تأمين خادم Ubuntu Linux باستخدام SELinux

SELinux هو نظام أمان قوي وقابل للتخصيص يتم شحنه افتراضيًا على العديد من أنظمة تشغيل Linux ، مثل Fedora و RHEL. إذا كنت ترغب في إضافة أمان إضافي إلى خادم Ubuntu الخاص بك ، فاتبع ذلك بينما نوضح لك كيفية تأمين خادم Ubuntu Linux الخاص بك باستخدام SELinux.

كيفية تعطيل AppArmor على أوبونتو

يستخدم Ubuntu AppArmor افتراضيًا. إنه نظام رائع يقوم تقريبًا بما تدعي SELinux القيام به. ومع ذلك ، إذا كنت ترغب في استخدام SELinux بدلاً من ذلك ، فستحتاج إلى تعطيل AppArmor. لتعطيل AppArmor على خادم Ubuntu ، قم بما يلي.

أولاً ، SSH في نظام خادم Ubuntu الخاص بك (أو اجلس عليه فعليًا واستخدم الجهاز الطرفي). بمجرد تسجيل الدخول إلى الجهاز ، استخدم الأمر systemctl disable لتعطيل AppArmor من نظام Ubuntu الخاص بك.

sudo systemctl تعطيل apparmor --now

بعد تشغيل هذا الأمر ، يمكنك استخدام الأمر systemctl status للتحقق مما إذا كان AppArmor معطلاً بالفعل. إذا لم يكن كذلك ، فحاول إعادة التشغيل وتشغيل أمر تعطيل systemctl مرة أخرى.

apparmor حالة systemctl

كيفية تثبيت SELinux على أوبونتو

قبل استخدام SELinux على نظام Ubuntu الخاص بك ، تحتاج إلى تثبيته. يتطلب تثبيت SELinux على Ubuntu بعض الحزم ، على وجه التحديد ، حزم "Policycoreutils" و "selinux-utils" و "selinux-basics". لتثبيت هذه الحزم ، استخدم الأمر التالي:

sudo apt install Policycoreutils selinux-utils selinux-basics

بعد تثبيت الحزم أعلاه ، سيتم تثبيت SELinux على نظام Ubuntu الخاص بك. ومع ذلك ، لن تتمكن من الاستفادة الكاملة من SELinux على خادم Ubuntu حتى يتم تنشيطه.

لتنشيط SELinux على نظام خادم Ubuntu الخاص بك ، استخدم الأمر selinux-active . سيعدل هذا الأمر أداة تحميل التشغيل Grub في Ubuntu Server للعمل مع SELinux وتمكينه عند التمهيد.

sudo selinux- تفعيل

مع تنشيط SELinux ، قم بتمكين فرض SELinux باستخدام الأمر selinux-config -forcing .

sudo selinux-config -forcing

بعد التنشيط ، يجب إعادة تشغيل خادم Ubuntu. استخدم الأمر sudo reboot لإعادة تشغيل النظام.

sudo إعادة التشغيل

عندما ينتهي النظام من إعادة التشغيل ، قم بتسجيل الدخول مرة أخرى إلى الخادم الخاص بك باستخدام حساب المستخدم الخاص بك.

كيفية تكوين SELinux

أثناء تمكين فرض SELinux ، لا يزال يتعين عليك تكوينه ليناسب احتياجاتك. هناك العشرات والعشرات من سياسات SELinux التي يمكنك تشغيلها لتحسين الأمان على خادم Ubuntu.

للبدء ، قم بإدراج سياسات SELinux المتاحة التي قام نظامك بتعطيلها. يمكنك سرد سياسات SELinux هذه باستخدام الأمر semanage boolean -l .

semanage منطقية -l

ابحث في السياسات التي ترغب في تمكينها. على سبيل المثال ، إذا كنت ترغب في تمكين “use_nfs_home_dirs” في سياسات تطبيق SELinux الخاصة بك ، يمكنك تمكينه عن طريق تشغيل الأمر التالي.

لاحظ أن "1" يكافئ تمكين شيء ما في SELinux باستخدام الأمر setsebool .

sudo setsebool -P use_nfs_home_dirs 1

إذا كنت ترغب في تعطيل "use_nfs_home_dirs" في سياسات تطبيق SELinux الخاصة بك ، يمكنك استخدام الأمر setsebool ولكن تغيير "1" إلى "0". "0" هو نفس كتابة "تعطيل".

sudo setsebool -P use_nfs_home_dirs 0

كيفية تعطيل القيم غير الضرورية باستخدام SELinux

هناك العديد من قيم SELinux الممكّنة والتي قد لا تحتاجها. سيؤدي إيقاف تشغيل هذه القيم في SELinux على نظام Ubuntu إلى زيادة الأمان بشكل كبير. لعرض قيم SELinux الممكّنة ، قم بتشغيل الأمر التالي getsebool -a في المحطة.

sudo getsebool -a | grep -E '\ b \ w + \ b \ s + -> \ s + on \ b'

سيخرج الأمر أعلاه كل قيمة ممكنة. ابحث في هذه القيم الممكّنة وحدد ما إذا كنت ترغب في تركها ممكّنة. على سبيل المثال ، إذا كنت لا تستخدم خادم Squid ، فقد لا تحتاج إلى تمكين "squid_use_pinger" ، إلخ.

بمجرد تحديد القيمة (القيم) التي ترغب في تعطيلها ، يمكنك تشغيل الأمر setsebool التالي . سيؤدي هذا الأمر إلى تغيير السياسة من ممكّن إلى معطل في تكوين SELinux الخاص بك.

sudo setsebool -P VALUE_NAME 0

إعادة تمكين AppArmor على خادم Ubuntu

إذا قررت أنك لا تريد استخدام SELinux على خادم Ubuntu ، فإليك طريقة الرجوع إلى AppArmor. أولاً ، افتح Terminal واستخدم الأمر "sed" التالي لتعطيل SELinux في ملف التكوين الخاص به.

sudo sed -i 's / ^ SELINUX =. * / SELINUX = معطل /' / etc / selinux / config

بعد إضافة "معطل" إلى ملف تكوين SELinux ، تحتاج إلى إعادة التشغيل. عند إعادة التشغيل ، لن يعمل SELinux عند الإقلاع.

sudo إعادة التشغيل

عند تسجيل الدخول مرة أخرى ، يمكنك إعادة تمكين AppArmor على Ubuntu باستخدام الأمر systemctl enable .

sudo systemctl تمكين apparmor

بعد تمكين خدمة AppArmor ، ابدأ تشغيلها على نظام Ubuntu الخاص بك عن طريق تشغيل الأمر التالي systemctl start .

sudo systemctl ابدأ apparmor

يمكنك التحقق مما إذا كان AppArmor يعمل بشكل صحيح على نظام Ubuntu الخاص بك باستخدام الأمر systemctl status .

apparmor حالة systemctl