Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор. Прочетете още.

Можете да подобрите сигурността на вашата Linux система, като инсталирате и внедрите SELinux. Това осигурява допълнителен слой на защита чрез изолиране на приложения в системата и защита на хоста.

По подразбиране Ubuntu използва AppArmor, друга система за задължителен контрол на достъпа. За да направите вашата Linux система по-сигурна, можете да използвате SELinux вместо това. Нека да видим как можете да инсталирате и конфигурирате SELinux на Ubuntu с помощта на няколко основни Linux команди.

Какво е SELinux?

Linux с повишена сигурност (SELinux) е модул за сигурност на ядрото на Linux, който предлага механизъм за поддържане на политики за сигурност за контрол на достъпа, включително задължителни контроли за достъп (MAC).

SELinux е подобрение на сигурността за Linux, което включва модификации на ядрото и потребителските инструменти. Той разделя изпълнението на решенията за сигурност от политиката за сигурност и опростява процеса на прилагане на политиката.

instagram viewer

Как да инсталирате SELinux на Ubuntu

Ето стъпките за инсталиране на SELinux на машина с Ubuntu:

Стъпка 1: Актуализирайте и надстройте Ubuntu

Преди да започнете да инсталирате SELinux, актуализирайте и надстройте вашата система, така че да можете да инсталирате нови приложения гладко, без да се натъквате на всякакви проблеми със счупени или остарели пакети.

За да актуализирате и надстроите Ubuntu, отворете терминала, като натиснете Ctrl + Alt + Tи стартирайте:

sudo apt-get актуализация && apt-получавамподобряване на

Стъпка 2: Спрете и премахнете AppArmor на Ubuntu

Друго нещо, което трябва да направите, преди да инсталирате SELinux, е или да деактивирате AppArmor, или да го премахнете напълно.

За да деактивирате AppArmor, първо, спрете услугата с помощта на помощната програма systemctl:

sudo systemctl Спри се apparmor

След като спрете услугата, проверете състоянието й с:

systemctl status apparmor

Сега можете лесно да деактивирате AppArmor, като стартирате:

sudo systemctl деактивирайте apparmor

Добре е, ако искате само да деактивирате услугата, а не да я премахвате. Ако обаче искате да премахнете и него, изпълнете:

sudo apt-получавам премахване на apparmor -y

За да влязат в сила промените, рестартирайте вашата Ubuntu машина:

sudo рестартиране

Стъпка 3: Инсталирайте SELinux на Ubuntu

Преди да инсталирате SELinux, трябва да знаете, че инсталирането му включва риск. Услугата може да остави системата ви нестабилна, така че се уверете архивирайте системата си, преди да продължите с него.

Ако използвате виртуална среда, направете моментна снимка на виртуалната машина (VM) на Ubuntu, преди да направите каквито и да било промени в системата си.

За да инсталирате SELinux и неговите основни зависимости от Ubuntu, изпълнете:

sudo apt-получавам инсталирайте policycoreutils selinux-utils selinux-basics -y

След като инсталирате SELinux и неговите зависимости, активирайте услугата, като използвате:

sudo selinux-активиране

Стъпка 4: Задайте режими на SELinux на Ubuntu

В SELinux има четири различни режима:

  1. Режим на деактивиране
  2. Активирайте режима
  3. Разрешителен режим
  4. Принудителен режим

Първият режим, disable, казва с името си за каква цел служи. Ако сте задали режима SELinux да се дезактивира, това означава, че услугата не е активна на вашата система. От друга страна, режимът на активиране е обратното, което означава, че услугата SELinux работи на вашата система.

Когато режимът SELinux е активиран, можете да използвате разрешителен или налагащ режим. Трябва да използвате разрешителния режим, когато трябва само да наблюдавате взаимодействията. Но ако искате да филтрирате, както и да наблюдавате взаимодействията, използвайте режима за прилагане.

За да настроите режима SELinux на принудителен, изпълнете:

sudo selinux-config-enforcing

Можете също да използвате тази команда вместо това, за да зададете режима на прилагане:

setenforce 1

За да актуализирате промените, рестартирайте системата си:

sudo рестартиране

След като системата се рестартира, проверете състоянието на SELinux, за да се уверите, че е активиран:

setstatus

Ако искате да зададете режима на разрешителен, използвайте:

setenforce 0

След промяна на режима винаги трябва да рестартирате.

sudo рестартиране

Използвайте една от двете команди, за да проверите състоянието на услугата и да проверите промените, които току-що сте направили:

setstatus
getenforce

The getenforce командата отпечатва само текущия режим на терминала. Въпреки това, командата setstatus дава повече подробности за режима, който в момента е зададен на вашата система.

Можете също да проверите текущите режими, като отворите /etc/sysconfig/selinux файл.

Разрешителният режим е по-гъвкав в сравнение с налагането. Този режим не блокира всички заявки и поддържа лог файл за съхраняване на събитие, ако има нарушение на правилото.

Достъп до регистрационния файл на SELinux в Ubuntu

Ще намерите регистрационни файлове на SELinux в audit.log файл, съхранен в /var/log/audit указател.

За да видите регистрационните файлове на SELinux, изпълнете:

grep selinux /вар/log/audit/audit.log

Как да деактивирате SELinux на Ubuntu

Нека сега проучим как да премахнете или деактивирате SELinux на Ubuntu. Има два метода, които можете да използвате за това:

1. Временно деактивирайте SELinux

Когато временно деактивирате SELinux, вие незабавно спирате прилагането му и продължавате със SELinux в неактивно състояние до следващото рестартиране на системата. След рестартирането SELinux ще се върне към прилагане.

За да деактивирате временно SELinux, първо трябва да станете root потребител:

sudo -i

Сега деактивирайте SELinux с:

ехо 0 > /selinux/налагам

Можете също да използвате инструмента setenforce вместо това, за да деактивирате SELinux за текущата сесия:

setenforce 0

2. Деактивирайте SELinux за постоянно

Можете също така да деактивирате SELinux за постоянно, като използвате неговия конфигурационен файл, така че да не се връща към прилагане след всяко рестартиране.

За да деактивирате SELinux, отворете конфигурационния файл, намиращ се в /etc/selinux/config директория:

sudo nano /etc/selinux/config

Потърсете реда "SELINUX=налагане” в съдържанието на файла и го променете на „SELinux=забранено”.

След като сте готови, запишете и излезте от файла, като натиснете Ctrl + X, тогава Y, и удари Въведете.

Как да деинсталирате SELinux на Ubuntu

Ако вече не искате да използвате SELinux и трябва да го премахнете поради проблеми с нестабилността, изпълнете:

sudo apt-получавам инсталирайте policycoreutils selinux-utils selinux-basics -y

Горепосочената команда напълно ще премахне SELinux и неговите зависимости от вашата система.

Добавете допълнителна сигурност към Linux с помощта на SELinux

SELinux може да осигури допълнителна защита, като ограничи разпространението на пробив в сигурността. Освен това може да защити уеб сървъри въз основа на избрания от вас режим SELinux. Можете да зададете режима на разрешаващ или налагащ.

Освен това има други мерки, които можете да предприемете, за да запазите вашата Linux система защитена, като например използването на силни пароли. Можете да помолите вашата Linux машина да генерира силни пароли за вас, като използвате множество инструменти на командния ред като apg, gpg, pwgen и др.