קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

אתה יכול לשפר את האבטחה של מערכת הלינוקס שלך על ידי התקנה והטמעה של SELinux. זה מספק שכבת הגנה נוספת על ידי בידוד יישומים במערכת ואבטחת המארח.

כברירת מחדל, אובונטו משתמשת ב-AppArmor, מערכת נוספת של בקרת גישה חובה. כדי להפוך את מערכת הלינוקס שלך לאבטחה יותר, אתה יכול להשתמש ב-SELinux במקום זאת. בוא נראה איך אתה יכול להתקין ולהגדיר את SELinux באובונטו באמצעות כמה פקודות לינוקס בסיסיות.

מה זה SELinux?

Linux משופרת באבטחה (SELinux) הוא מודול אבטחת ליבת לינוקס המציע מנגנון לתמיכה במדיניות אבטחת בקרת גישה, כולל בקרות גישה חובה (MAC).

SELinux הוא שיפור אבטחה עבור לינוקס הכולל שינויים בקרנל וכלי המשתמש. הוא מפריד בין יישום החלטות אבטחה למדיניות הביטחון ומפשט את תהליך אכיפת המדיניות.

כיצד להתקין SELinux על אובונטו

להלן השלבים להתקנת SELinux במחשב אובונטו:

שלב 1: עדכן ושדרוג של אובונטו

לפני שתתחיל להתקין את SELinux, עדכן ושדרג את המערכת שלך כך שתוכל להתקין יישומים חדשים בצורה חלקה מבלי להיתקל ב כל בעיה עם חבילות שבורות או מיושנות.

instagram viewer

כדי לעדכן ולשדרג את אובונטו, פתח את הטרמינל על ידי לחיצה Ctrl + Alt + T, ורוץ:

sudo apt-get עדכון && מתאים-לקבלשדרוג

שלב 2: עצור והסר את AppArmor באובונטו

דבר נוסף שאתה צריך לעשות לפני התקנת SELinux הוא להשבית את AppArmor או להסיר אותו לחלוטין.

כדי להשבית את AppArmor, ראשית, להפסיק את השירות באמצעות כלי השירות systemctl:

sudo systemctl תפסיק הלבשה

לאחר הפסקת השירות, אמת את הסטטוס שלו באמצעות:

מערכת התקנת מצב systemctl

עכשיו אתה יכול בקלות להשבית את AppArmor על ידי הפעלת:

sudo systemctl להשבית הלבשה

זה בסדר אם אתה רק רוצה להשבית את השירות ולא להסיר אותו. עם זאת, אם אתה רוצה להסיר גם אותו, בצע:

sudo apt-לקבל הסר apparmor -y

כדי שהשינויים ייכנסו לתוקף, הפעל מחדש את מכונת האובונטו שלך:

אתחול sudo

שלב 3: התקן את SELinux על אובונטו

לפני התקנת SELinux, עליך לדעת שההתקנה שלו כרוכה בסיכון. השירות יכול להשאיר את המערכת שלך לא יציבה, אז הקפד לעשות זאת גבה את המערכת שלך לפני שתמשיך עם זה.

אם אתה משתמש בסביבה וירטואלית, צלם תמונת מצב של המכונה הוירטואלית של אובונטו (VM) לפני ביצוע שינויים כלשהם במערכת שלך.

כדי להתקין את SELinux והתלות החיונית שלו באובונטו, הפעל:

sudo apt-לקבל התקן policycoreutils selinux-utils selinux-basics -y

לאחר התקנת SELinux והתלות שלו, הפעל את השירות באמצעות:

sudo selinux-activate

שלב 4: הגדר מצבי SELinux באובונטו

ישנם ארבעה מצבים שונים הזמינים ב-SELinux:

  1. השבת מצב
  2. הפעל מצב
  3. מצב מתירני
  4. מצב אכיפה

המצב הראשון, disable, אומר בשמו לאיזו מטרה הוא משרת. אם הגדרת את מצב SELinux לנטרל, זה אומר שהשירות אינו פעיל במערכת שלך. מצד שני, מצב ההפעלה הוא הפוך, כלומר שירות SELinux פועל על המערכת שלך.

כאשר מצב SELinux מוגדר לאפשר, אתה יכול להשתמש במצב מתירני או אכיפה. עליך להשתמש במצב מתירני כאשר אתה רק צריך לפקח על האינטראקציות. אבל אם אתה רוצה לסנן ולנטר אינטראקציות, השתמש במצב האכיפה.

כדי להגדיר את מצב SELinux לאכיפה, בצע:

sudo selinux-config-enforcing

אתה יכול גם להשתמש בפקודה זו במקום זאת כדי להגדיר את המצב לאכיפה:

setenforce 1

כדי לעדכן את השינויים, הפעל מחדש את המערכת שלך:

אתחול sudo

לאחר אתחול המערכת, בדוק את המצב של SELinux כדי לוודא שהוא מופעל:

סטטוס

אם אתה רוצה להגדיר את המצב למתירני, השתמש ב:

setenforce 0

לאחר שינוי המצב, עליך תמיד לאתחל.

אתחול sudo

השתמש באחת משתי הפקודות כדי לבדוק את מצב השירות ולאמת את השינויים שביצעת זה עתה:

סטטוס
getenforce

ה getenforce הפקודה מדפיסה רק את המצב הנוכחי בטרמינל. עם זאת, הפקודה setstatus נותנת פרטים נוספים על המצב המוגדר כעת במערכת שלך.

אתה יכול גם לבדוק את המצבים הנוכחיים על ידי גישה ל- /etc/sysconfig/selinux קוֹבֶץ.

המצב המתירני גמיש יותר בהשוואה לאכיפה. מצב זה אינו חוסם את כל הבקשות ושומר קובץ יומן לאחסון אירוע אם יש הפרת כללים.

גישה לקובץ היומן SELinux באובונטו

אתה תמצא יומני SELinux ב- יומן ביקורת קובץ המאוחסן ב- /var/log/audit מַדרִיך.

כדי להציג יומני SELinux, הפעל:

grep selinux /var/log/audit/audit.log

כיצד להשבית את SELinux באובונטו

כעת נחקור כיצד להסיר או להשבית את SELinux באובונטו. ישנן שתי שיטות שבהן תוכל להשתמש כדי לעשות זאת:

1. השבת זמנית את SELinux

כאשר אתה משבית זמנית את SELinux, אתה מפסיק מיד את האכיפה שלו וממשיך עם SELinux במצב לא פעיל עד לאתחול הבא של המערכת. לאחר האתחול מחדש, SELinux יחזור לאכיפה.

כדי להשבית זמנית את SELinux, ראשית, עליך להפוך למשתמש שורש:

sudo -i

כעת השבת את SELinux עם:

הֵד 0 > /selinux/לֶאֱכוֹף

אתה יכול גם להשתמש בכלי setenforce במקום כדי להשבית את SELinux עבור ההפעלה הנוכחית:

setenforce 0

2. השבת לצמיתות את SELinux

אתה יכול גם להשבית לצמיתות את SELinux באמצעות קובץ התצורה שלו כך שהוא לא יחזור לאכיפה לאחר כל אתחול מחדש.

כדי להשבית את SELinux, פתח את קובץ התצורה שנמצא ב- /etc/selinux/config מַדרִיך:

sudo nano /etc/selinux/config

חפש את הקו"SELINUX=אכיפה" בתוכן הקובץ ושנה אותו ל"SELinux=מושבת”.

בסיום, שמור וצא מהקובץ על ידי לחיצה Ctrl + X, לאחר מכן י, והכה להיכנס.

כיצד להסיר את התקנת SELinux באובונטו

אם אינך רוצה יותר להשתמש ב-SELinux וצריך להסיר אותו בגלל בעיות יציבות, הרץ:

sudo apt-לקבל התקן policycoreutils selinux-utils selinux-basics -y

הפקודה האמורה תסיר לחלוטין את SELinux והתלות שלו מהמערכת שלך.

הוסף אבטחה נוספת ללינוקס באמצעות SELinux

SELinux יכולה לספק הגנה נוספת על ידי הגבלת התפשטות של פרצת אבטחה. בנוסף, זה יכול לאבטח שרתי אינטרנט בהתבסס על מצב SELinux שבחרת. אתה יכול להגדיר את המצב למתירני או לאכיפה.

חוץ מזה, ישנם אמצעים נוספים שתוכל לנקוט כדי לשמור על אבטחת מערכת הלינוקס שלך, כגון שימוש בסיסמאות חזקות. אתה יכול לבקש ממחשב הלינוקס שלך ליצור עבורך סיסמאות חזקות על ידי שימוש בכלי שורת פקודה מרובים כגון apg, gpg, pwgen וכו'.