87 
вышеперечисленные команды. Подготовить отчет в электронном виде. 
Практическая работа №9 
Тема: Настроить защищенный режим работы
Цель: Получить навыки по настройке защищенного режима работы в 
среде Linux ( на примере SELinux) 
Теоретическая часть: 
Security-Enhanced Linux (SELinux) - это новый метод контроля доступа в 
Linux на основе модуля ядра Linux Security (LSM). SELinux включен по 
умолчанию во многих дистрибутивах на основе Red Hat, использующих 
пакетную базу rpm, например, Fedora, CentOS и т д. 
В этой статье будет рассмотрена настройка SELinux, мы не будем 
трогать создание новых политик, а постараемся подойти к системе с другой 
стороны, посмотреть чем она может быть полезна обычному пользователю 
Linux, рассмотрим основы её работы, включение, отключение и изменение 
состояний. В качестве системы для выполнения примеров использовалась 
CentOS 8. 
Основы SELinux 
SELinux представляет собой систему маркировки, каждый процесс 
имеет метку. Каждый файл, каталог или даже пользователь в системе имеет 
метку. Даже портам и устройствам и именам хостов в системе присвоены 
метки. SELinux определяет правила доступа процесса к объектам с 
определенными метками. Это и называется политикой. За соблюдением 
правил следит ядро. Иногда это еще называется обязательный контроль 
доступа (Mandatory Access Control, MAC) 
Владелец файла не имеет полной свободы действий над атрибутами 
безопасности. Стандартные атрибуты контроля доступа, такие как группа и 
владелец ничего не значат для SELinux. Полностью все управляется метками. 
Значения атрибутов могут быть установлены и без прав root, но на это нужно 
иметь специальные полномочия SELinux. 
Теперь поговорим немного о политиках. Мы определяем метку для 
процессов определенного типа, а также на объекты файловой системы тоже 
определенного типа. Вот представьте, себе систему, в которой объекты 
(процессы) это кошки и собаки. Это типы процессов. И у нас есть объекты, к 
которым они хотят иметь доступ - еда. Но еда у них разная еда_котов и 
еда_собак. Нужно чтобы объекты имели доступ только к своей еде. 
У собаки есть разрешение есть свою пищу, а у кошки - свою. В 
политиках SELinux это будет выглядеть вот так: 

88 
разрешить кошке корм_кошек есть 
разрешить собаке корм_собак есть 
Теперь ядро будет следить, чтобы соблюдались эти правила. В системе 
SELinux все по умолчанию запрещено, таким образом, если собака 
попытается съесть кошачий корм, ядро не позволит это сделать. 
Допустим, процесс Apache имеет метку httpd_t, а файлы, к которым у 
Apache должен быть доступ мы назвали httpd_sys_content. Также у нас есть 
данные кредитных карт, которые хранятся в базе данных mysql. Если хакер 
взломает процесс Apache и у него будет root доступ, то он все равно не 
сможет получить доступ к файлам от mysql. 
SELinux может вызвать у системных администраторов большое 
количество проблем, многие её просто отключают, таким образом, решив 
проблему и уменьшив безопасность. Как уже говорилось выше, по 
умолчанию SELinux блокирует все и вся. Это подходит под описание строгой 
политики. Но чтобы облегчить системным администраторам работу, были 
разработаны другие стандартные политики. Во многих дистрибутивах 
используется целевая политика (targeted), она охватывает около 200 сетевых 
служб и процессов, все же остальные программы запускаются и работают 
свободно, к ним никакие модели SELinux не применяются. 
SELinux может работать в трех режимах - отключен, система полностью 
отключена и не работает, режим ограничений Enforcing - программа 
активирована и блокирует все не соответствующие политикам действия и 
третий режим Permissive - только фиксировать нарушения. 
Политики SELinux бывают тоже нескольких типов. Политика targeted, 
которую мы рассматривали выше относится к типу Type Enforcment (TE) 
политик, в которых управление доступом к файлам осуществляется на основе 
ролей. Сюда же относится политика strict. Есть ещё политики Multi-Level 
Security (MLS), в которых добавлены дополнительные категории, они 
сложные и ненужны рядовому пользователю, поэтому начинающим можно 
пока забыть об их существовании. Надо понять, что подсистема SELinux 
разработана военными для военных, поэтому обычным пользователям все её 
возможности вряд-ли понадобятся. В этой статье мы будем обсуждать 
именно политику targeted. 

Download 1.89 Mb.

Do'stlaringiz bilan baham: