Selinux sur Debian Top 10 Buster

Célia Girard
Selinux sur Debian Top 10 Buster
Selinux est un système d'étiquetage pour les processus et les fichiers. Les sujets étiquetés l'accès aux objets étiquetés sont limités par des politiques de formation de règles. Ce tutoriel est une introduction aux bases de Selinux montrant comment configurer et activer SELINUX sur Debian 10 Buster et lui activer des informations supplémentaires sur les commandes populaires.

Avant de commencer, vous devrez apprendre les concepts suivants:

Sujets: processus ou utilisateurs.
Objets: fichiers ou systèmes de fichiers.

Type Application: Sur SELINUX, tous les sujets et objets ont un identifiant de type se terminant par _T. "L'application de la loi sur le type est la notion que, dans un système de contrôle d'accès obligatoire, l'accès est régi par l'autorisation basée sur un ensemble de règles d'accès à l'accès sujet.

Dans SELINUX, l'application de la loi de type est mise en œuvre en fonction des étiquettes des sujets et des objets. Selinux en soi n'a pas de règles qui disent / bac / bash peut exécuter / bac / ls. Au lieu de cela, il a des règles similaires aux «processus avec l'étiquette user_t peut exécuter des fichiers réguliers étiquetés bin_t.»(Source https: // wiki.gentoo.org / wiki / selinux / type_enforcement)

Contrôle d'accès discrétionnaire (DAC): DAC est le système de propriété et d'autorisation que nous utilisons dans Linux pour gérer l'accès à des objets comme des fichiers ou des répertoires. Le contrôle d'accès discrétionnaire n'a rien à voir avec SELINUX et est une couche de sécurité différente. Pour plus d'informations sur le DAC, visitez les autorisations Linux expliquées.

Contrôle d'accès obligatoire (Mac): est un type de contrôle d'accès qui limite les sujets à l'accès à l'interaction avec les objets. Contrairement au DAC avec les utilisateurs de Mac ne peut pas modifier les politiques.
Les sujets et les objets ont un contexte de sécurité (attributs de sécurité) surveillés par selinux et administrés conformément aux politiques de sécurité faites par des règles à appliquer.


Contrôle d'accès basé sur les rôles (RBAC): est un type de contrôle d'accès basé sur les rôles, il peut être combiné avec Mac et DAC. Les politiques RBAC facilitent la gestion de nombreux utilisateurs au sein d'une organisation en contraste avec le DAC qui peut dériver des affectations d'autorisation individuelles, il facilite l'audit, la configuration et les politiques.

Mode d'application: Selinux restreint l'accès aux sujets aux objets en fonction des politiques.

Mode permissif: SELINUX se journalise uniquement une activité illégitime.

Les fonctionnalités de Selinux incluent (liste Wikipedia):

  • Séparation propre de la politique de l'application
  • Interfaces politiques bien définies
  • Prise en charge des applications interrogeant la politique et appliquant le contrôle d'accès (par exemple, grond exécuter des travaux dans le bon contexte)
  • Indépendance de politiques et de langues politiques spécifiques
  • Indépendance de formats et de contenus spécifiques de sécurité
  • Étiquettes et contrôles individuels pour les objets et services du noyau
  • Support aux changements de politique
  • Des mesures distinctes pour protéger l'intégrité du système (type de domaine) et la confidentialité des données (Sécurité à plusieurs niveaux)
  • Politique flexible
  • Contrôle l'initialisation et l'héritage des processus et l'exécution du programme
  • Contrôle les systèmes de fichiers, les répertoires, les fichiers et l'ouverture descripteurs de fichiers
  • Contrôles des prises, des messages et des interfaces réseau
  • Contrôle l'utilisation des «capacités»
  • Informations mises en cache sur les décisions d'accès via le cache de vecteur d'accès (AVC)
  • Defy-deny Politique (tout ce qui n'est pas explicitement spécifié dans la politique est refusé).

Source: https: // en.Wikipédia.org / wiki / security-enhanced_linux # fonctionnalités

Note: Les utilisateurs sont différents sur Selinux et Passwd.

Configuration de Sellinux sur Debian 10 Buster

Dans mon cas, Selinux était handicapé sur Debian 10 Buster. Garder SELINUX activé est l'une des étapes de base pour assurer la sécurité d'un appareil Linux. Pour connaître l'état de Selinux dans votre appareil, exécutez la commande:

/ # Sestatus

J'ai trouvé que Selinux était désactivé, pour l'activer, vous devez installer certains packages avant, après un mise à jour apte, Exécutez la commande:

/ # apt install selinux-basics selinux-politique-défaut

Si vous êtes demandé, appuyez sur Y Pour continuer le processus d'installation. Courir mise à jour apte Après avoir terminé l'installation.

Pour activer Selinux, exécutez la commande suivante:

/ # selinux-activate

Comme vous pouvez le voir, Selinux a été correctement activé. Pour appliquer toutes les modifications, vous devez redémarrer votre système comme indiqué.

La commande GETENFORCE peut être utilisée pour apprendre le statut de Selinux, si c'est sous le mode permissif ou d'application:

/ # getenforce

Le mode permissif pourrait être remplacé en réglant le paramètre 1 (Permissive est 0). Vous pouvez également vérifier le mode sur le fichier de configuration à l'aide de la commande moins:

/ # moins / etc / selinux / config

Sortir:

Comme vous pouvez le voir, les fichiers de configuration affichent le mode permissif. Presse Q quitter.

Pour voir un contexte de sécurité de fichiers ou de processus, vous pouvez utiliser le drapeau -z:

/ # ls -z

Le format d'étiquette est Utilisateur: Rôle: Type: Niveau.

SEMANAGE - outil de gestion des politiques Selinux

SEMANAGE est l'outil de gestion des politiques SELINUX. Il permet de gérer les booléens (qui permettent de modifier le processus lors de l'exécution), les rôles et niveaux des utilisateurs, les interfaces réseau, les modules de stratégie et plus. Sémanage permet de configurer les politiques SELINUX sans avoir besoin de compiler des sources. SEMANAGE permet le lien entre les utilisateurs du système d'exploitation et de Selinux et certains contextes de sécurité d'objets.

Pour plus d'informations sur SEMANAGE, visitez la page Man à: https: // Linux.mourir.net / homme / 8 / SEMANAGE

Conclusion et notes

Selinux est un moyen supplémentaire d'administrer l'accès à partir de processus vers des ressources système telles que les fichiers, les partitions, les répertoires, etc. Il permet de gérer des privilèges massifs en fonction du rôle, du niveau ou du type. L'avoir activé est un must comme mesure de sécurité et lors de l'utilisation, il est important de se souvenir de sa couche de sécurité et de redémarrer le système après l'avoir activé ou désactivé (la désactivation n'est pas du tout recommandée, sauf pour des tests spécifiques). Parfois, un accès aux fichiers est bloqué malgré les autorisations du système ou du système.

J'espère que vous avez trouvé cet article sur Selinux utile comme introduction cette solution de sécurité, continuez à suivre Linuxhint pour plus de conseils et de mises à jour sur Linux et le réseautage.

Articles Liés:

  • SELINUX sur Ubuntu Tutorial
  • Comment désactiver Sélinux sur Centos 7
  • Liste de contrôle de durcissement de la sécurité Linux
  • Profils Apparmor sur Ubuntu
php
Comment utiliser la fonction Ajouts en php
AddSlashes () La fonction dans PHP ajoute une barre oblique inverse (\) avant les caractères spéciau...
Nathan Blanc
C ++
Quels sont les identifiants en C++?
Dans un programme, les identificateurs C ++ sont utilisés pour désigner les noms des variables, des ...
Lena Martinez
c Sharp
Que sont les séquences d'évasion en C #
La séquence d'échappement en C # est une séquence de caractères qui représente une signification par...
Lena Martinez
Postgresql
Comment copier un tableau d'une base de données à une autre dans PostgreSQL
Lena Martinez
html
Comment utiliser la propriété CSS Flex-Grow?
Julien Dumas
AWS
Quels outils AWS et DevOps sont nécessaires pour développer une application Web?
Zoe Martinez
Javascrip
Comment exécuter TypeScript dans VS Code
Sarah Roux
Docker
Quelles sont les étapes pour exécuter Nginx dans un conteneur Docker sur Ubuntu Top 10.Top 10?
Zoe Martinez
Java
Comment utiliser Java One Line If Déclaration?
Lena Dupuy
Docker
Comment puis-je répertorier toutes les commandes Docker?
Julien Dumas
Base de données Oracle
Comment supprimer la séquence dans Oracle?
Nathan Blanc
Base de données Oracle
Comment mettre en cache Oracle Sequence pour améliorer les ressources du dictionnaire de données?
Lena Dupuy
Sqlite
Puis-je utiliser Sqlite en ligne?
Gabriel Bernard