Protegendo um servidor Ubuntu Linux com SELinux

O SELinux é um sistema de segurança robusto e personalizável fornecido por padrão em muitos sistemas operacionais Linux , como Fedora e RHEL. Se você gostaria de adicionar segurança extra ao seu servidor Ubuntu, acompanhe enquanto mostramos como proteger seu servidor Ubuntu Linux com SELinux.

Como desativar o AppArmor no Ubuntu

O Ubuntu usa o AppArmor por padrão. É um ótimo sistema que faz aproximadamente o que o SELinux afirma fazer. No entanto, se você deseja usar o SELinux, precisará desativar o AppArmor. Para desabilitar o AppArmor no Ubuntu Server, faça o seguinte.

Primeiro, SSH em seu sistema de servidor Ubuntu (ou sente-se fisicamente nele e use o terminal). Depois de fazer login no terminal, use o comando systemctl disable para desativar o AppArmor do seu sistema Ubuntu.

sudo systemctl desativar apparmor --agora

Depois de executar este comando, você pode usar o comando systemctl status para verificar se o AppArmor está realmente desabilitado. Se não estiver, tente reiniciar e executar o comando systemctl disable novamente.

apparmor de status systemctl

Como instalar o SELinux no Ubuntu

Antes de usar o SELinux em seu sistema Ubuntu, você precisa instalá-lo. A instalação do SELinux no Ubuntu requer alguns pacotes, especificamente, os pacotes “policycoreutils”, “selinux-utils” e “selinux-basics”. Para instalar esses pacotes, use o seguinte comando:

sudo apt install policycoreutils selinux-utils selinux-basics

Depois de instalar os pacotes acima, o SELinux será instalado em seu sistema Ubuntu. No entanto, você não poderá aproveitar ao máximo o SELinux em seu servidor Ubuntu até que ele seja ativado.

Para ativar o SELinux em seu sistema Ubuntu Server, use o comando selinux-activate . Este comando modificará o gerenciador de inicialização Grub do Ubuntu Server para funcionar com o SELinux e habilitá-lo na inicialização.

sudo selinux-activate

Com o SELinux ativado, habilite a imposição do SELinux usando o comando selinux-config-enforcing .

sudo selinux-config-enforcing

Após a ativação, você deve reiniciar o Ubuntu Server. Use o comando sudo reboot para reiniciar o sistema.

sudo reiniciar

Quando o sistema terminar de reiniciar, faça login novamente em seu servidor usando sua conta de usuário.

Como configurar o SELinux

Embora a imposição do SELinux esteja habilitada, você ainda deve configurá-la para atender às suas necessidades. Existem dezenas e dezenas de políticas SELinux que você pode ativar para melhor segurança no Ubuntu Server.

Para começar, liste as políticas SELinux disponíveis que seu sistema desativou. Você pode listar essas políticas do SELinux com o comando semanage boolean -l .

semanage boolean -l

Examine as políticas que deseja habilitar. Por exemplo, se você deseja habilitar “use_nfs_home_dirs” em suas políticas de imposição do SELinux, você pode habilitá-lo executando o seguinte comando.

Note que “1” é equivalente a habilitar algo no SELinux com o comando setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Se você deseja desabilitar “use_nfs_home_dirs” em suas políticas de imposição do SELinux, você pode usar o comando setsebool , mas alterar o “1” para “0”. O “0” é o mesmo que escrever “desabilitar”.

sudo setsebool -P use_nfs_home_dirs 0

Como desabilitar valores desnecessários com o SELinux

Existem vários valores do SELinux habilitados que você pode não precisar. Desativar esses valores no SELinux em seu sistema Ubuntu aumentará significativamente sua segurança. Para visualizar os valores SELinux ativados, execute o seguinte comando getsebool -a em um terminal.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

O comando acima produzirá cada valor ativado. Examine esses valores ativados e determine se deseja deixá-los ativados. Por exemplo, se você não estiver usando um servidor Squid, talvez não precise ativar o “squid_use_pinger”, etc.

Depois de determinar quais valores deseja desabilitar, você pode executar o seguinte comando setsebool . Este comando mudará a política de habilitada para desabilitada em sua configuração do SELinux.

sudo setsebool -P VALUE_NAME 0

Reativando o AppArmor no Ubuntu Server

Se você decidiu que não deseja usar o SELinux no Ubuntu Server, veja como reverter para o AppArmor. Primeiro, abra um terminal e use o seguinte comando “sed” para desabilitar o SELinux em seu arquivo de configuração.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Depois de adicionar “disabled” ao arquivo de configuração do SELinux, você precisa reiniciar. Ao reiniciar, o SELinux não será executado na inicialização.

sudo reiniciar

Ao fazer login novamente, você pode reativar o AppArmor no Ubuntu usando o comando systemctl enable .

sudo systemctl habilita apparmor

Depois de ativar o serviço AppArmor, inicie-o em seu sistema Ubuntu executando o seguinte comando systemctl start .

sudo systemctl start apparmor

Você pode verificar se o AppArmor está sendo executado corretamente em seu sistema Ubuntu usando o comando systemctl status .

apparmor de status systemctl