Home » » Mengamankan pelayan Linux Ubuntu dengan SELinux

Mengamankan pelayan Linux Ubuntu dengan SELinux

SELinux ialah sistem keselamatan yang teguh dan boleh disesuaikan yang dihantar secara lalai pada banyak sistem pengendalian Linux , seperti Fedora dan RHEL. Jika anda ingin menambah keselamatan tambahan pada pelayan Ubuntu anda, ikut serta semasa kami menunjukkan kepada anda cara untuk melindungi pelayan Linux Ubuntu anda dengan SELinux.

Bagaimana untuk melumpuhkan AppArmor pada Ubuntu

Ubuntu menggunakan AppArmor secara lalai. Ia adalah sistem yang hebat yang melakukan kira-kira apa yang didakwa SELinux lakukan. Walau bagaimanapun, jika anda ingin menggunakan SELinux sebaliknya, anda perlu melumpuhkan AppArmor. Untuk melumpuhkan AppArmor pada Pelayan Ubuntu, lakukan perkara berikut.

Pertama, SSH ke dalam sistem pelayan Ubuntu anda (atau duduk secara fizikal dan gunakan terminal). Sebaik sahaja anda telah log masuk ke terminal, gunakan perintah systemctl disable untuk melumpuhkan AppArmor daripada sistem Ubuntu anda.

sudo systemctl disable apparmor --now

Selepas menjalankan arahan ini, anda boleh menggunakan perintah status systemctl untuk menyemak sama ada AppArmor memang dilumpuhkan. Jika tidak, cuba but semula dan jalankan perintah nyahdaya systemctl sekali lagi.

systemctl status apparmor

Bagaimana untuk memasang SELinux pada Ubuntu

Sebelum menggunakan SELinux pada sistem Ubuntu anda, anda perlu memasangnya. Memasang SELinux pada Ubuntu memerlukan beberapa pakej, khususnya, pakej "policycoreutils," "selinux-utils," dan "selinux-basics". Untuk memasang pakej ini, gunakan arahan berikut:

sudo apt install policycoreutils selinux-utils selinux-basics

Selepas memasang pakej di atas, SELinux akan dipasang pada sistem Ubuntu anda. Walau bagaimanapun, anda tidak akan dapat memanfaatkan sepenuhnya SELinux pada pelayan Ubuntu anda sehingga ia diaktifkan.

Untuk mengaktifkan SELinux pada sistem Pelayan Ubuntu anda, gunakan arahan selinux-activate . Perintah ini akan mengubah suai pemuat but Grub Pelayan Ubuntu untuk berfungsi dengan SELinux dan membolehkannya semasa but.

sudo selinux-activate

Dengan SELinux diaktifkan, dayakan penguatkuasaan SELinux dengan menggunakan perintah penguatkuasaan selinux-config .

sudo selinux-config-enforcing

Selepas pengaktifan, anda mesti but semula Pelayan Ubuntu. Gunakan perintah sudo reboot untuk memulakan semula sistem anda.

sudo reboot

Apabila sistem telah selesai but semula, log masuk semula ke pelayan anda menggunakan akaun pengguna anda.

Bagaimana untuk mengkonfigurasi SELinux

Walaupun penguatkuasaan SELinux didayakan, anda masih mesti mengkonfigurasinya untuk memenuhi keperluan anda. Terdapat berpuluh-puluh dan berpuluh-puluh dasar SELinux yang boleh anda hidupkan untuk keselamatan yang lebih baik pada Pelayan Ubuntu.

Untuk memulakan, senaraikan dasar SELinux yang tersedia yang telah dilumpuhkan oleh sistem anda. Anda boleh menyenaraikan dasar SELinux ini dengan arahan semanage boolean -l .

semanage boolean -l

Semak dasar yang ingin anda dayakan. Contohnya, jika anda ingin mendayakan "use_nfs_home_dirs" dalam dasar penguatkuasaan SELinux anda, anda boleh mendayakannya dengan menjalankan arahan berikut.

Ambil perhatian bahawa "1" adalah bersamaan dengan mendayakan sesuatu dalam SELinux dengan arahan setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Jika anda ingin melumpuhkan "use_nfs_home_dirs" dalam dasar penguatkuasaan SELinux anda, anda boleh menggunakan arahan setsebool tetapi menukar "1" kepada "0". "0" adalah sama seperti menulis "lumpuhkan".

sudo setsebool -P use_nfs_home_dirs 0

Bagaimana untuk melumpuhkan nilai yang tidak diperlukan dengan SELinux

Terdapat beberapa nilai SELinux yang didayakan yang mungkin anda tidak perlukan. Mematikan nilai ini dalam SELinux pada sistem Ubuntu anda akan meningkatkan keselamatan anda dengan ketara. Untuk melihat nilai SELinux yang didayakan, jalankan perintah getsebool -a berikut dalam terminal.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Perintah di atas akan mengeluarkan setiap nilai yang didayakan. Semak nilai yang didayakan ini dan tentukan sama ada anda ingin membiarkannya didayakan. Contohnya, jika anda tidak menggunakan pelayan Squid, anda mungkin tidak memerlukan “squid_use_pinger” didayakan, dsb.

Sebaik sahaja anda telah menentukan nilai yang ingin anda lumpuhkan, anda boleh menjalankan perintah setsebool berikut . Perintah ini akan mengubah dasar daripada didayakan kepada dilumpuhkan dalam konfigurasi SELinux anda.

sudo setsebool -P VALUE_NAME 0

Mendayakan semula AppArmor pada Pelayan Ubuntu

Jika anda telah memutuskan bahawa anda tidak mahu menggunakan SELinux pada Pelayan Ubuntu, berikut ialah cara untuk kembali ke AppArmor. Mula-mula, buka terminal dan gunakan arahan "sed" berikut untuk melumpuhkan SELinux dalam fail konfigurasinya.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Selepas menambah "dilumpuhkan" pada fail konfigurasi SELinux, anda perlu but semula. Apabila anda but semula, SELinux tidak akan berjalan semasa but.

sudo reboot

Selepas log masuk semula, anda boleh mendayakan semula AppArmor pada Ubuntu dengan menggunakan perintah systemctl enable .

sudo systemctl enable apparmor

Selepas mendayakan perkhidmatan AppArmor, mulakannya pada sistem Ubuntu anda dengan menjalankan perintah mula systemctl berikut .

sudo systemctl mulakan apparmor

Anda boleh menyemak sama ada AppArmor berjalan dengan betul pada sistem Ubuntu anda dengan menggunakan perintah status systemctl .

systemctl status apparmor


Tingkatkan papan keratan Gnome Shell dengan Pano

Tingkatkan papan keratan Gnome Shell dengan Pano

Mari kita hadapi itu, papan keratan Gnome Shell lalai tidak begitu baik. Pasang Pano untuk menambah baik pengalaman papan keratan anda!

Cara memasang DaVinci Resolve 17 pada Linux

Cara memasang DaVinci Resolve 17 pada Linux

Adakah anda memerlukan editor video bukan linear yang hebat untuk kotak Linux anda? Dapatkan Davinci Resolve 17 bekerja dengan panduan ini!

Bagaimana untuk memuat turun kertas dinding ke desktop Linux dengan Pemuat Turun Kertas Dinding

Bagaimana untuk memuat turun kertas dinding ke desktop Linux dengan Pemuat Turun Kertas Dinding

Wallpaper Downloader ialah pemuat turun dan pengurus kertas dinding Linux yang licin. Ia menyokong kebanyakan persekitaran desktop Linux dan sangat mudah digunakan. Panduan ini

Bagaimana untuk memasang Tuxedo OS pada komputer anda

Bagaimana untuk memasang Tuxedo OS pada komputer anda

Ingin menguji komputer Tuxedo OS by Tuxedo? Ketahui cara untuk mendapatkan versi terkini Tuxedo OS berfungsi pada PC anda.

Bagaimana untuk memasang fail DEB pada Linux

Bagaimana untuk memasang fail DEB pada Linux

Apakah fail DEB? Apa yang anda lakukan dengannya? Ketahui banyak cara anda boleh memasang fail DEB pada PC Linux anda.

Cara bermain Dying Light di Linux

Cara bermain Dying Light di Linux

Dying Light ialah permainan video seram survival 2015 yang dibangunkan oleh Techland dan diterbitkan oleh Warner Bros Interactive Entertainment. Permainan berpusat pada

Cara memasang Neptune Linux pada komputer anda

Cara memasang Neptune Linux pada komputer anda

Neptune menggunakan persekitaran desktop KDE Plasma 5 dan bertujuan untuk menyampaikan OS yang elegan. Begini cara memasang Neptune Linux pada komputer anda.

Cuba desktop berasaskan snap baharu Ubuntu

Cuba desktop berasaskan snap baharu Ubuntu

Ingin mencuba sistem pengendalian desktop berasaskan pakej snap baharu Ubuntu? Ketahui cara mengaturnya pada mesin maya dengan panduan ini.

Cara bermain Undertale di Linux

Cara bermain Undertale di Linux

Undertale ialah RPG indie 2d 2015 yang dibangunkan dan diterbitkan oleh pembangun permainan Toby Fox. Panduan ini akan merangkumi memuat turun dan memasang Undertale pada anda

Cara bermain Total War: THREE KINGDOMS di Linux

Cara bermain Total War: THREE KINGDOMS di Linux

Total War: Three Kingdoms ialah permainan RTS strategi berasaskan giliran yang dibangunkan oleh Creative Assembly. Inilah cara bermain di Linux.