Zabezpieczanie serwera Ubuntu Linux za pomocą SELinux

SELinux to solidny i konfigurowalny system bezpieczeństwa, który jest domyślnie dostarczany w wielu systemach operacyjnych Linux , takich jak Fedora i RHEL. Jeśli chcesz dodać dodatkowe zabezpieczenia do swojego serwera Ubuntu, postępuj zgodnie ze wskazówkami, jak zabezpieczyć serwer Ubuntu Linux za pomocą SELinux.

Jak wyłączyć AppArmor w systemie Ubuntu

Ubuntu domyślnie używa AppArmor. To świetny system, który robi z grubsza to, co twierdzi SELinux. Jeśli jednak chcesz zamiast tego używać SELinux, musisz wyłączyć AppArmor. Aby wyłączyć AppArmor na Ubuntu Server, wykonaj następujące czynności.

Najpierw połącz SSH z systemem serwera Ubuntu (lub fizycznie usiądź na nim i użyj terminala). Po zalogowaniu się do terminala użyj polecenia systemctl disable , aby wyłączyć AppArmor z systemu Ubuntu.

sudo systemctl wyłącz apparmor --now

Po uruchomieniu tego polecenia możesz użyć polecenia systemctl status , aby sprawdzić, czy AppArmor jest rzeczywiście wyłączony. Jeśli tak nie jest, spróbuj ponownie uruchomić komputer i ponownie uruchomić polecenie wyłączenia systemctl .

aplikacja stanu systemctl

Jak zainstalować SELinux na Ubuntu

Przed użyciem SELinux w systemie Ubuntu musisz go zainstalować. Instalacja SELinux na Ubuntu wymaga kilku pakietów, w szczególności pakietów „policycoreutils”, „selinux-utils” i „selinux-basics”. Aby zainstalować te pakiety, użyj następującego polecenia:

sudo apt install policycoreutils selinux-utils selinux-basics

Po zainstalowaniu powyższych pakietów SELinux zostanie zainstalowany w twoim systemie Ubuntu. Jednak nie będziesz mógł w pełni korzystać z SELinux na swoim serwerze Ubuntu, dopóki nie zostanie aktywowany.

Aby aktywować SELinux w systemie Ubuntu Server, użyj polecenia selinux-activate . To polecenie zmodyfikuje program ładujący Grub Ubuntu Server do pracy z SELinux i włączy go podczas rozruchu.

sudo aktywuj selinux

Po aktywowaniu SELinux włącz wymuszanie SELinux za pomocą polecenia selinux-config-enforcing .

sudo selinux-config-enforcing

Po aktywacji należy ponownie uruchomić serwer Ubuntu. Użyj polecenia sudo reboot, aby ponownie uruchomić system.

Sudo restart

Gdy system zakończy ponowne uruchamianie, zaloguj się ponownie na serwerze, używając swojego konta użytkownika.

Jak skonfigurować SELinux

Chociaż wymuszanie SELinux jest włączone, nadal musisz je skonfigurować zgodnie z własnymi potrzebami. Istnieją dziesiątki zasad SELinux, które można włączyć w celu zwiększenia bezpieczeństwa na serwerze Ubuntu.

Aby rozpocząć, wypisz dostępne zasady SELinux, które Twój system wyłączył. Możesz wyświetlić te zasady SELinux za pomocą polecenia semanage boolean -l .

semanage wartość logiczna -l

Przejrzyj zasady, które chcesz włączyć. Na przykład, jeśli chcesz włączyć „use_nfs_home_dirs” w swoich zasadach egzekwowania SELinux, możesz to włączyć, uruchamiając następujące polecenie.

Zauważ, że „1” jest równoznaczne z włączeniem czegoś w SELinuksie za pomocą komendy setsebool .

sudo setebool -P use_nfs_home_dirs 1

Jeśli chcesz wyłączyć „use_nfs_home_dirs” w zasadach egzekwowania SELinuksa, możesz użyć polecenia setsebool , ale zmień „1” na „0”. „0” oznacza to samo, co wpisanie „wyłącz”.

sudo setebool -P use_nfs_home_dirs 0

Jak wyłączyć niepotrzebne wartości za pomocą SELinux

Istnieje kilka włączonych wartości SELinux, których możesz nie potrzebować. Wyłączenie tych wartości w SELinux w systemie Ubuntu znacznie zwiększy twoje bezpieczeństwo. Aby wyświetlić włączone wartości SELinux, uruchom następujące polecenie getsebool -a w terminalu.

sudo pobierabool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Powyższe polecenie wyświetli każdą włączoną wartość. Przejrzyj te włączone wartości i zdecyduj, czy chcesz je pozostawić włączone. Na przykład, jeśli nie używasz serwera Squid, możesz nie potrzebować włączonej opcji „squid_use_pinger” itp.

Po ustaleniu, które wartości chcesz wyłączyć, możesz uruchomić następującą komendę setsebool . To polecenie zmieni politykę z włączonej na wyłączoną w konfiguracji SELinux.

sudo setsebool -P NAZWA_WARTOŚCI 0

Ponowne włączanie AppArmor na Ubuntu Server

Jeśli zdecydowałeś, że nie chcesz używać SELinux na Ubuntu Server, oto jak powrócić do AppArmor. Najpierw otwórz terminal i użyj następującego polecenia „sed”, aby wyłączyć SELinux w jego pliku konfiguracyjnym.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Po dodaniu „disabled” do pliku konfiguracyjnego SELinux, musisz zrestartować. Po ponownym uruchomieniu SELinux nie uruchomi się podczas rozruchu.

Sudo restart

Po ponownym zalogowaniu możesz ponownie włączyć AppArmor w systemie Ubuntu za pomocą polecenia systemctl enable .

sudo systemctl włącz apparmor

Po włączeniu usługi AppArmor uruchom ją w systemie Ubuntu, uruchamiając następujące polecenie systemctl start .

sudo systemctl uruchom aplikację

Możesz sprawdzić, czy AppArmor działa poprawnie w systemie Ubuntu, używając polecenia systemctl status .

aplikacja stanu systemctl