

1) اجرای

2) قابل قبول

3) معلول

 

اجرای حالت

در حالت اعمال، SELinux به طور فعال دسترسی به سرور وب را که سعی دارد فضاهای نوع tmp_t را بخواند را رد کند.

در حالت اجرای، SELinux هر دو ورود و محافظت می کند.

 

حالت قابل قبول

حالت قابل قبول اغلب برای رفع مشکلات استفاده می شود.

در حالت مجاز، SELinux اجازه می دهد تا تمام تعاملات،

حتی اگر هیچ قانون صریح وجود دارد، و آن را تعویضی logs آن را در اجرای حالت انکار کرد.

این حالت می تواند مورد استفاده قرار گیرد تا به طور موقت اجازه دسترسی به محتویاتی را که SELinux محدود شده است،

هیچ راه اندازی مجدد لازم نیست که از مجوز به مجوز یا مجددا بازگردانده شود.

 

حالت غیرفعال

حالت سوم، غیر فعال به طور کامل SELinux را غیر فعال می کند.

یک سیستم راه اندازی مجدد لازم است که SELinux را به طور کامل غیرفعال کند یا از حالت اجرای یا مجوز استفاده کند.

selinux چیست
selinux چیست

فایل پیکربندی

شما می توانید فایل پیکربندی SELinux را با ویرایشگر متن مورد علاقه خود باز کنید.

فایل پیکربندی: / etc / selinux / config است. مثلا:

# vi /etc/selinux/config

 

خروجی چیزی شبیه به این خواهد بود:

 

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing – SELinux security policy is enforced.

#     permissive – SELinux prints warnings instead of enforcing.

#     disabled – No SELinux policy is loaded.

SELINUX=enforcing

# SELINUXTYPE= can take one of these two values:

#     targeted – Targeted processes are protected,

#     minimum – Modification of targeted policy. Only selected processes are protected.

#     mls – Multi Level Security protection.

SELINUXTYPE=targeted

 

و ما می توانیم حالت فعلی SELinux را با اجرای دستور “getenforce” بررسی کنیم

# getenforce

 

 

SELinux Booleans

SELinux Booleans ها سوئیچ هایی هستند که رفتار SELinux را تغییر می دهند.

SELinux Booleans قوانینی هستند که می توانند فعال یا غیرفعال شوند.

آنها می توانند توسط مدیران امنیتی برای تنظیم سیاست برای تعدیل انتخابی مورد استفاده قرار گیرند.

دستور getsebool برای نشان دادن SELinux Booleans و مقدار فعلی آنها استفاده می شود.

گزینه -an باعث می شود این دستور تمام برنامه ها را لیست کند.

 

اگر شما نیاز به کمک بیشتر دارید، لطفا با بخش پشتیبانی ما تماس بگیرید.