SELinux ile bir Ubuntu Linux sunucusunun güvenliğini sağlama

SELinux, Fedora ve RHEL gibi birçok Linux işletim sisteminde varsayılan olarak gönderilen sağlam ve özelleştirilebilir bir güvenlik sistemidir . Ubuntu sunucunuza ekstra güvenlik eklemek istiyorsanız, Ubuntu Linux sunucunuzu SELinux ile nasıl güvenli hale getireceğinizi gösterdiğimiz adımları takip edin.

Ubuntu'da AppArmor nasıl devre dışı bırakılır

Ubuntu, varsayılan olarak AppArmor'u kullanır. SELinux'un iddia ettiği şeyi kabaca yapan harika bir sistem. Ancak bunun yerine SELinux'u kullanmak isterseniz AppArmor'u devre dışı bırakmanız gerekir. AppArmor'u Ubuntu Sunucusunda devre dışı bırakmak için aşağıdakileri yapın.

İlk olarak, Ubuntu sunucu sisteminize SSH ekleyin (veya fiziksel olarak üzerine oturun ve terminali kullanın). Terminalde oturum açtıktan sonra, AppArmor'u Ubuntu sisteminizden devre dışı bırakmak için systemctl disable komutunu kullanın.

sudo systemctl apparmor'u devre dışı bırak -- şimdi

Bu komutu çalıştırdıktan sonra, AppArmor'un gerçekten devre dışı olup olmadığını kontrol etmek için systemctl status komutunu kullanabilirsiniz . Değilse, yeniden başlatmayı ve systemctl disable komutunu tekrar çalıştırmayı deneyin.

systemctl durum göstergesi

Ubuntu'da SELinux nasıl kurulur?

SELinux'u Ubuntu sisteminizde kullanmadan önce kurmanız gerekmektedir. SELinux'u Ubuntu'ya yüklemek, özellikle "policycoreutils", "selinux-utils" ve "selinux-basics" paketleri olmak üzere birkaç paket gerektirir. Bu paketleri yüklemek için aşağıdaki komutu kullanın:

sudo apt kurulum politikasıcoreutils selinux-utils selinux-temelleri

Yukarıdaki paketleri kurduktan sonra Ubuntu sisteminize SELinux kurulacaktır. Ancak, etkinleştirilene kadar Ubuntu sunucunuzda SELinux'tan tam olarak yararlanamayacaksınız.

Ubuntu Sunucu sisteminizde SELinux'u etkinleştirmek için selinux-Activate komutunu kullanın. Bu komut, Ubuntu Sunucusunun Grub önyükleyicisini SELinux ile çalışacak ve önyüklemede etkinleştirecek şekilde değiştirecektir.

sudo selinux-etkinleştir

SELinux etkinleştirildiğinde, selinux-config-enforcing komutunu kullanarak SELinux zorlamasını etkinleştirin .

sudo selinux-config zorlama

Aktivasyondan sonra, Ubuntu Sunucusunu yeniden başlatmalısınız. Sisteminizi yeniden başlatmak için sudo reboot komutunu kullanın .

sudo yeniden başlat

Sistem yeniden başlatmayı bitirdiğinde, kullanıcı hesabınızı kullanarak sunucunuzda tekrar oturum açın.

SELinux nasıl yapılandırılır

SELinux zorlaması etkinleştirildiğinde, onu yine de ihtiyaçlarınıza göre yapılandırmanız gerekir. Ubuntu Sunucusunda daha iyi güvenlik için açabileceğiniz düzinelerce ve düzinelerce SELinux politikası vardır.

Başlamak için, sisteminizin devre dışı bıraktığı mevcut SELinux politikalarını listeleyin. Bu SELinux politikalarını semanage boolean -l komutu ile listeleyebilirsiniz .

anlamlandırma boolean -l

Etkinleştirmek istediğiniz politikaları inceleyin. Örneğin, SELinux zorlama ilkelerinizde “use_nfs_home_dirs” özelliğini etkinleştirmek isterseniz, aşağıdaki komutu çalıştırarak etkinleştirebilirsiniz.

“1”in setsebool komutuyla SELinux'ta bir şeyi etkinleştirmeye eşdeğer olduğuna dikkat edin .

sudo setsebool -P use_nfs_home_dirs 1

SELinux zorlama ilkelerinizde “use_nfs_home_dirs”i devre dışı bırakmak isterseniz setsebool komutunu kullanabilir ancak “1”i “0” olarak değiştirebilirsiniz. "0", "devre dışı bırak" yazmakla aynıdır.

sudo setsebool -P use_nfs_home_dirs 0

SELinux ile gereksiz değerler nasıl devre dışı bırakılır

İhtiyaç duymayabileceğiniz birkaç SELinux değeri etkinleştirilmiştir. Ubuntu sisteminizde SELinux'ta bu değerleri kapatmanız güvenliğinizi önemli ölçüde artıracaktır. Etkinleştirilmiş SELinux değerlerini görüntülemek için bir terminalde aşağıdaki getsebool -a komutunu çalıştırın.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+on\b'

Yukarıdaki komut, etkinleştirilen her değeri verir. Bu etkin değerlere bakın ve bunları etkin bırakmak isteyip istemediğinizi belirleyin. Örneğin, bir Squid sunucusu kullanmıyorsanız, "squid_use_pinger"ın etkinleştirilmesi vb. gerekmeyebilir.

Hangi değerleri devre dışı bırakmak istediğinizi belirledikten sonra, aşağıdaki setsebool komutunu çalıştırabilirsiniz . Bu komut, SELinux yapılandırmanızdaki politikayı etkinden devre dışı bırakacak şekilde değiştirecektir.

sudo setsebool -P VALUE_NAME 0

Ubuntu Sunucusunda AppArmor'u Yeniden Etkinleştirme

SELinux'u Ubuntu Sunucusunda kullanmak istemediğinize karar verdiyseniz, AppArmor'a şu şekilde dönebilirsiniz. Öncelikle bir terminal açın ve yapılandırma dosyasında SELinux'u devre dışı bırakmak için aşağıdaki "sed" komutunu kullanın.

sudo sed -i 's/^SELINUX=.*/SELINUX=devre dışı/' /etc/selinux/config

SELinux yapılandırma dosyasına “disabled” ekledikten sonra yeniden başlatmanız gerekir. Yeniden başlattığınızda, SELinux açılışta çalışmaz.

sudo yeniden başlat

Tekrar oturum açtıktan sonra, systemctl enable komutunu kullanarak Ubuntu'da AppArmor'u yeniden etkinleştirebilirsiniz .

sudo systemctl apparmor'u etkinleştir

AppArmor hizmetini etkinleştirdikten sonra, aşağıdaki systemctl start komutunu çalıştırarak Ubuntu sisteminizde başlatın .

sudo systemctl başlangıç ​​uygulaması

AppArmor'un Ubuntu sisteminizde düzgün çalışıp çalışmadığını systemctl status komutunu kullanarak kontrol edebilirsiniz.

systemctl durum göstergesi