GNU/Linux >> Belajar Linux >  >> Cent OS

Apa itu Pengguna SELinux dan bagaimana Memetakan Pengguna Linux ke Pengguna SELinux

Pengguna SELinux

Ada pengguna SELinux selain pengguna Linux biasa. Pengguna SELinux adalah bagian dari kebijakan SELinux. Kebijakan diotorisasi untuk serangkaian peran tertentu dan untuk rentang MLS (Keamanan Multi-Level) tertentu. Setiap pengguna Linux dipetakan ke pengguna SELinux sebagai bagian dari kebijakan. Hal ini memungkinkan pengguna Linux untuk mewarisi batasan dan aturan serta mekanisme keamanan yang ditempatkan pada pengguna SELinux.

Untuk menentukan peran dan level apa yang dapat mereka masuki, identitas pengguna SELinux yang dipetakan digunakan dalam konteks SELinux untuk proses dalam sesi itu. Anda dapat melihat daftar pemetaan antara akun pengguna SELinux dan Linux dari baris perintah:

# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *

Peran

Peran adalah atribut model keamanan Kontrol Akses Berbasis Peran (RBAC). Peran tersebut berfungsi sebagai perantara antara domain dan pengguna SELinux. Pengguna SELinux diotorisasi untuk peran, peran diotorisasi untuk domain, dan proses berjalan di domain mereka sendiri yang terpisah. Peran menentukan domain mana yang dapat Anda masukkan, dan pada akhirnya, file mana yang dapat Anda akses.

Ketik

Type adalah atribut dari Type Enforcement (TE) . Tipe mendefinisikan tipe untuk file, dan mendefinisikan domain untuk proses. Proses dipisahkan satu sama lain dengan berjalan di domain mereka sendiri. Pemisahan ini mencegah proses mengakses file yang digunakan oleh proses lain, serta mencegah proses mengakses proses lain. Aturan kebijakan SELinux menentukan bagaimana tipe dapat mengakses satu sama lain, apakah itu domain yang mengakses suatu tipe, atau domain yang mengakses domain lain.

Tingkat

Level adalah atribut dari MLS dan MCS. Rentang MLS adalah sepasang level, ditulis sebagai level rendah-level tinggi jika levelnya berbeda, atau level rendah jika levelnya identik (s0-s0 sama dengan s0). Setiap level adalah pasangan kategori sensitivitas, dengan kategori opsional. Jika ada kategori, levelnya ditulis sebagai sensitivitas:kategori-set. Jika tidak ada kategori, ditulis sebagai sensitivitas.

Jika himpunan kategori merupakan deret yang bersebelahan, maka dapat disingkat. Misalnya, c0.c3 sama dengan c0,c1,c2,c3. /etc/selinux/targeted/setrans.conf file adalah tabel terjemahan Multi-Category Security untuk SELinux dan memetakan level ke bentuk yang dapat dibaca manusia seperti s0:c0.c1023=SystemHigh. Jangan mengedit file ini dengan editor teks; gunakan semanage perintah untuk membuat perubahan.

Gunakan chcon perintah untuk mengubah konteks SELinux untuk file. Perubahan yang dibuat dengan perintah chcon tidak dapat bertahan dari label ulang sistem file atau eksekusi restorecon memerintah. Saat menggunakan chcon, berikan semua atau sebagian dari konteks SELinux untuk diubah.

Pengguna SELinux Terbatas

Pengguna Linux dipetakan ke SELinux _default_ login secara default, yang dipetakan ke SELinux unconfined_u pengguna. Namun, SELinux dapat membatasi pengguna Linux, untuk memanfaatkan aturan dan mekanisme keamanan yang diterapkan pada mereka, dengan memetakan pengguna Linux ke pengguna SELinux.

Sejumlah pengguna SELinux terbatas ada dalam kebijakan SELinux. Berikut adalah daftar pengguna SELinux terbatas dan domain terkaitnya:

  • guest_u :Domain untuk pengguna adalah guest_t.
  • staff_u :Domain untuk pengguna adalah staff_t.
  • user_u :Domain untuk pengguna adalah user_t.
  • xguest_x :Domain untuk pengguna adalah xguest_t.

– Pengguna Linux di guest_t , xguest_t , dan pengguna_t domain dapat menjalankan aplikasi set ID pengguna (setuid) hanya jika kebijakan SELinux mengizinkannya (seperti passwd). Mereka tidak dapat menjalankan aplikasi su dan sudo setuid untuk menjadi pengguna root.
– Pengguna Linux di domain guest_t tidak memiliki akses jaringan dan hanya dapat masuk dari terminal. Mereka dapat masuk dengan ssh tetapi tidak dapat menggunakan ssh untuk terhubung ke sistem lain. Satu-satunya akses jaringan yang dimiliki pengguna Linux di domain xguest_t adalah Firefox untuk menghubungkan ke halaman web.
– Pengguna Linux di domain xguest_t, user_t, dan staff_t dapat masuk menggunakan Sistem X Window dan terminal.
– Secara default, pengguna Linux di domain staff_t tidak memiliki izin untuk menjalankan aplikasi dengan perintah sudo.
– Secara default, pengguna Linux di domain guest_t dan xguest_t tidak dapat menjalankan aplikasi di direktori home atau /tmp, mencegah mereka dari menjalankan aplikasi di direktori yang mereka miliki akses tulisnya. Ini membantu mencegah aplikasi yang cacat atau berbahaya memodifikasi file yang dimiliki pengguna.
– Secara default, pengguna Linux di domain user_t dan staff_t dapat menjalankan aplikasi di direktori home dan /tmp.

Memetakan Pengguna Linux ke Pengguna SELinux

Gunakan “login semanage –a ” untuk memetakan pengguna Linux ke pengguna SELinux. Misalnya, untuk memetakan pengguna Linux john ke pengguna SELinux user_u, jalankan perintah berikut:

# semanage login -a -s user_u john

-a opsi menambahkan catatan baru dan opsi -s menentukan pengguna SELinux. Argumen terakhir, pengguna baru, adalah pengguna Linux yang ingin Anda petakan ke pengguna SELinux yang ditentukan.

Booleans untuk Pengguna yang Menjalankan Aplikasi

Beberapa Boolean tersedia untuk mengubah perilaku pengguna saat menjalankan aplikasi di direktori home mereka dan di /tmp. Gunakan tombol “setsebool –P [boolean] on|off ” perintah:

1. Untuk mengizinkan pengguna Linux di domain guest_t untuk menjalankan aplikasi di direktori home mereka dan /tmp:

# setsebool -P guest_exec_content on

2. Untuk mengizinkan pengguna Linux di domain xguest_t untuk menjalankan aplikasi di direktori home mereka dan /tmp:

# setsebool -P xguest_exec_content on

3. Untuk mencegah pengguna Linux di domain user_t menjalankan aplikasi di direktori home mereka dan /tmp:

# setsebool -P user_exec_content off

4. Untuk mencegah pengguna Linux di domain staff_t menjalankan aplikasi di direktori home mereka dan /tmp:

# setsebool -P staff_exec_content off
Memahami Pelabelan File SELinux dan Konteks SELinux


Cent OS

  1. Apa itu Perintah Chown di Linux dan Cara Menggunakannya

  2. Apa Itu Podman Dan Bagaimana Cara Menginstal Podman Di Linux

  3. Apa itu FirewallD Dan Bagaimana Menerapkannya Di Linux

  1. Cara Bekerja Dengan Pengguna Dan Grup Di Linux

  2. Apa itu Mode SELinux dan cara mengaturnya

  3. Apa Itu Halaman Kotor di Linux

  1. Flatpak di Linux:Apa Itu dan Bagaimana Menginstal Aplikasi dengannya

  2. Apa itu NFS dan bagaimana cara menginstalnya di Linux

  3. Debugging langsung kernel Linux, bagaimana melakukannya dan alat apa yang digunakan?