Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti. Přečtěte si více.

Zabezpečení svého systému Linux můžete zlepšit instalací a implementací SELinux. To poskytuje další vrstvu ochrany izolováním aplikací v systému a zabezpečením hostitele.

Ve výchozím nastavení Ubuntu používá AppArmor, další systém povinné kontroly přístupu. Chcete-li, aby byl váš systém Linux bezpečnější, můžete místo toho použít SELinux. Podívejme se, jak můžete nainstalovat a nakonfigurovat SELinux na Ubuntu pomocí několika základních příkazů Linuxu.

Co je SELinux?

Security-Enhanced Linux (SELinux) je bezpečnostní modul linuxového jádra, který nabízí mechanismus pro podporu bezpečnostních politik řízení přístupu, včetně povinných kontrol přístupu (MAC).

SELinux je bezpečnostní vylepšení pro Linux, které zahrnuje úpravy jádra a uživatelských nástrojů. Odděluje provádění bezpečnostních rozhodnutí od bezpečnostní politiky a zjednodušuje proces prosazování politiky.

instagram viewer

Jak nainstalovat SELinux na Ubuntu

Zde jsou kroky k instalaci SELinuxu na počítači Ubuntu:

Krok 1: Aktualizujte a upgradujte Ubuntu

Než začnete instalovat SELinux, aktualizujte a upgradujte svůj systém, abyste mohli hladce instalovat nové aplikace, aniž byste museli narazit jakékoli potíže s poškozenými nebo zastaralými balíčky.

Chcete-li aktualizovat a upgradovat Ubuntu, otevřete terminál stisknutím Ctrl + Alt + Ta spusťte:

sudo apt-get Aktualizace && výstižný-dostatvylepšit

Krok 2: Zastavte a odeberte AppArmor na Ubuntu

Další věc, kterou musíte udělat před instalací SELinuxu, je buď deaktivovat AppArmor, nebo jej úplně odstranit.

Chcete-li zakázat AppArmor, nejprve zastavte službu pomocí nástroje systemctl:

sudo systemctl stop apparmor

Jakmile službu zastavíte, ověřte její stav pomocí:

systemctl status apparmor

Nyní můžete snadno deaktivovat AppArmor spuštěním:

sudo systemctl zakázat apparmor

Je to v pořádku, pokud chcete službu pouze zakázat a ne ji odstranit. Pokud jej však chcete také odstranit, proveďte:

sudo apt-dostat odstranit apparmor -y

Aby se změny projevily, restartujte počítač Ubuntu:

sudo restart

Krok 3: Nainstalujte SELinux na Ubuntu

Před instalací SELinuxu musíte vědět, že jeho instalace zahrnuje riziko. Služba může zanechat váš systém nestabilní, takže se ujistěte než budete pokračovat, zálohujte svůj systém s tím.

Pokud používáte virtuální prostředí, pořiďte snímek virtuálního počítače Ubuntu (VM) před provedením jakýchkoli změn ve vašem systému.

Chcete-li nainstalovat SELinux a jeho základní závislosti na Ubuntu, spusťte:

sudo apt-dostat nainstalovat policycoreutils selinux-utils selinux-basics -y

Po instalaci SELinuxu a jeho závislostí aktivujte službu pomocí:

sudo selinux-aktivovat

Krok 4: Nastavte režimy SELinux na Ubuntu

V SELinuxu jsou k dispozici čtyři různé režimy:

  1. Zakázat režim
  2. Povolit režim
  3. Permisivní režim
  4. Vynucovací režim

První režim, zakázat, svým názvem říká, k jakému účelu slouží. Pokud jste nastavili režim SELinux na zakázání, znamená to, že služba není ve vašem systému aktivní. Na druhou stranu režim povolení je opačný, což znamená, že na vašem systému běží služba SELinux.

Když je režim SELinux nastaven na povolený, můžete použít permisivní nebo vynucovací režim. Permisivní režim byste měli používat, když potřebujete pouze sledovat interakce. Ale pokud chcete filtrovat a zároveň monitorovat interakce, použijte režim vynucení.

Chcete-li nastavit režim SELinux na vynucení, proveďte:

sudo selinux-config-enforceing

Tento příkaz můžete také použít místo toho k nastavení režimu na vynucení:

setenforce 1

Chcete-li aktualizovat změny, restartujte systém:

sudo restart

Po restartu systému zkontrolujte stav SELinuxu a ujistěte se, že je povolen:

stav nastavení

Pokud chcete nastavit režim na permisivní, použijte:

setenforce 0

Po změně režimu byste měli vždy restartovat.

sudo restart

Pomocí jednoho z těchto dvou příkazů zkontrolujte stav služby a ověřte změny, které jste právě provedli:

stav nastavení
getenforce

The getenforce příkaz vypíše pouze aktuální režim na terminálu. Příkaz setstatus však poskytuje více podrobností o režimu, který je aktuálně nastaven ve vašem systému.

Aktuální režimy můžete také zkontrolovat přístupem k /etc/sysconfig/selinux soubor.

Permisivní režim je ve srovnání s vynucováním flexibilnější. Tento režim neblokuje všechny požadavky a uchovává soubor protokolu pro uložení události, pokud dojde k porušení pravidla.

Přístup k souboru protokolu SELinux na Ubuntu

Protokoly SELinux najdete v audit.log soubor uložený v /var/log/audit adresář.

Chcete-li zobrazit protokoly SELinux, spusťte:

grep selinux /var/log/audit/audit.log

Jak zakázat SELinux na Ubuntu

Pojďme nyní prozkoumat, jak odstranit nebo zakázat SELinux na Ubuntu. K tomu můžete použít dvě metody:

1. Dočasně vypněte SELinux

Když dočasně zakážete SELinux, okamžitě zastavíte jeho vynucení a budete pokračovat se SELinuxem v neaktivním stavu až do příštího restartu systému. Po restartu se SELinux vrátí k vynucení.

Chcete-li dočasně deaktivovat SELinux, musíte se nejprve stát uživatelem root:

sudo -i

Nyní deaktivujte SELinux pomocí:

echo 0 > /selinux/prosadit

Místo toho můžete také použít nástroj setenforce k deaktivaci SELinuxu pro aktuální relaci:

setenforce 0

2. Trvale zakázat SELinux

SELinux můžete také trvale zakázat pomocí jeho konfiguračního souboru, aby se nevrátil k vynucení po každém restartu.

Chcete-li zakázat SELinux, otevřete konfigurační soubor umístěný v /etc/selinux/config adresář:

sudo nano /etc/selinux/config

Hledej řádek"SELINUX=vynucování“ v obsahu souboru a změňte jej na „SELinux=vypnuto”.

Po dokončení uložte a ukončete soubor stisknutím Ctrl + X, pak Ya hit Vstupte.

Jak odinstalovat SELinux na Ubuntu

Pokud již SELinux nechcete používat a potřebujete jej odstranit kvůli problémům s nestabilitou, spusťte:

sudo apt-dostat nainstalovat policycoreutils selinux-utils selinux-basics -y

Výše uvedený příkaz zcela odstraní SELinux a jeho závislosti z vašeho systému.

Přidejte do Linuxu další zabezpečení pomocí SELinux

SELinux může poskytnout extra ochranu omezením šíření narušení bezpečnosti. Navíc dokáže zabezpečit webové servery na základě vámi zvoleného režimu SELinux. Režim můžete nastavit na povolující nebo vynucovací.

Kromě toho existují další opatření, která můžete provést, abyste udrželi svůj systém Linux v bezpečí, jako je použití silných hesel. Svůj počítač se systémem Linux můžete požádat, aby pro vás vygeneroval silná hesla pomocí několika nástrojů příkazového řádku, jako jsou apg, gpg, pwgen atd.