از طریق منوی جستجو مطلب مورد نظر خود در وبلاگ را به سرعت پیدا کنید
SELinux روی آموزش اوبونتو
سرفصلهای مطلب
یکی از راههای افزایش امنیت سیستم لینوکس، افزودن یک لایه امنیتی اضافی با استفاده از SELinux است. با لینوکس پیشرفته امنیتی (SELinux)، برنامه ها روی سیستم های لینوکس شما از یکدیگر جدا می شوند و از شما محافظت می کنند host سیستم. به طور پیش فرض، اوبونتو از AppArmor، یک سیستم کنترل دسترسی اجباری است که امنیت را افزایش می دهد، اما می توانید از SELinux برای رسیدن به همان هدف استفاده کنید.
SELinux سودمند است و در صورت نقض امنیت روی سیستم شما، از گسترش نفوذ برای محافظت از سیستم شما جلوگیری می کند. علاوه بر این، این ابزار بسته به سرورهای وب محافظت می کند روی حالتی که برای SELinux تنظیم کردید. این راهنما یک دستon آموزش روی روش غیرفعال کردن AppArmor، نصب SELinux، فعال کردن حالت های مختلف و غیرفعال کردن SELinux.
شروع کار با SELinux
توجه داشته باشید که قبل از اینکه SELinux را ادامه دهید، استفاده از آن با خطراتی همراه است، به خصوص که می تواند سیستم شما را غیرقابل استفاده کند. بنابراین، فقط در صورت لزوم و در چنین مواردی از آن استفاده کنید. علاوه بر این، همیشه ایمن تر است که AppArmor را قبل از نصب SELinux غیرفعال کنید.
برای غیرفعال کردن AppArmor دستور زیر را اجرا کنید:
1
|
$ سودو systemctl stop apparmor
|
هنگامی که AppArmor متوقف شد، سیستم خود را مجددا راه اندازی کنید.
روش نصب SELinux روی اوبونتو
هنگامی که AppArmor را غیرفعال یا حذف کردید، خود را باز کنید terminal و دستور زیر را برای نصب SELinux اجرا کنید.
1
2 3 |
$ سودو آپدیت مناسب
$ سودو apt نصب Policycoreutils selinux-utils selinux-basics |
هنگامی که نصب با موفقیت انجام شد، باید ابزار را فعال کنید. با استفاده از دستور زیر می توانید این کار را انجام دهید:
1
|
$ سودو selinux-activate
|
فعال کردن حالتهای SELinux روی اوبونتو
سه حالت مختلف وجود دارد که می توانید با SELinux از آنها استفاده کنید. اولی disable است که مانند نامش عمل می کند. استفاده از سرویس SELinux را غیرفعال می کند. وقتی SELinux فعال می شود، می توانید آن را روی آن تنظیم کنید مجاز یا اجباری حالت ها. در حالت مجاز فقط نظارت بر تعامل انجام می شود. با این حال، اگر می خواهید تعامل را فیلتر و نظارت کنید، از حالت اعمال استفاده کنید.
بیایید با تنظیم حالت اعمال شروع کنیم. از دستور زیر استفاده کنید:
1
|
$ سودو selinux-config-enforcing
|
همچنین می توانید از دستور setenforce برای تنظیم حالت اعمال استفاده کنید. دستور این کار به صورت زیر است:
1
|
$ تنفیذ 1
|
پس از تنظیم حالت، باید سیستم خود را مجددا راه اندازی کنید تا اعمال شود.
1
|
$ راه اندازی مجدد
|
توجه داشته باشید که برچسب زدن مجدد process در طول راه اندازی مجدد شروع می شود. پس از تکمیل، سیستم به طور معمول راه اندازی مجدد می شود. در حین برچسب زدن مجدد، باید به یک پیام هشدار مانند تصویر زیر توجه کنید:
پس از راه اندازی مجدد موفقیت آمیز، می توانید دستور زیر را برای بررسی وضعیت SELinux اجرا کنید. باید برای اجرا تنظیم شود.
1
|
$ وضعیت
|
حالت اعمال به طور پیش فرض توسط SELinux تنظیم شده است. در این حالت، اکثر درخواست ها مسدود می شوند. راه حل این است که حالت مجاز را انتخاب کنید، که تمام قوانین نقض شده را ثبت می کند. برای جزئیات می توانید فایل لاگ را بررسی کنید.
برای تنظیم حالت مجاز از دستور زیر استفاده کنید:
1
|
$ تنفیذ 0
|
ادامه دهید و حالت را با استفاده از دستور setstatus یا استفاده از getenforce دستور:
1
2 3 4 5 |
$ setstatus
یا $ getenforce |
با getenforce، شما فقط نام حالت فعلی را خواهید دید، اما setstatus جزئیات بیشتری را در مورد حالت تنظیم فعلی نشان می دهد.
توجه داشته باشید که برای جابجایی بین دو حالت باید سیستم را ریستارت کنید. علاوه بر این، شما می توانید حالت های تنظیم شده را از قسمت مشاهده کنید فایل /etc/sysconfig/selinux.
همانطور که اشاره کردیم، حالت مجاز انعطاف پذیرتر است و لزوماً همه درخواست ها را مسدود نمی کند. در عوض، زمانی که قوانین نقض می شوند، یک فایل log نگه می دارد. برای دسترسی به فایل log می توانید از دستور زیر استفاده کنید:
1
|
$ grep سلینوکس /var/ورود به سیستم/حسابرسی/audit.log
|
برای تنظیم حالت مجاز از دستور زیر استفاده کنید:
1
|
$ سودو تنفیذ 0
|
روش غیرفعال کردن SELinux
ما روش فعال کردن و تنظیم حالت های مختلف SELinux را دیدیم. اما در مورد غیرفعال کردن آن چطور؟ بهترین گزینه غیرفعال کردن دائمی آن از فایل های پیکربندی است. برای این کار، فایل را با استفاده از یک ویرایشگر مانند nano باز کنید. سپس، همانطور که در دستور زیر نشان داده شده است، حالت را از اعمال به غیرفعال تغییر دهید:
1
|
$ سودو نانو /و غیره/سلینوکس/پیکربندی
|
پس از باز شدن، به دنبال آن بگردید SELINUX=اجرای خط و آن را به SELINUX=غیرفعال تغییر دهید.
نتیجه
AppArmor یک لایه امنیتی اضافی در اوبونتو و سایر سیستم های لینوکس است. با این حال، اگر ترجیح می دهید از SELinux استفاده کنید، روش نصب، فعال کردن و استفاده از حالت های مختلف آن را توضیح داده ایم. قبل از نصب SELinux، مطمئن شوید که AppArmor را غیرفعال کرده و سیستم را مجددا راه اندازی کنید. همچنین، هنگام استفاده از SELinux با احتیاط عمل کنید تا از بهم ریختگی سیستم خود جلوگیری کنید.
لطفا در صورت وجود مشکل در متن یا مفهوم نبودن توضیحات، از طریق دکمه گزارش نوشتار یا درج نظر روی این مطلب ما را از جزییات مشکل مشاهده شده مطلع کنید تا به آن رسیدگی کنیم
زمان انتشار: 1402-12-30 11:25:08