Можете побољшати безбедност свог Линук система инсталирањем и имплементацијом СЕЛинук-а. Ово обезбеђује додатни слој заштите изоловањем апликација на систему и обезбеђивањем хоста.
Подразумевано, Убунту користи АппАрмор, још један систем обавезне контроле приступа. Да бисте ваш Линук систем учинили сигурнијим, уместо тога можете користити СЕЛинук. Хајде да видимо како можете да инсталирате и конфигуришете СЕЛинук на Убунту користећи неколико основних Линук команди.
Шта је СЕЛинук?
Безбедносно побољшани Линук (СЕЛинук) је безбедносни модул Линук кернела који нуди механизам за подршку безбедносним политикама контроле приступа, укључујући обавезне контроле приступа (МАЦ).
СЕЛинук је безбедносно побољшање за Линук које укључује модификације кернела и корисничких алата. Одваја спровођење безбедносних одлука од безбедносне политике и поједностављује процес спровођења политике.
Како инсталирати СЕЛинук на Убунту
Ево корака за инсталирање СЕЛинук-а на Убунту машини:
Корак 1: Ажурирајте и надоградите Убунту
Пре него што почнете да инсталирате СЕЛинук, ажурирајте и надоградите свој систем тако да можете несметано да инсталирате нове апликације без налета на било каквих проблема са поквареним или застарелим пакетима.
Да бисте ажурирали и надоградили Убунту, отворите терминал притиском на Цтрл + Алт + Т, и покрените:
судо апт-гет ажурирање && погодан-добитинадоградити
Корак 2: Зауставите и уклоните АппАрмор на Убунту
Још једна ствар коју треба да урадите пре инсталирања СЕЛинук-а је или да онемогућите АппАрмор или да га потпуно уклоните.
Да бисте онемогућили АппАрмор, прво, зауставите услугу помоћу услужног програма системцтл:
судо системцтл зауставити аппармор
Када зауставите услугу, потврдите њен статус помоћу:
системцтл статус аппармор
Сада можете лако да онемогућите АппАрмор тако што ћете покренути:
судо системцтл онемогућити аппармор
У реду је ако само желите да онемогућите услугу, а не да је уклоните. Међутим, ако желите и да га уклоните, извршите:
судо апт-добити уклонити апармор -и
Да би промене ступиле на снагу, поново покрените своју Убунту машину:
судо поновно покретање
Корак 3: Инсталирајте СЕЛинук на Убунту
Пре инсталирања СЕЛинук-а, морате знати да његова инсталација укључује ризик. Услуга може оставити ваш систем нестабилним, зато се уверите да је то направите резервну копију вашег система пре него што наставите с тим.
Ако користите виртуелно окружење, направите снимак Убунту виртуелне машине (ВМ) пре него што унесете било какве промене у систем.
Да бисте инсталирали СЕЛинук и његове основне зависности на Убунту, покрените:
судо апт-добити инсталирај полицицореутилс селинук-утилс селинук-басицс -и
Након што инсталирате СЕЛинук и његове зависности, активирајте услугу користећи:
судо селинук-ацтивате
Корак 4: Поставите СЕЛинук режиме на Убунту
У СЕЛинук-у су доступна четири различита режима:
- Онемогући режим
- Омогући режим
- Пермисивни режим
- Режим примене
Први режим, онемогућавање, својим именом говори којој сврси служи. Ако сте искључили режим СЕЛинук, то значи да услуга није активна на вашем систему. С друге стране, режим омогућавања је супротан, што значи да је услуга СЕЛинук покренута на вашем систему.
Када је режим СЕЛинук подешен да омогући, можете користити дозвољени или принудни режим. Требало би да користите дозвољени режим када је потребно само да надгледате интеракције. Али ако желите да филтрирате, као и да надгледате интеракције, користите режим спровођења.
Да бисте подесили режим СЕЛинук на принудни, извршите:
судо селинук-цонфиг-енфорцинг
Такође можете користити ову команду уместо тога да подесите режим на примену:
сетенфорце 1
Да бисте ажурирали промене, поново покрените систем:
судо поновно покретање
Након што се систем поново покрене, проверите статус СЕЛинук-а да бисте били сигурни да је омогућен:
сетстатус
Ако желите да подесите режим на дозвољен, користите:
сетенфорце 0
Након промене режима, увек треба поново да покренете систем.
судо поновно покретање
Користите било коју од две команде да проверите статус услуге и проверите промене које сте управо направили:
сетстатус
гетенфорце
Тхе гетенфорце команда само штампа тренутни режим на терминалу. Међутим, команда сетстатус даје више детаља о режиму који је тренутно постављен на вашем систему.
Такође можете проверити тренутне режиме тако што ћете приступити /etc/sysconfig/selinux фајл.
Дозвољени режим је флексибилнији у поређењу са принудним. Овај режим не блокира све захтеве и чува датотеку евиденције за чување догађаја ако постоји кршење правила.
Приступ СЕЛинук лог фајлу на Убунту
СЕЛинук евиденције ћете пронаћи у аудит.лог фајл сачуван у /var/log/audit именик.
Да бисте видели СЕЛинук евиденције, покрените:
греп селинук /вар/log/audit/audit.log
Како онемогућити СЕЛинук на Убунту-у
Хајде сада да истражимо како да уклонимо или онемогућимо СЕЛинук на Убунту-у. Постоје две методе које можете користити да то урадите:
1. Привремено онемогућите СЕЛинук
Када привремено онемогућите СЕЛинук, одмах заустављате његову примену и настављате са СЕЛинуком у неактивном стању до следећег поновног покретања система. Након поновног покретања, СЕЛинук ће се вратити на примену.
Да бисте привремено онемогућили СЕЛинук, прво морате да постанете роот корисник:
судо -и
Сада онемогућите СЕЛинук помоћу:
одјек 0 > /selinux/спроводити
Уместо тога можете да користите алатку сетенфорце да бисте онемогућили СЕЛинук за тренутну сесију:
сетенфорце 0
2. Трајно онемогући СЕЛинук
Такође можете трајно да онемогућите СЕЛинук користећи његову конфигурациону датотеку како се не би вратио на примену након сваког поновног покретања.
Да бисте онемогућили СЕЛинук, отворите конфигурациону датотеку која се налази у /etc/selinux/config директоријум:
судо нано /етц/селинук/цонфиг
Потражите линију "СЕЛИНУКС=спровођење” у садржају датотеке и промените га у „СЕЛинук=онемогућено”.
Када завршите, сачувајте и изађите из датотеке притиском на Цтрл + Кс, онда И, и ударио Ентер.
Како деинсталирати СЕЛинук на Убунту
Ако више не желите да користите СЕЛинук и морате да га уклоните због проблема са нестабилношћу, покрените:
судо апт-добити инсталирај полицицореутилс селинук-утилс селинук-басицс -и
Горе наведена команда ће у потпуности уклонити СЕЛинук и његове зависности из вашег система.
Додајте додатну сигурност Линук-у користећи СЕЛинук
СЕЛинук може да пружи додатну заштиту ограничавањем ширења безбедносне повреде. Поред тога, може да обезбеди веб сервере на основу режима СЕЛинук који сте изабрали. Можете да подесите режим на дозвољавајући или на принудни.
Осим тога, постоје и друге мере које можете предузети да бисте заштитили свој Линук систем, као што је коришћење јаких лозинки. Можете затражити од своје Линук машине да генерише јаке лозинке за вас користећи више алата командне линије као што су апг, гпг, пвген, итд.