U kunt de beveiliging van uw Linux-systeem verbeteren door SELinux te installeren en te implementeren. Dit biedt een extra beschermingslaag door applicaties op het systeem te isoleren en de host te beveiligen.
Ubuntu gebruikt standaard AppArmor, een ander verplicht toegangscontrolesysteem. Om uw Linux-systeem veiliger te maken, kunt u in plaats daarvan SELinux gebruiken. Laten we eens kijken hoe je SELinux op Ubuntu kunt installeren en configureren met behulp van een paar basis Linux-commando's.
Wat is SELinux?
Security-Enhanced Linux (SELinux) is een Linux-kernelbeveiligingsmodule die een mechanisme biedt ter ondersteuning van beveiligingsbeleid voor toegangscontrole, inclusief verplichte toegangscontroles (MAC).
SELinux is een beveiligingsuitbreiding voor Linux die aanpassingen aan de kernel en gebruikerstools bevat. Het scheidt de implementatie van beveiligingsbeslissingen van het beveiligingsbeleid en vereenvoudigt het proces van beleidshandhaving.
Hoe SELinux op Ubuntu te installeren
Hier zijn de stappen om SELinux op een Ubuntu-machine te installeren:
Stap 1: Update en upgrade Ubuntu
Voordat je begint met het installeren van SELinux, update en upgrade je je systeem zodat je nieuwe applicaties soepel kunt installeren zonder tegen problemen aan te lopen eventuele problemen met kapotte of verouderde pakketten.
Om Ubuntu bij te werken en te upgraden, opent u de terminal door op te drukken Ctrl+Alt+T, en loop:
sudo apt-get update && geschikt-krijgenupgradeStap 2: Stop en verwijder AppArmor op Ubuntu
Een ander ding dat u moet doen voordat u SELinux installeert, is AppArmor uitschakelen of volledig verwijderen.
Om AppArmor eerst uit te schakelen, stop de service met behulp van het hulpprogramma systemctl:
sudo systeemctl stop apparateurNadat u de service hebt gestopt, controleert u de status met:
systemctl status apparmorNu kunt u AppArmor eenvoudig uitschakelen door het volgende uit te voeren:
sudo systeemctl uitzetten apparateurHet is prima als u de service alleen wilt uitschakelen en niet wilt verwijderen. Als u het echter ook wilt verwijderen, voert u het volgende uit:
sudo apt-krijgen apparmor -y verwijderenOm de wijzigingen door te voeren, start uw Ubuntu-machine opnieuw op:
sudo opnieuw opstartenStap 3: Installeer SELinux op Ubuntu
Voordat u SELinux installeert, moet u weten dat de installatie een risico met zich meebrengt. De service kan uw systeem onstabiel maken, dus zorg ervoor dat u dit doet maak een back-up van uw systeem voordat u doorgaat ermee.
Als u een virtuele omgeving gebruikt, maak dan een momentopname van de virtuele Ubuntu-machine (VM) voordat u wijzigingen aanbrengt in uw systeem.
Om SELinux en zijn essentiële afhankelijkheden op Ubuntu te installeren, voert u het volgende uit:
sudo apt-krijgen installeer policycoreutils selinux-utils selinux-basics -yActiveer na het installeren van SELinux en zijn afhankelijkheden de service met:
sudo selinux-activerenStap 4: Stel SELinux-modi in op Ubuntu
Er zijn vier verschillende modi beschikbaar in SELinux:
- Modus uitschakelen
- Modus inschakelen
- Permissieve modus
- Afdwingende modus
De eerste modus, uitschakelen, vertelt aan de hand van de naam welk doel het dient. Als u de SELinux-modus hebt uitgeschakeld, betekent dit dat de service niet actief is op uw systeem. Aan de andere kant is de ingeschakelde modus het tegenovergestelde, wat betekent dat de SELinux-service op uw systeem draait.
Wanneer de SELinux-modus is ingesteld om in te schakelen, kunt u de permissieve of afdwingende modus gebruiken. U moet de permissieve modus gebruiken wanneer u alleen de interacties hoeft te controleren. Maar als je zowel interacties wilt filteren als monitoren, maak dan gebruik van de afdwingende modus.
Om de SELinux-modus in te stellen op afdwingen, voer je uit:
sudo selinux-config-afdwingenU kunt in plaats daarvan ook deze opdracht gebruiken om de modus in te stellen op afdwingen:
setforce 1Start uw systeem opnieuw op om de wijzigingen bij te werken:
sudo opnieuw opstartenNadat het systeem opnieuw is opgestart, controleer je de status van SELinux om er zeker van te zijn dat het is ingeschakeld:
ingestelde statusAls u de modus op tolerant wilt instellen, gebruikt u:
setforce 0Na het wijzigen van de modus moet u altijd opnieuw opstarten.
sudo opnieuw opstartenGebruik een van de twee opdrachten om de status van de service te controleren en de zojuist aangebrachte wijzigingen te verifiëren:
ingestelde status
afdwingenDe afdwingen opdracht drukt alleen de huidige modus af op de terminal. De opdracht setstatus geeft echter meer details over de modus die momenteel op uw systeem is ingesteld.
U kunt ook de huidige modi controleren door naar de /etc/sysconfig/selinux bestand.
De permissieve modus is flexibeler in vergelijking met afdwingen. Deze modus blokkeert niet alle verzoeken en houdt een logbestand bij om een gebeurtenis op te slaan als er een regelovertreding is.
Toegang tot het SELinux-logbestand op Ubuntu
U vindt SELinux-logboeken in het audit.log bestand opgeslagen in de /var/log/audit map.
Om SELinux-logboeken te bekijken, voer je uit:
grep selinux /var/log/audit/audit.logHoe SELinux op Ubuntu uit te schakelen
Laten we nu onderzoeken hoe SELinux op Ubuntu kan worden verwijderd of uitgeschakeld. Er zijn twee methoden die u hiervoor kunt gebruiken:
1. Schakel SELinux tijdelijk uit
Wanneer je SELinux tijdelijk uitschakelt, stop je onmiddellijk de afdwinging ervan en ga je door met SELinux in een inactieve toestand tot de volgende herstart van het systeem. Na het opnieuw opstarten zal SELinux terugkeren naar handhaving.
Om SELinux tijdelijk uit te schakelen, moet je eerst een rootgebruiker worden:
sudo -ikSchakel SELinux nu uit met:
echo 0 > /selinux/afdwingenJe kunt in plaats daarvan ook de tool setenforce gebruiken om SELinux uit te schakelen voor de huidige sessie:
setforce 02. SELinux permanent uitschakelen
Je kunt SELinux ook permanent uitschakelen met behulp van het configuratiebestand, zodat het niet na elke herstart terugkeert naar handhaving.
Om SELinux uit te schakelen, opent u het configuratiebestand in de /etc/selinux/config map:
sudo nano /etc/selinux/configZoek de regel "SELINUX=afdwingen" in de inhoud van het bestand en wijzig dit in "SELinux=uitgeschakeld”.
Als u klaar bent, slaat u het bestand op en verlaat u het door op te drukken Ctrl+X, Dan Y, en raak Binnenkomen.
Hoe SELinux op Ubuntu te verwijderen
Als je SELinux niet langer wilt gebruiken en het moet verwijderen vanwege instabiliteitsproblemen, voer dan het volgende uit:
sudo apt-krijgen installeer policycoreutils selinux-utils selinux-basics -yHet bovengenoemde commando zal SELinux en zijn afhankelijkheden volledig van uw systeem verwijderen.
Voeg extra beveiliging toe aan Linux met behulp van SELinux
SELinux kan extra bescherming bieden door de verspreiding van een inbreuk op de beveiliging te beperken. Bovendien kan het webservers beveiligen op basis van de SELinux-modus die u hebt geselecteerd. U kunt de modus instellen op tolerant of afdwingend.
Daarnaast zijn er andere maatregelen die je kunt nemen om je Linux-systeem veilig te houden, zoals het gebruik van sterke wachtwoorden. U kunt uw Linux-machine vragen om sterke wachtwoorden voor u te genereren door meerdere opdrachtregelprogramma's te gebruiken, zoals apg, gpg, pwgen, enz.
