Securizarea unui server Ubuntu Linux cu SELinux

SELinux este un sistem de securitate robust și personalizabil, care este livrat implicit pe multe sisteme de operare Linux , cum ar fi Fedora și RHEL. Dacă doriți să adăugați un plus de securitate serverului dumneavoastră Ubuntu, urmați-vă în timp ce vă arătăm cum să vă securizați serverul Ubuntu Linux cu SELinux.

Cum să dezactivați AppArmor pe Ubuntu

Ubuntu folosește AppArmor în mod implicit. Este un sistem grozav care face aproximativ ceea ce SELinux pretinde că face. Cu toate acestea, dacă doriți să utilizați SELinux în schimb, va trebui să dezactivați AppArmor. Pentru a dezactiva AppArmor pe Ubuntu Server, procedați în felul următor.

Mai întâi, SSH în sistemul dumneavoastră de server Ubuntu (sau stați fizic la el și utilizați terminalul). După ce v-ați conectat la terminal, utilizați comanda systemctl disable pentru a dezactiva AppArmor din sistemul dumneavoastră Ubuntu.

sudo systemctl dezactivați apparmor --acum

După rularea acestei comenzi, puteți utiliza comanda systemctl status pentru a verifica dacă AppArmor este într-adevăr dezactivat. Dacă nu este, încercați să reporniți și să rulați din nou comanda systemctl disable .

systemctl status apparmor

Cum se instalează SELinux pe Ubuntu

Înainte de a utiliza SELinux pe sistemul dumneavoastră Ubuntu, trebuie să îl instalați. Instalarea SELinux pe Ubuntu necesită câteva pachete, în special pachetele „policycoreutils”, „selinux-utils” și „selinux-basics”. Pentru a instala aceste pachete, utilizați următoarea comandă:

sudo apt install policycoreutils selinux-utils selinux-basics

După instalarea pachetelor de mai sus, SELinux va fi instalat pe sistemul dumneavoastră Ubuntu. Cu toate acestea, nu veți putea profita pe deplin de SELinux pe serverul Ubuntu până când nu este activat.

Pentru a activa SELinux pe sistemul Ubuntu Server, utilizați comanda selinux-activate . Această comandă va modifica bootloader-ul Grub al Ubuntu Server pentru a funcționa cu SELinux și îl va activa la pornire.

sudo selinux-activate

Cu SELinux activat, activați aplicarea SELinux utilizând comanda selinux-config-enforcing .

sudo selinux-config-enforcing

După activare, trebuie să reporniți serverul Ubuntu. Utilizați comanda sudo reboot pentru a vă reporni sistemul.

sudo reboot

Când sistemul a terminat de repornit, conectați-vă din nou la server folosind contul dvs. de utilizator.

Cum se configurează SELinux

În timp ce aplicarea SELinux este activată, trebuie totuși să o configurați pentru a se potrivi nevoilor dvs. Există zeci și zeci de politici SELinux pe care le puteți activa pentru o mai bună securitate pe serverul Ubuntu.

Pentru a începe, enumerați politicile SELinux disponibile pe care sistemul dumneavoastră le-a dezactivat. Puteți enumera aceste politici SELinux cu comanda semanage boolean -l .

semanage boolean -l

Consultați politicile pe care doriți să le activați. De exemplu, dacă doriți să activați „use_nfs_home_dirs” în politicile dvs. de aplicare SELinux, îl puteți activa rulând următoarea comandă.

Rețineți că „1” este echivalent cu activarea a ceva în SELinux cu comanda setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Dacă doriți să dezactivați „use_nfs_home_dirs” în politicile dvs. de aplicare SELinux, puteți utiliza comanda setsebool , dar schimbați „1” la „0”. „0” este același cu scrierea „dezactivare”.

sudo setsebool -P use_nfs_home_dirs 0

Cum să dezactivați valorile inutile cu SELinux

Există mai multe valori SELinux activate de care este posibil să nu aveți nevoie. Oprirea acestor valori în SELinux pe sistemul dumneavoastră Ubuntu vă va crește semnificativ securitatea. Pentru a vizualiza valorile SELinux activate, rulați următoarea comandă getsebool -a într-un terminal.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Comanda de mai sus va scoate fiecare valoare activată. Consultați aceste valori activate și determinați dacă doriți să le lăsați activate. De exemplu, dacă nu utilizați un server Squid, este posibil să nu aveți nevoie de activarea „squid_use_pinger” etc.

Odată ce ați determinat ce valoare (valori) doriți să dezactivați, puteți rula următoarea comandă setsebool . Această comandă va schimba politica de la activat la dezactivat în configurația dvs. SELinux.

sudo setsebool -P VALUE_NAME 0

Reactivarea AppArmor pe serverul Ubuntu

Dacă ați decis că nu doriți să utilizați SELinux pe Ubuntu Server, iată cum să reveniți la AppArmor. Mai întâi, deschideți un terminal și utilizați următoarea comandă „sed” pentru a dezactiva SELinux în fișierul său de configurare.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

După ce ați adăugat „dezactivat” la fișierul de configurare SELinux, trebuie să reporniți. Când reporniți, SELinux nu va rula la pornire.

sudo reboot

După ce vă conectați din nou, puteți reactiva AppArmor pe Ubuntu utilizând comanda systemctl enable .

sudo systemctl enable apparmor

După activarea serviciului AppArmor, porniți-l pe sistemul dumneavoastră Ubuntu rulând următoarea comandă systemctl start .

sudo systemctl start apparmor

Puteți verifica dacă AppArmor rulează corect pe sistemul dumneavoastră Ubuntu utilizând comanda systemctl status .

systemctl status apparmor