Een Ubuntu Linux-server beveiligen met SELinux

SELinux is een robuust en aanpasbaar beveiligingssysteem dat standaard wordt geleverd op veel Linux- besturingssystemen, zoals Fedora en RHEL. Als je extra beveiliging aan je Ubuntu-server wilt toevoegen, volg dan mee terwijl we je laten zien hoe je je Ubuntu Linux-server kunt beveiligen met SELinux.

Hoe AppArmor op Ubuntu uit te schakelen

Ubuntu gebruikt standaard AppArmor. Het is een geweldig systeem dat ongeveer doet wat SELinux beweert te doen. Als u echter in plaats daarvan SELinux wilt gebruiken, moet u AppArmor uitschakelen. Ga als volgt te werk om AppArmor op Ubuntu Server uit te schakelen.

SSH eerst naar uw Ubuntu-serversysteem (of ga er fysiek voor zitten en gebruik de terminal). Nadat u bent ingelogd op de terminal, gebruikt u de opdracht systemctl disable om AppArmor uit uw Ubuntu-systeem uit te schakelen.

sudo systemctl apparmor uitschakelen --nu

Na het uitvoeren van deze opdracht kunt u de opdracht systemctl status gebruiken om te controleren of AppArmor inderdaad is uitgeschakeld. Als dit niet het geval is, probeer dan opnieuw op te starten en de opdracht systemctl disable opnieuw uit te voeren.

systemctl status apparmor

Hoe SELinux op Ubuntu te installeren

Voordat u SELinux op uw Ubuntu-systeem gebruikt, moet u het installeren. Het installeren van SELinux op Ubuntu vereist een paar pakketten, met name de pakketten "policycoreutils", "selinux-utils" en "selinux-basics". Gebruik de volgende opdracht om deze pakketten te installeren:

sudo apt install policycoreutils selinux-utils selinux-basics

Na het installeren van de bovenstaande pakketten, wordt SELinux op uw Ubuntu-systeem geïnstalleerd. U kunt echter niet ten volle profiteren van SELinux op uw Ubuntu-server totdat deze is geactiveerd.

Gebruik de opdracht selinux-activate om SELinux op uw Ubuntu Server-systeem te activeren . Deze opdracht zal de Grub-bootloader van Ubuntu Server aanpassen om met SELinux te werken en deze tijdens het opstarten inschakelen.

sudo selinux-activeren

Met SELinux geactiveerd, schakel SELinux afdwinging in met behulp van het selinux-config-enforcing commando.

sudo selinux-config-afdwingen

Na activering moet u de Ubuntu-server opnieuw opstarten. Gebruik de opdracht sudo reboot om uw systeem opnieuw op te starten.

sudo opnieuw opstarten

Wanneer het systeem opnieuw is opgestart, logt u opnieuw in op uw server met uw gebruikersaccount.

Hoe SELinux te configureren

Hoewel SELinux-afdwinging is ingeschakeld, moet u het nog steeds configureren om aan uw behoeften te voldoen. Er zijn tientallen en tientallen SELinux-beleidsregels die u kunt inschakelen voor een betere beveiliging op de Ubuntu-server.

Maak om te beginnen een lijst van de beschikbare SELinux-policy's die uw systeem heeft uitgeschakeld. Je kunt deze SELinux-policy's weergeven met het semanage boolean -l commando.

semanage boolean -l

Bekijk het beleid dat u wilt inschakelen. Als je bijvoorbeeld "use_nfs_home_dirs" wilt inschakelen in je SELinux-afdwingingsbeleid, kun je dit inschakelen door het volgende commando uit te voeren.

Merk op dat "1" equivalent is aan het inschakelen van iets in SELinux met het commando setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Als je "use_nfs_home_dirs" wilt uitschakelen in je SELinux-afdwingingsbeleid, kun je het setsebool- commando gebruiken, maar verander de "1" in een "0". De "0" is hetzelfde als het schrijven van "uitschakelen".

sudo setsebool -P use_nfs_home_dirs 0

Hoe onnodige waarden uit te schakelen met SELinux

Er zijn verschillende SELinux-waarden ingeschakeld die je misschien niet nodig hebt. Het uitschakelen van deze waarden in SELinux op uw Ubuntu-systeem zal uw beveiliging aanzienlijk verhogen. Om ingeschakelde SELinux-waarden te bekijken, voert u het volgende commando getebool -a uit in een terminal.

sudo krijgtebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

De bovenstaande opdracht zal elke ingeschakelde waarde uitvoeren. Bekijk deze ingeschakelde waarden en bepaal of u ze ingeschakeld wilt laten. Als u bijvoorbeeld geen Squid-server gebruikt, hoeft u misschien niet "squid_use_pinger" ingeschakeld te hebben, enz.

Als je eenmaal hebt bepaald welke waarde(n) je wilt uitschakelen, kun je het volgende setsebool- commando uitvoeren. Deze opdracht verandert het beleid van ingeschakeld naar uitgeschakeld in je SELinux-configuratie.

sudo setsebool -P VALUE_NAME 0

AppArmor opnieuw inschakelen op Ubuntu Server

Als je hebt besloten dat je SELinux niet op Ubuntu Server wilt gebruiken, kun je als volgt terugkeren naar AppArmor. Open eerst een terminal en gebruik de volgende opdracht "sed" om SELinux in zijn configuratiebestand uit te schakelen.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Na het toevoegen van "disabled" aan het SELinux-configuratiebestand, moet u opnieuw opstarten. Wanneer je opnieuw opstart, zal SELinux niet draaien bij het opstarten.

sudo opnieuw opstarten

Nadat u weer bent ingelogd, kunt u AppArmor op Ubuntu opnieuw inschakelen met behulp van de opdracht systemctl enable .

sudo systemctl apparmor inschakelen

Nadat u de AppArmor-service hebt ingeschakeld, start u deze op uw Ubuntu-systeem door de volgende systemctl-startopdracht uit te voeren .

sudo systemctl start apparmor

U kunt controleren of AppArmor correct werkt op uw Ubuntu-systeem door de opdracht systemctl status te gebruiken .

systemctl status apparmor