Linux yang Ditingkatkan Keamanan, lebih dikenal sebagai SELinux, telah ada untuk sementara waktu sekarang — dan untuk alasan yang bagus. Awalnya dikembangkan oleh Badan Keamanan Nasional, telah menjadi bagian dari komunitas open source sejak tahun 2000 dan bagian dari kernel Linux sejak tahun 2003. SELinux membantu administrator mengawasi bagaimana bagian yang berbeda dari sistem Linux dapat melakukan tindakan dengan butiran halus kontrol.
Pekerjaan dasar
Singkatnya, SELinux menggunakan database kebijakan untuk menyetujui atau menolak file, aplikasi, atau proses agar tidak diakses pada sistem tertentu. Aplikasi dan proses didefinisikan sebagai subjek yang kemudian meminta akses ke file (dikenal sebagai objek ). Keputusan dibuat berdasarkan kebijakan dan izin yang disimpan dalam AVC (akses cache vektor).
Beralih cepat
Apa yang terjadi ketika Anda perlu menggunakan layanan yang diblokir oleh salah satu kebijakan ini? Mendefinisikan ulang kebijakan mungkin tidak perlu, mengingat konteksnya. Di sinilah Boolean memasuki TKP. Boolean pada dasarnya adalah sakelar yang memungkinkan perubahan kebijakan on-the-fly ke area tertentu dalam SELinux. Boolean ini adalah string yang memungkinkan kami membuat perubahan tingkat mikro pada kebijakan yang diterapkan secara aktif.
[ Anda mungkin juga menyukai: 5 tips untuk memulai keamanan server Linux ]
Boolean apa yang tersedia?
Untuk melihat daftar Boolean yang tersedia, Anda dapat menggunakan getsebool -a . Setiap pengguna dapat menjalankan perintah ini.
[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted... Apa artinya ini?
Ada sejumlah besar sakelar yang tersedia di sini. Seperti yang Anda lihat dalam daftar di atas, bahwa fungsi beberapa sakelar Boolean tidak terlalu jelas. Anda dapat menggunakan semanage boolean -l | grep boolean_name_string untuk membuat daftar lebih banyak informasi tentang Boolean tertentu.
CATATAN :Anda memerlukan hak istimewa admin untuk menjalankan semanage perintah.
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write (off , off) Allow cobbler to anon write
cobbler_can_network_connect (off , off) Allow cobbler to can network connect
cobbler_use_cifs (off , off) Allow cobbler to use cifs
cobbler_use_nfs (off , off) Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off , off) Allow httpd to can network connect cobbler
httpd_serve_cobbler_files (off , off) Allow httpd to serve cobbler files Anda dapat melihat di atas bahwa kita melihat semua Boolean yang berurusan dengan tukang sepatu. Dari kiri ke kanan, kita melihat string Boolean, pengaturan saat ini dan default, dan deskripsi singkat tentang sakelar.
Aktifkan/nonaktifkan Booleans
Untuk membuat perubahan pada status switch yang diberikan, kita menggunakan perintah berikut:setsebool boolean_name_string on (off ). Misalnya:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (on , off) Allow cobbler to anon write Untuk menonaktifkan pengaturan, cukup ubah opsi di akhir:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (off , off) Allow cobbler to anon write
Perlu dinyatakan bahwa perubahan Boolean tidak bertahan melalui reboot secara default. Untuk membuat perubahan terus-menerus, tambahkan -P pilihan sintaks perintah Anda.
[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on [ Ingin mempelajari lebih lanjut tentang keamanan? Lihat daftar periksa keamanan dan kepatuhan TI. ]
Informasi lebih lanjut?
Jika Anda memerlukan informasi lebih lanjut tentang opsi SELinux atau Boolean, lihat halaman manual SELinux untuk boolean, getsebool, setsebool, semanage, semanage-boolean, dan topik terkait.
[ Cobalah Red Hat Enterprise Linux, sistem operasi berkemampuan SELinux, gratis. ]