Asegurar un servidor Ubuntu Linux con SELinux

SELinux es un sistema de seguridad robusto y personalizable que se envía de forma predeterminada en muchos sistemas operativos Linux , como Fedora y RHEL. Si desea agregar seguridad adicional a su servidor Ubuntu, siga mientras le mostramos cómo proteger su servidor Ubuntu Linux con SELinux.

Cómo deshabilitar AppArmor en Ubuntu

Ubuntu usa AppArmor por defecto. Es un gran sistema que hace más o menos lo que SELinux dice hacer. Sin embargo, si desea utilizar SELinux en su lugar, deberá desactivar AppArmor. Para deshabilitar AppArmor en Ubuntu Server, haga lo siguiente.

Primero, SSH en su sistema de servidor Ubuntu (o siéntese físicamente y use la terminal). Una vez que haya iniciado sesión en la terminal, use el comando systemctl disabled para deshabilitar AppArmor de su sistema Ubuntu.

sudo systemctl desactivar apparmor --ahora

Después de ejecutar este comando, puede usar el comando systemctl status para verificar si AppArmor está realmente deshabilitado. Si no es así, intente reiniciar y ejecutar el comando systemctl disabled nuevamente.

apariencia de estado systemctl

Cómo instalar SELinux en Ubuntu

Antes de usar SELinux en su sistema Ubuntu, debe instalarlo. La instalación de SELinux en Ubuntu requiere algunos paquetes, específicamente, los paquetes "policycoreutils", "selinux-utils" y "selinux-basics". Para instalar estos paquetes, use el siguiente comando:

sudo apt install policycoreutils selinux-utils selinux-basics

Después de instalar los paquetes anteriores, SELinux se instalará en su sistema Ubuntu. Sin embargo, no podrá aprovechar al máximo SELinux en su servidor Ubuntu hasta que se active.

Para activar SELinux en su sistema Ubuntu Server, use el comando selinux-activate . Este comando modificará el cargador de arranque Grub de Ubuntu Server para que funcione con SELinux y lo habilitará en el arranque.

sudo selinux-activar

Con SELinux activado, habilite la aplicación de SELinux mediante el comando selinux-config-enforcing .

sudo selinux-config-enforcing

Después de la activación, debe reiniciar el servidor Ubuntu. Use el comando sudo reboot para reiniciar su sistema.

reiniciar sudo

Cuando el sistema haya terminado de reiniciarse, vuelva a iniciar sesión en su servidor con su cuenta de usuario.

Cómo configurar SELinux

Si bien la aplicación de SELinux está habilitada, aún debe configurarlo para que se ajuste a sus necesidades. Hay docenas y docenas de políticas de SELinux que puede activar para una mejor seguridad en Ubuntu Server.

Para comenzar, enumere las políticas de SELinux disponibles que su sistema ha deshabilitado. Puede enumerar estas políticas de SELinux con el comando semanage boolean -l .

semanage booleano -l

Mire a través de las políticas que desea habilitar. Por ejemplo, si desea habilitar "use_nfs_home_dirs" en sus políticas de aplicación de SELinux, puede habilitarlo ejecutando el siguiente comando.

Tenga en cuenta que "1" es equivalente a habilitar algo en SELinux con el comando setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Si desea deshabilitar "use_nfs_home_dirs" en sus políticas de aplicación de SELinux, puede usar el comando setsebool pero cambie el "1" por un "0". El "0" es lo mismo que escribir "deshabilitar".

sudo setsebool -P use_nfs_home_dirs 0

Cómo deshabilitar valores innecesarios con SELinux

Hay varios valores de SELinux habilitados que quizás no necesite. Desactivar estos valores en SELinux en su sistema Ubuntu aumentará significativamente su seguridad. Para ver los valores de SELinux habilitados, ejecute el siguiente comando getsebool -a en una terminal.

sudo getsebool-a | grep -E '\b\w+\b\s+-->\s+en\b'

El comando anterior generará cada valor habilitado. Examine estos valores habilitados y determine si desea dejarlos habilitados. Por ejemplo, si no está utilizando un servidor Squid, es posible que no necesite habilitar "squid_use_pinger", etc.

Una vez que haya determinado qué valores desea deshabilitar, puede ejecutar el siguiente comando setsebool . Este comando cambiará la política de habilitada a deshabilitada en su configuración de SELinux.

sudo setsebool -P NOMBRE_VALOR 0

Volver a habilitar AppArmor en Ubuntu Server

Si ha decidido que no quiere usar SELinux en Ubuntu Server, aquí le mostramos cómo volver a AppArmor. Primero, abra una terminal y use el siguiente comando "sed" para deshabilitar SELinux en su archivo de configuración.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Después de agregar "deshabilitado" al archivo de configuración de SELinux, debe reiniciar. Cuando reinicie, SELinux no se ejecutará en el arranque.

reiniciar sudo

Al volver a iniciar sesión, puede volver a habilitar AppArmor en Ubuntu usando el comando systemctl enable .

sudo systemctl habilitar apparmor

Después de habilitar el servicio AppArmor, inícielo en su sistema Ubuntu ejecutando el siguiente comando systemctl start .

sudo systemctl start apparmor

Puede verificar si AppArmor se está ejecutando correctamente en su sistema Ubuntu usando el comando systemctl status .

apariencia de estado systemctl