Selinux sur Debian Top 10 Buster

Célia Girard
Selinux sur Debian Top 10 Buster
Selinux est un système d'étiquetage pour les processus et les fichiers. Les sujets étiquetés l'accès aux objets étiquetés sont limités par des politiques de formation de règles. Ce tutoriel est une introduction aux bases de Selinux montrant comment configurer et activer SELINUX sur Debian 10 Buster et lui activer des informations supplémentaires sur les commandes populaires.

Avant de commencer, vous devrez apprendre les concepts suivants:

Sujets: processus ou utilisateurs.
Objets: fichiers ou systèmes de fichiers.

Type Application: Sur SELINUX, tous les sujets et objets ont un identifiant de type se terminant par _T. "L'application de la loi sur le type est la notion que, dans un système de contrôle d'accès obligatoire, l'accès est régi par l'autorisation basée sur un ensemble de règles d'accès à l'accès sujet.

Dans SELINUX, l'application de la loi de type est mise en œuvre en fonction des étiquettes des sujets et des objets. Selinux en soi n'a pas de règles qui disent / bac / bash peut exécuter / bac / ls. Au lieu de cela, il a des règles similaires aux «processus avec l'étiquette user_t peut exécuter des fichiers réguliers étiquetés bin_t.»(Source https: // wiki.gentoo.org / wiki / selinux / type_enforcement)

Contrôle d'accès discrétionnaire (DAC): DAC est le système de propriété et d'autorisation que nous utilisons dans Linux pour gérer l'accès à des objets comme des fichiers ou des répertoires. Le contrôle d'accès discrétionnaire n'a rien à voir avec SELINUX et est une couche de sécurité différente. Pour plus d'informations sur le DAC, visitez les autorisations Linux expliquées.

Contrôle d'accès obligatoire (Mac): est un type de contrôle d'accès qui limite les sujets à l'accès à l'interaction avec les objets. Contrairement au DAC avec les utilisateurs de Mac ne peut pas modifier les politiques.
Les sujets et les objets ont un contexte de sécurité (attributs de sécurité) surveillés par selinux et administrés conformément aux politiques de sécurité faites par des règles à appliquer.


Contrôle d'accès basé sur les rôles (RBAC): est un type de contrôle d'accès basé sur les rôles, il peut être combiné avec Mac et DAC. Les politiques RBAC facilitent la gestion de nombreux utilisateurs au sein d'une organisation en contraste avec le DAC qui peut dériver des affectations d'autorisation individuelles, il facilite l'audit, la configuration et les politiques.

Mode d'application: Selinux restreint l'accès aux sujets aux objets en fonction des politiques.

Mode permissif: SELINUX se journalise uniquement une activité illégitime.

Les fonctionnalités de Selinux incluent (liste Wikipedia):

  • Séparation propre de la politique de l'application
  • Interfaces politiques bien définies
  • Prise en charge des applications interrogeant la politique et appliquant le contrôle d'accès (par exemple, grond exécuter des travaux dans le bon contexte)
  • Indépendance de politiques et de langues politiques spécifiques
  • Indépendance de formats et de contenus spécifiques de sécurité
  • Étiquettes et contrôles individuels pour les objets et services du noyau
  • Support aux changements de politique
  • Des mesures distinctes pour protéger l'intégrité du système (type de domaine) et la confidentialité des données (Sécurité à plusieurs niveaux)
  • Politique flexible
  • Contrôle l'initialisation et l'héritage des processus et l'exécution du programme
  • Contrôle les systèmes de fichiers, les répertoires, les fichiers et l'ouverture descripteurs de fichiers
  • Contrôles des prises, des messages et des interfaces réseau
  • Contrôle l'utilisation des «capacités»
  • Informations mises en cache sur les décisions d'accès via le cache de vecteur d'accès (AVC)
  • Defy-deny Politique (tout ce qui n'est pas explicitement spécifié dans la politique est refusé).

Source: https: // en.Wikipédia.org / wiki / security-enhanced_linux # fonctionnalités

Note: Les utilisateurs sont différents sur Selinux et Passwd.

Configuration de Sellinux sur Debian 10 Buster

Dans mon cas, Selinux était handicapé sur Debian 10 Buster. Garder SELINUX activé est l'une des étapes de base pour assurer la sécurité d'un appareil Linux. Pour connaître l'état de Selinux dans votre appareil, exécutez la commande:

/ # Sestatus

J'ai trouvé que Selinux était désactivé, pour l'activer, vous devez installer certains packages avant, après un mise à jour apte, Exécutez la commande:

/ # apt install selinux-basics selinux-politique-défaut

Si vous êtes demandé, appuyez sur Y Pour continuer le processus d'installation. Courir mise à jour apte Après avoir terminé l'installation.

Pour activer Selinux, exécutez la commande suivante:

/ # selinux-activate

Comme vous pouvez le voir, Selinux a été correctement activé. Pour appliquer toutes les modifications, vous devez redémarrer votre système comme indiqué.

La commande GETENFORCE peut être utilisée pour apprendre le statut de Selinux, si c'est sous le mode permissif ou d'application:

/ # getenforce

Le mode permissif pourrait être remplacé en réglant le paramètre 1 (Permissive est 0). Vous pouvez également vérifier le mode sur le fichier de configuration à l'aide de la commande moins:

/ # moins / etc / selinux / config

Sortir:

Comme vous pouvez le voir, les fichiers de configuration affichent le mode permissif. Presse Q quitter.

Pour voir un contexte de sécurité de fichiers ou de processus, vous pouvez utiliser le drapeau -z:

/ # ls -z

Le format d'étiquette est Utilisateur: Rôle: Type: Niveau.

SEMANAGE - outil de gestion des politiques Selinux

SEMANAGE est l'outil de gestion des politiques SELINUX. Il permet de gérer les booléens (qui permettent de modifier le processus lors de l'exécution), les rôles et niveaux des utilisateurs, les interfaces réseau, les modules de stratégie et plus. Sémanage permet de configurer les politiques SELINUX sans avoir besoin de compiler des sources. SEMANAGE permet le lien entre les utilisateurs du système d'exploitation et de Selinux et certains contextes de sécurité d'objets.

Pour plus d'informations sur SEMANAGE, visitez la page Man à: https: // Linux.mourir.net / homme / 8 / SEMANAGE

Conclusion et notes

Selinux est un moyen supplémentaire d'administrer l'accès à partir de processus vers des ressources système telles que les fichiers, les partitions, les répertoires, etc. Il permet de gérer des privilèges massifs en fonction du rôle, du niveau ou du type. L'avoir activé est un must comme mesure de sécurité et lors de l'utilisation, il est important de se souvenir de sa couche de sécurité et de redémarrer le système après l'avoir activé ou désactivé (la désactivation n'est pas du tout recommandée, sauf pour des tests spécifiques). Parfois, un accès aux fichiers est bloqué malgré les autorisations du système ou du système.

J'espère que vous avez trouvé cet article sur Selinux utile comme introduction cette solution de sécurité, continuez à suivre Linuxhint pour plus de conseils et de mises à jour sur Linux et le réseautage.

Articles Liés:

  • SELINUX sur Ubuntu Tutorial
  • Comment désactiver Sélinux sur Centos 7
  • Liste de contrôle de durcissement de la sécurité Linux
  • Profils Apparmor sur Ubuntu
Docker
Quel registre Docker est défini par défaut?
Le registre Docker par défaut est Docker Hub. Il s'agit du référentiel public officiel fourni par Do...
Nathan Blanc
Base de données Oracle
Comment mettre en cache Oracle Sequence pour améliorer les ressources du dictionnaire de données?
Les options «cache», «sans ordre» et «maintien» peuvent être utilisées pour mettre en cache Oracle S...
Lena Dupuy
C ++
Différence entre + = et = + opérateurs en C ++
En C ++, + = ajoute une valeur à une variable et attribue le résultat, tandis que = + attribue la va...
Julien Dumas
Python
Filtre Nan Pandas
Nathan Blanc
Python
Liste Python à la chaîne séparée par virgule
Mohamed Benoit
Python
Python OS.chemin.Méthode d'extension
Célia Girard
Python
Astype Numpy
Lena Dupuy
Windows OS
Quelle est la différence entre Windows Top 10 Home et Pro
Julien Dumas
Python
Histogramme Matplotlib 2D
Ines Dubois
php
Comment utiliser la fonction PHP Serialize
Célia Girard
AWS
Qu'est-ce que AWS GuardDuty et pourquoi il est utilisé?
Jules Colin
Powershell
Comment utiliser la commande «Get-Service» dans PowerShell
Mohamed Benoit
Docker
Comment se connecter dans Docker via l'invite de commande?
Jules Colin