Protezione di un server Ubuntu Linux con SELinux

SELinux è un sistema di sicurezza robusto e personalizzabile fornito di default su molti sistemi operativi Linux , come Fedora e RHEL. Se desideri aggiungere ulteriore sicurezza al tuo server Ubuntu, segui mentre ti mostriamo come proteggere il tuo server Ubuntu Linux con SELinux.

Come disabilitare AppArmor su Ubuntu

Ubuntu utilizza AppArmor per impostazione predefinita. È un ottimo sistema che fa all'incirca ciò che SELinux afferma di fare. Tuttavia, se desideri invece utilizzare SELinux, dovrai disabilitare AppArmor. Per disabilitare AppArmor su Ubuntu Server, procedi come segue.

Innanzitutto, SSH nel tuo sistema server Ubuntu (o siediti fisicamente e usa il terminale). Dopo aver effettuato l'accesso al terminale, usa il comando systemctl disable per disabilitare AppArmor dal tuo sistema Ubuntu.

sudo systemctl disable apparmor --now

Dopo aver eseguito questo comando, puoi utilizzare il comando systemctl status per verificare se AppArmor è effettivamente disabilitato. In caso contrario, prova a riavviare ed eseguire nuovamente il comando systemctl disable .

apparmor stato systemctl

Come installare SELinux su Ubuntu

Prima di utilizzare SELinux sul tuo sistema Ubuntu, devi installarlo. L'installazione di SELinux su Ubuntu richiede alcuni pacchetti, in particolare i pacchetti "policycoreutils", "selinux-utils" e "selinux-basics". Per installare questi pacchetti, utilizzare il seguente comando:

sudo apt install policycoreutils selinux-utils selinux-basics

Dopo aver installato i pacchetti sopra, SELinux verrà installato sul tuo sistema Ubuntu. Tuttavia, non sarai in grado di sfruttare appieno SELinux sul tuo server Ubuntu fino a quando non sarà attivato.

Per attivare SELinux sul tuo sistema Ubuntu Server, usa il comando selinux-activate . Questo comando modificherà il bootloader Grub di Ubuntu Server in modo che funzioni con SELinux e lo abiliti all'avvio.

sudo selinux-activate

Con SELinux attivato, abilita l'imposizione di SELinux utilizzando il comando selinux-config-enforcing .

sudo selinux-config-enforcing

Dopo l'attivazione, è necessario riavviare Ubuntu Server. Utilizzare il comando sudo reboot per riavviare il sistema.

sudo riavviare

Al termine del riavvio del sistema, accedi nuovamente al server utilizzando il tuo account utente.

Come configurare SELinux

Sebbene l'imposizione di SELinux sia abilitata, è comunque necessario configurarla in base alle proprie esigenze. Esistono dozzine e dozzine di politiche SELinux che puoi attivare per una maggiore sicurezza sul server Ubuntu.

Per iniziare, elenca le politiche SELinux disponibili che il tuo sistema ha disabilitato. Puoi elencare queste policy SELinux con il comando semanage boolean -l .

semanage booleano -l

Esaminare le politiche che si desidera abilitare. Ad esempio, se desideri abilitare "use_nfs_home_dirs" nelle politiche di applicazione di SELinux, puoi abilitarlo eseguendo il seguente comando.

Si noti che "1" equivale ad abilitare qualcosa in SELinux con il comando setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Se desideri disabilitare "use_nfs_home_dirs" nelle politiche di applicazione di SELinux, puoi utilizzare il comando setsebool ma modificare "1" in "0". Lo "0" equivale a scrivere "disabilita".

sudo setsebool -P use_nfs_home_dirs 0

Come disabilitare i valori non necessari con SELinux

Ci sono diversi valori SELinux abilitati che potrebbero non essere necessari. Disattivare questi valori in SELinux sul tuo sistema Ubuntu aumenterà significativamente la tua sicurezza. Per visualizzare i valori SELinux abilitati, esegui il seguente comando getsebool -a in un terminale.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Il comando sopra produrrà ogni valore abilitato. Esamina questi valori abilitati e determina se desideri lasciarli abilitati. Ad esempio, se non stai utilizzando un server Squid, potresti non aver bisogno di "squid_use_pinger" abilitato, ecc.

Dopo aver determinato quali valori desideri disabilitare, puoi eseguire il seguente comando setsebool . Questo comando cambierà la policy da abilitata a disabilitata nella configurazione di SELinux.

sudo setsebool -P VALUE_NAME 0

Riattivazione di AppArmor su Ubuntu Server

Se hai deciso di non utilizzare SELinux su Ubuntu Server, ecco come ripristinare AppArmor. Innanzitutto, apri un terminale e usa il seguente comando "sed" per disabilitare SELinux nel suo file di configurazione.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Dopo aver aggiunto "disabled" al file di configurazione di SELinux, è necessario riavviare. Al riavvio, SELinux non verrà eseguito all'avvio.

sudo riavviare

Dopo aver effettuato nuovamente l'accesso, puoi riattivare AppArmor su Ubuntu utilizzando il comando systemctl enable .

sudo systemctl abilita apparmor

Dopo aver abilitato il servizio AppArmor, avvialo sul tuo sistema Ubuntu eseguendo il seguente comando systemctl start .

sudo systemctl start apparmor

Puoi verificare se AppArmor funziona correttamente sul tuo sistema Ubuntu utilizzando il comando systemctl status .

apparmor stato systemctl