SELinux'u devre dışı bırakmayı bırakın !!!

Bir sorun politikasının her şeyi mahvetmesine izin vermeyin.
Buluta geçiş, bilgi güvenliği ilkelerini sistemlere ve uygulamalara uygulama şeklimizi dönüştürür.

Geçmişin çevresi, en dıştaki halkada geleneksel ağ cihazlarıyla yoğun bir şekilde korunur, her geçen gün etkinliği kaybeder. Odağı derinlemesine savunmaya kaydırmak, çevreyi uygulamanızı çalıştıran bulut örneklerine indirir.

Güvenliği Geliştirilmiş Linux veya SELinux, bu çevrenin etkili bir parçasını oluşturur.

SELinux, zorunlu erişim kontrolü (MAC) alanında faaliyet göstermektedir. MAC tasarımı, bir kullanıcının (öznenin) sistemdeki belirli bir nesneye (hedef) neler yapabileceğine kısıtlamalar koymayı içerir.

Buna karşılık, isteğe bağlı erişim denetimi (DAC), belirli erişime sahip bir kullanıcının, belirli dosyalara, dizinlere veya aygıtlara erişimi sınırlamak veya bunlara erişime izin vermek için takdir yetkisini kullanmasına izin verir. İstediğiniz dosya sistemi izinlerini ayarlayabilirsiniz, ancak SELinux işletim sistemi düzeyinde bunları kolaylıkla geçersiz kılabilir.

Web uygulaması çalıştıran tipik bir sunucuyu düşünün. Saldırgan, web uygulamasının güvenliğini ihlal eder ve web sunucusu arka plan programının kendisi aracılığıyla kötü amaçlı kod yürütür. SELinux, arka plan programının ağ üzerinde iletişim başlatmasını engelleyen varsayılan ilkelere sahiptir. Bu, saldırganın diğer hizmetlere veya sunuculara saldırma seçeneklerini sınırlar.

Buna ek olarak, SELinux, herhangi bir dosya sistemi izninden bağımsız olarak web sunucusunun erişebileceği dosya ve dizinlere ilişkin ilkeleri belirler. Bu koruma, yönetici dosyaları dünyaya okunabilir olarak ayarlasa bile saldırganın dosya sisteminin diğer hassas bölümlerine erişimini sınırlar.

SELinux burada parlıyor. İşin garibi, bu birçok sistem yöneticisinin sistemlerinde SELinux'u gerçekten devre dışı bıraktığı nokta.

İnkaaarrrrr !!!

Bazı yararlı araçlar olmadan AVC reddi adı verilen bu olayları gidermek zor ve sinir bozucu. Her reddetme, şifreli mesaj olarak denetim günlüğünüze akar.

Çoğu yönetici, güvenlik duvarı kuralları ve dosya sistemi izinleri gibi olağan şüphelileri kontrol eder. Hayal kırıklığı arttıkça SELinux'u devre dışı bırakır ve uygulamalarının beklendiği gibi çalışmaya başladığını fark ederler.

SELinux halen devre dışıdır ve yüzlerce yardımcı politika sadece bir politika soruna neden olduğu için uykudadır.

SELinux'u soruşturma yapmadan devre dışı bırakmak beni stopdisablingselinux.com'da bir site başlattığım noktaya getirdi. Site, SELinux devreye girer girmez devre dışı bırakma anahtarına ulaşan Linux yöneticilerine sinsi bir yanıttır.

Tüm şakalar bir yana, SELinux'u etkili bir şekilde kullanmak için bazı yararlı ipuçları:

  • Reddedilenleri anlamak için setro sorun giderme yardımcılarını kullanın
Setrofixot-server paketi ile reddedimlerle çalışmak kolaydır. Bir reddetme gerçekleştiğinde, denetim günlüklerinizde yine de şifreli bir günlük iletisi alırsınız. Ancak, syslog üzerinden okunması çok kolay bir mesaj da alırsınız. Sunucunuz size bu iletileri de e-postayla gönderebilir. İleti, SELinux boolean'ları ayarlama, bağlamları ayarlama veya gerçekten sıra dışı bir soruna geçici bir çözüm bulmak için yeni SELinux ilkeleri oluşturma hakkında rehberlik içerir. Rehberlik dediğimde, araçların politikalarınızı, boolean'larınızı ve bağlamlarınızı ayarlamak için kopyalayıp yapıştırma komutları vermesini kastediyorum

  • Hızlı ayarlamalar için SELinux booleans ürününü inceleyin

Sayısız SELinux kullanıcı alanı araçları bu makalenin kapsamında olmasa da, getsebool ve togglesebool bir sözü hak ediyor. Sık ayarlanan politikalar, geçiş boğazı ile açılıp kapatılan booleanlar tarafından kontrol edilir. Boole'ların tam listesi için getsebool –a ile başlayın ve ardından ilkeyi etkinleştirmek veya devre dışı bırakmak için togglesebool'u kullanın.

  • Dosya veya dizin bağlamlarını hızla geri yükleme

Bir sunucunun çevresindeki dosya veya dizinlerin karıştırılması, bağlamların orijinal değerleriyle eşleşmemesi nedeniyle SELinux reddine neden olabilir. Bir yapılandırma dosyasını bir sistemden diğerine taşırsam bu sık sık başıma gelir. Bağlam sorununun düzeltilmesi iki basit komuttan birini içerir. Restorecon komutu dosya veya dizine özgü varsayılan bağlamları uygular. Dizinde doğru içeriğe sahip bir dosyanız varsa, doğru içeriğe sahip dosyanın yolunu vererek yanlış dosyadaki içeriği düzeltmek için chcon'u kullanın.

İşte yararlı SELinux belgelerine sahip bazı ek bağlantılar:
SELinux Projesi Wiki

Red Hat Enterprise Linux 6 SELinux Kılavuzu

Dan Walsh'un Blog'u

Binbaşı Hayden, Rackspace'de Baş Güvenlik Mimarı ve Linux Mühendisi.
Kaynak : İtnews
About author
Slaweally
Ben Ali Çömez (Slaweally) Uzun yıllar internet sektöründe zaman geçirdikten sonra tecrübelerimi sizinle paylaşmak için buradayım.

Comments

There are no comments to display.

genel information

Yazar
Slaweally
Görüntüleme
29,599
Last update
Author rating
5.00 yıldız(lar)

More in Genel sistem Dökümanları

More from Slaweally