GNU/Linux >> Belajar Linux >  >> Linux

Cara Mengamankan Server Linux dengan SE Linux

Keamanan adalah aspek yang sangat penting dari pengembangan perangkat lunak, manajemen server, dan pengembangan aplikasi saat ini.

Dan jika Anda menggunakan Linux, Anda beruntung – ia hadir dengan fitur luar biasa bernama SE Linux yang membantu Anda menambahkan lapisan keamanan tambahan.

Apa itu SE Linux?

SE Linux dikembangkan oleh NSA (Badan Keamanan Nasional) untuk melayani tugas-tugas keamanan terkait pemerintah.

SE Linux adalah singkatan dari Security Enhanced Linux. Ini memberi administrator sistem lebih banyak kontrol untuk menyediakan akses ke file dan proses. Dengan SE Linux, admin dapat menentukan konteks dan memberi tag pada file dan mengizinkannya dalam konteks itu.

Akses dan izin biasanya diwariskan berdasarkan grup pengguna. Tetapi ada beberapa sumber (seperti server dan proses web) yang memerlukan akses ke port jaringan dan proses kernel. Ini biasanya dimunculkan oleh pengguna root atau pengguna dengan akses khusus. SE Linux membantu Anda membatasi siapa yang dapat mengakses proses khusus ini.

Cara bekerja dengan SE Linux

SE Linux hadir secara default di sebagian besar distro Linux. Dalam posting ini, saya akan mengerjakan Fedora.

Perlu diingat bahwa bekerja dengan SE Linux memerlukan sudo atau root akses.

File konfigurasi SE Linux terletak di /etc/sysconfig/selinux map. Mari kita lihat isinya:

Mode Linux SE

Dalam file konfigurasi, kita dapat mengubah mode dan memilih salah satu dari yang di bawah ini:

  1. Diberlakukan – Diaktifkan secara default, memfilter berdasarkan kebijakan yang ditentukan.
  2. Permisif – Tidak menerapkan kebijakan yang ditentukan, tetapi mencatat semua upaya dalam file log. Mode ini berguna untuk pemecahan masalah.
  3. Dinonaktifkan – SE Linux dinonaktifkan sepenuhnya. Ini tidak disarankan karena dapat membuat sistem Anda terkena ancaman. Selain itu, kembali ke diberlakukan dapat membuat perbedaan tertentu.

Anda dapat memeriksa mode SE Linux Anda saat ini dengan perintah di bawah ini:

  1. getenforce
  2. sestatus

Jika Anda hanya perlu mengubah mode untuk sesi saat ini, Anda dapat menggunakan perintah di bawah ini:

  1. sudo setenforce 0 – menyetel mode permisif untuk sesi saat ini
  2. sudo setenforce 1 – menyetel mode penegakan untuk sesi saat ini

Kebijakan SE Linux

Di SE Linux, kebijakan menentukan akses ke pengguna. Pengguna menentukan akses ke peran dan peran menentukan akses ke domain. Domain kemudian memberikan akses ke file tertentu.

Untuk mengubah dan memodifikasi akses, 'boolean' didefinisikan. Kita akan melihat boolean di bagian selanjutnya.

Cara mengelola kebijakan SE Linux dengan boolean

Seperti yang Anda ketahui sekarang, kebijakan SE Linux dikelola oleh boolean.

Mari kita lihat contoh kerja bagaimana Anda akan melihat dan mengatur boolean. Dalam contoh ini, kami akan menetapkan boolean khusus untuk httpd .

Pertama, daftar semua modul khusus untuk http – getsebool -a | grep httpd .

Di sini -a mencantumkan semua boolean.

Selanjutnya, mari kita pilih dan ubah boolean yang disorot kuning pada kode di atas:

getsebool httpd_can_connect_ftp

Sekarang, atur nilainya menjadi allow .

setsebool -P httpd_can_connect_ftp 1

Pada perintah di atas,

  • Bendera P digunakan untuk membuat perubahan permanen bahkan setelah reboot.
  • 1 mengaktifkan boolean.

Sekarang, ketika Anda membuat daftar proses lagi, nilainya akan diizinkan.

Arsitektur SE Linux

Diagram di bawah menjelaskan bagaimana SE Linux memvalidasi upaya dari sumber:

Pemecahan Masalah dan Log SE Linux

SE Linux menghasilkan log yang sangat rinci untuk setiap upaya. Anda dapat menemukan log dan melihatnya di sini:/var/log/audit .

Saat memecahkan masalah, Anda harus beralih ke mode 'permisif' sehingga semua peristiwa dapat direkam dalam log. Meskipun kebijakan tidak diterapkan, upaya dicatat dalam log.

Cara menonaktifkan dan mengaktifkan SE Linux

Menonaktifkan SE Linux sepenuhnya bukanlah pilihan yang baik. Tetapi ada skenario tertentu di mana kebijakan dapat dilewati seperti saat pemecahan masalah.

Daripada menonaktifkan SE Linux jika Anda mengalami masalah kecil, lebih baik menginvestasikan waktu dalam pemecahan masalah.

Tetapi jika Anda benar-benar perlu menonaktifkan SE Linux, ikuti langkah-langkah ini:

  1. Ubah mode dari 'menegakkan' menjadi 'permisif'.
  2. Ubah mode dari 'permisif' menjadi 'nonaktif'.

Menutup

Mempelajari SE Linux sepadan dengan waktu Anda dan ada kemungkinan tak terbatas yang dapat Anda jelajahi saat menggunakannya.

SE Linux memberi admin tingkat kontrol yang halus. Jadi mengapa tidak mempelajarinya dan memanfaatkannya untuk meningkatkan keamanan Anda?

Terima kasih telah membaca sampai akhir. Mari terhubung di Twitter.


Linux

  1. Bagaimana saya menggunakan Vagrant dengan libvirt

  2. Cara mengenkripsi file dengan gocryptfs di Linux

  3. Bagaimana cara memeriksa kata sandi dengan Linux?

  1. Cara Mengamankan Nginx dengan Letsencrypt di Rocky Linux/Centos 8

  2. Linux – Bagaimana Mengganti Server Vm Dns?

  3. Cara Mengamankan Rocky Linux 8

  1. Cara mereset kata sandi Windows dengan Linux

  2. Cara Menginstal MX Linux 21 Langkah demi Langkah dengan Tangkapan Layar

  3. Cara Menginstal Grafana di Server Linux