Защита сервера Ubuntu Linux с помощью SELinux

SELinux — это надежная и настраиваемая система безопасности, которая по умолчанию поставляется во многих операционных системах Linux , таких как Fedora и RHEL. Если вы хотите повысить безопасность своего сервера Ubuntu, следуйте инструкциям, которые мы покажем вам, как защитить ваш сервер Ubuntu Linux с помощью SELinux.

Как отключить AppArmor в Ubuntu

Ubuntu по умолчанию использует AppArmor. Это отличная система, которая делает примерно то, на что претендует SELinux. Однако, если вы хотите вместо этого использовать SELinux, вам необходимо отключить AppArmor. Чтобы отключить AppArmor на сервере Ubuntu, сделайте следующее.

Во-первых, подключитесь по SSH к вашей серверной системе Ubuntu (или физически сядьте за нее и используйте терминал). После того, как вы вошли в терминал, используйте команду systemctl disable , чтобы отключить AppArmor в вашей системе Ubuntu.

sudo systemctl отключить apparmor --now

После запуска этой команды вы можете использовать команду systemctl status , чтобы проверить, действительно ли AppArmor отключен. Если это не так, попробуйте перезагрузиться и снова запустить команду отключения systemctl .

apparmor статуса systemctl

Как установить SELinux на Ubuntu

Прежде чем использовать SELinux в вашей системе Ubuntu, вам необходимо установить его. Для установки SELinux в Ubuntu требуется несколько пакетов, в частности пакеты «policycoreutils», «selinux-utils» и «selinux-basics». Чтобы установить эти пакеты, используйте следующую команду:

sudo apt установить policycoreutils selinux-utils selinux-basics

После установки вышеуказанных пакетов SELinux будет установлен в вашей системе Ubuntu. Однако вы не сможете в полной мере использовать SELinux на своем сервере Ubuntu, пока он не будет активирован.

Чтобы активировать SELinux в вашей системе Ubuntu Server, используйте команду selinux-activate . Эта команда изменит загрузчик Grub Ubuntu Server для работы с SELinux и активирует его при загрузке.

sudo selinux-активировать

При активированном SELinux включите принудительное применение SELinux с помощью команды selinux-config-enforcing .

sudo selinux-config-enforcing

После активации необходимо перезагрузить сервер Ubuntu. Используйте команду sudo reboot для перезагрузки системы.

судо перезагрузка

Когда система завершит перезагрузку, снова войдите на свой сервер, используя свою учетную запись пользователя.

Как настроить SELinux

Хотя принудительное использование SELinux включено, вы все равно должны настроить его в соответствии со своими потребностями. Существуют десятки и десятки политик SELinux, которые вы можете включить для повышения безопасности на сервере Ubuntu.

Для начала перечислите доступные политики SELinux, которые отключены в вашей системе. Вы можете получить список этих политик SELinux с помощью команды semanage boolean -l .

логическое значение -l

Просмотрите политики, которые вы хотите включить. Например, если вы хотите включить «use_nfs_home_dirs» в своих политиках принудительного применения SELinux, вы можете включить его, выполнив следующую команду.

Обратите внимание, что «1» эквивалентно включению чего-либо в SELinux с помощью команды setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Если вы хотите отключить «use_nfs_home_dirs» в своих политиках принудительного применения SELinux, вы можете использовать команду setsebool , но измените «1» на «0». «0» — это то же самое, что написать «отключить».

sudo setsebool -P use_nfs_home_dirs 0

Как отключить ненужные значения с помощью SELinux

Есть несколько включенных значений SELinux, которые вам могут не понадобиться. Отключение этих значений в SELinux в вашей системе Ubuntu значительно повысит вашу безопасность. Чтобы просмотреть включенные значения SELinux, выполните следующую команду getsebool -a в терминале.

судо getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Приведенная выше команда выведет все включенные значения. Просмотрите эти включенные значения и решите, хотите ли вы оставить их включенными. Например, если вы не используете сервер Squid, вам может не понадобиться включать «squid_use_pinger» и т. д.

После того, как вы определили, какие значения вы хотите отключить, вы можете запустить следующую команду setsebool . Эта команда изменит политику с включенной на отключенную в вашей конфигурации SELinux.

sudo setsebool -P VALUE_NAME 0

Повторное включение AppArmor на сервере Ubuntu

Если вы решили, что не хотите использовать SELinux на сервере Ubuntu, вот как вернуться к AppArmor. Сначала откройте терминал и используйте следующую команду «sed», чтобы отключить SELinux в его файле конфигурации.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

После добавления «отключено» в файл конфигурации SELinux необходимо перезагрузиться. При перезагрузке SELinux не запускается при загрузке.

судо перезагрузка

После повторного входа в систему вы можете снова включить AppArmor в Ubuntu с помощью команды systemctl enable .

sudo systemctl включить apparmor

После включения службы AppArmor запустите ее в своей системе Ubuntu, выполнив следующую команду запуска systemctl .

sudo systemctl запустить apparmor

Вы можете проверить, правильно ли работает AppArmor в вашей системе Ubuntu, используя команду systemctl status .

apparmor статуса systemctl