Absicherung eines Ubuntu-Linux-Servers mit SELinux

SELinux ist ein robustes und anpassbares Sicherheitssystem, das standardmäßig auf vielen Linux- Betriebssystemen wie Fedora und RHEL ausgeliefert wird. Wenn Sie Ihrem Ubuntu-Server zusätzliche Sicherheit hinzufügen möchten, folgen Sie uns, während wir Ihnen zeigen, wie Sie Ihren Ubuntu-Linux-Server mit SELinux sichern.

So deaktivieren Sie AppArmor unter Ubuntu

Ubuntu verwendet standardmäßig AppArmor. Es ist ein großartiges System, das ungefähr das tut, was SELinux verspricht. Wenn Sie jedoch stattdessen SELinux verwenden möchten, müssen Sie AppArmor deaktivieren. Gehen Sie wie folgt vor, um AppArmor auf Ubuntu Server zu deaktivieren.

Stellen Sie zunächst eine SSH-Verbindung zu Ihrem Ubuntu-Serversystem her (oder setzen Sie sich physisch dorthin und verwenden Sie das Terminal). Sobald Sie sich am Terminal angemeldet haben, verwenden Sie den Befehl systemctl disable , um AppArmor auf Ihrem Ubuntu-System zu deaktivieren.

sudo systemctl disable apparmor --now

Nachdem Sie diesen Befehl ausgeführt haben, können Sie mit dem Befehl systemctl status überprüfen, ob AppArmor tatsächlich deaktiviert ist. Ist dies nicht der Fall, versuchen Sie einen Neustart und führen Sie den Befehl systemctldisable erneut aus.

systemctl status apparmor

So installieren Sie SELinux unter Ubuntu

Bevor Sie SELinux auf Ihrem Ubuntu-System verwenden können, müssen Sie es installieren. Für die Installation von SELinux unter Ubuntu sind einige Pakete erforderlich, insbesondere die Pakete „policycoreutils“, „selinux-utils“ und „selinux-basics“. Um diese Pakete zu installieren, verwenden Sie den folgenden Befehl:

Sudo apt install Policycoreutils Selinux-Utils Selinux-Basics

Nach der Installation der oben genannten Pakete wird SELinux auf Ihrem Ubuntu-System installiert. Allerdings können Sie SELinux auf Ihrem Ubuntu-Server erst dann in vollem Umfang nutzen, wenn es aktiviert ist.

Um SELinux auf Ihrem Ubuntu-Serversystem zu aktivieren, verwenden Sie den Befehl selinux-activate . Dieser Befehl ändert den Grub-Bootloader von Ubuntu Server so, dass er mit SELinux funktioniert, und aktiviert ihn beim Booten.

sudo selinux-activate

Aktivieren Sie bei aktiviertem SELinux die SELinux-Erzwingung mit dem Befehl selinux-config-enforcing .

sudo selinux-config-enforcing

Nach der Aktivierung müssen Sie den Ubuntu-Server neu starten. Verwenden Sie den Befehl sudo reboot, um Ihr System neu zu starten.

Sudo-Neustart

Wenn das System den Neustart abgeschlossen hat, melden Sie sich mit Ihrem Benutzerkonto wieder bei Ihrem Server an.

So konfigurieren Sie SELinux

Auch wenn die SELinux-Erzwingung aktiviert ist, müssen Sie sie dennoch entsprechend Ihren Anforderungen konfigurieren. Es gibt Dutzende von SELinux-Richtlinien, die Sie für eine bessere Sicherheit auf dem Ubuntu-Server aktivieren können.

Listen Sie zunächst die verfügbaren SELinux-Richtlinien auf, die Ihr System deaktiviert hat. Sie können diese SELinux-Richtlinien mit dem Befehl semanage boolean -l auflisten .

semanage boolean -l

Sehen Sie sich die Richtlinien an, die Sie aktivieren möchten. Wenn Sie beispielsweise „use_nfs_home_dirs“ in Ihren SELinux-Durchsetzungsrichtlinien aktivieren möchten, können Sie es aktivieren, indem Sie den folgenden Befehl ausführen.

Beachten Sie, dass „1“ dem Aktivieren von etwas in SELinux mit dem Befehl „setsebool“ entspricht .

sudo setsebool -P use_nfs_home_dirs 1

Wenn Sie „use_nfs_home_dirs“ in Ihren SELinux-Durchsetzungsrichtlinien deaktivieren möchten, können Sie den Befehl „ setsebool“ verwenden, aber die „1“ in eine „0“ ändern. Die „0“ ist dasselbe wie die Schreibweise „disable“.

sudo setsebool -P use_nfs_home_dirs 0

So deaktivieren Sie nicht benötigte Werte mit SELinux

Es sind mehrere SELinux-Werte aktiviert, die Sie möglicherweise nicht benötigen. Das Deaktivieren dieser Werte in SELinux auf Ihrem Ubuntu-System erhöht Ihre Sicherheit erheblich. Um aktivierte SELinux-Werte anzuzeigen, führen Sie den folgenden Befehl getsebool -a in einem Terminal aus.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Der obige Befehl gibt jeden aktivierten Wert aus. Sehen Sie sich diese aktivierten Werte an und entscheiden Sie, ob Sie sie aktiviert lassen möchten. Wenn Sie beispielsweise keinen Squid-Server verwenden, muss „squid_use_pinger“ möglicherweise nicht aktiviert sein usw.

Sobald Sie festgelegt haben, welche Werte Sie deaktivieren möchten, können Sie den folgenden Befehl „setsebool“ ausführen . Dieser Befehl ändert die Richtlinie in Ihrer SELinux-Konfiguration von aktiviert auf deaktiviert.

sudo setsebool -P VALUE_NAME 0

AppArmor auf Ubuntu Server erneut aktivieren

Wenn Sie entschieden haben, dass Sie SELinux nicht auf Ubuntu Server verwenden möchten, erfahren Sie hier, wie Sie zu AppArmor zurückkehren. Öffnen Sie zunächst ein Terminal und verwenden Sie den folgenden „sed“-Befehl, um SELinux in seiner Konfigurationsdatei zu deaktivieren.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Nachdem Sie „disabled“ zur SELinux-Konfigurationsdatei hinzugefügt haben, müssen Sie einen Neustart durchführen. Wenn Sie neu starten, wird SELinux beim Booten nicht ausgeführt.

Sudo-Neustart

Nach der erneuten Anmeldung können Sie AppArmor unter Ubuntu mithilfe des Befehls systemctl enable erneut aktivieren .

sudo systemctl apparmor aktivieren

Nachdem Sie den AppArmor-Dienst aktiviert haben, starten Sie ihn auf Ihrem Ubuntu-System, indem Sie den folgenden systemctl-Startbefehl ausführen .

sudo systemctl starte Apparmor

Sie können überprüfen, ob AppArmor auf Ihrem Ubuntu-System ordnungsgemäß ausgeführt wird, indem Sie den Befehl systemctl status verwenden .

systemctl status apparmor