Ero sivun ”Security-Enhanced Linux” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
Foliohattu siirsi sivun SELinux ohjauksen Security-Enhanced Linux päälle: oikea nimi
(laitetaanpa uudelleenohjaus, kun tietoturva-sivulla on jotain tynkää jo) |
p (Foliohattu siirsi sivun SELinux ohjauksen Security-Enhanced Linux päälle: oikea nimi) |
||
| (7 välissä olevaa versiota 4 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
# | {{Hakemistorakenne}} | ||
{{Ohjelma | |||
| nimi = Security-Enhanced Linux | |||
| logo = | |||
| kuva = | |||
| kuvateksti = | |||
| tekijä = [[wikipedia:fi:NSA|NSA]] ja [[Red Hat]] | |||
| kehittäjä = Red Hat | |||
| lisenssi = [[GPL]] | |||
| käyttöliittymä = teksti | |||
| kotisivu = [http://selinuxproject.org/ selinuxproject.org]<br><li>[https://web.archive.org/web/20201022103915/https://www.nsa.gov/what-we-do/research/selinux/ nsa.gov/what-we-do/research/selinux/]{{InternetArchive}} | |||
| lähdekoodi = https://github.com/SELinuxProject/selinux | |||
}} | |||
'''Security-Enhanced Linux''' (''SELinux'') on [[wikipedia:fi:NSA|NSA]]:n kehittämä turvallisuusjärjestelmä, joka rajoittaa ohjelmien toimintaoikeuksia niille kirjoitettujen sääntöjen mukaan. Tarkoituksena on estää ohjelmia suorittamasta vaarallisia toimintoja, joko tarkoituksella tai esimerkiksi puskuriylivuotojen kautta. SELinux on käytössä useimmissa [[Fedora Linux]]-pohjaisissa jakeluissa, kuten [[RHEL]]- ja [[Rocky Linux]] -jakeluissa. | |||
==Käyttö== | |||
{{Oikeudet}} | |||
===Tilat=== | |||
SELinuxilla on kolme eri tilaa: <tt>enforcing</tt>, <tt>permissive</tt> ja <tt>disabled</tt>. Enforcing pakottaa SELinuxin politiikan koko järjestelmään ja pitää huolta siitä että käyttäjien ja prosessien luvattomat toiminnot estetään ja kirjoitetaan lokiin. Permissive ei estä luvattomia toimintoja, mutta kirjoittaa ne lokitiedostoon. Permissive on hyvä tapa tutkia ja varmistaa SELinuxin toimivuus ennen käyttöönottoa. Disabled poistaa SELinuxin kokonaan käytöstä. | |||
Oletuksena SELinux on Enforcing-tilassa. | |||
SELinuxin tilan voi katsoa esimerkiksi <tt>getenforce</tt> tai <tt>sestatus</tt> -komennoilla, joista <tt>sestatus</tt> näyttää enemmän tietoa, | |||
$ getenforce | |||
Enforcing | |||
sestatus | |||
SELinux status: enabled | |||
SELinuxfs mount: /sys/fs/selinux | |||
SELinux root directory: /etc/selinux | |||
Loaded policy name: targeted | |||
Current mode: enforcing | |||
Mode from config file: enforcing | |||
Policy MLS status: enabled | |||
Policy deny_unknown status: allowed | |||
Max kernel policy version: 28 | |||
===Käyttöönotto=== | |||
SELinuxin asetustiedosto on <tt>/etc/selinux/config</tt>. SELinux voidaan ottaa käyttöön muokkaamalla asetustiedostoa asettamalla sinne haluttu tila. | |||
SELINUX=enforcing | |||
Tietokone pitää käynnistää uudelleen jotta asetukset astuvat voimaan. Tämän jälkeen SELinuxin lokia voidaan tarkastella <tt>/var/log/messages</tt> -tiedostosta. Esimerkiksi jos SELinux estää jonkun prosessin toiminnan, voidaan se tarkastaa lokista: | |||
# cat /var/log/messages | grep "SELinux is preventing" | |||
=== SELinuxin toiminta === | |||
SELinuxissa on toimintatilan lisäksi myös turvallisuuspolitiikka, englanniksi policy. Politiikkalajeja on kolme: **Strict**, **Targeted** ja **Unconfined**. | |||
Monet Linux-komennot näyttävät SELinux-tiedot <tt>Z</tt>-vivulla. Esimerkiksi <tt>ps</tt> ja <tt>ls</tt>. | |||
=== Tiedostojen oikeudet === | |||
SELinuxin avulla voidaan rajoittaa tiedostojen pääsyoikeuksia hienovaraisemmin kuin Unixin tavallisilla käyttöoikeuksilla. Ls-komento tarjoaa tuen näiden pääsyoikeuksien katselemiselle. Tiedostojen SELinux-oikeudet voi listata tällä komennolla: | |||
ls -Z | |||
Listauksessa näkyy nyt SELinux-kenttä, jossa on useita eri osia seuraavassa järjestyksessä: <tt>user:role:type:mls</tt> | |||
Ps-komennolla on mahdollista katsoa helposti, mihin SELinux-käyttöoikeuteen mikäkin prosessi kuuluu: | |||
ps axZ | |||
Vastaavasti tiedostojen oikeuksia pääsee muuttamaan <tt>chcon</tt>-komennolla: | |||
chcon -u <user> -t <type> -r <role> <tiedosto> | |||
Esimerkiksi CentOS-järjestelmässä Apachelle voi antaa kirjoitusoikeuden uploads_dir-nimiseen kansioon: | |||
chcon -t httpd_sys_rw_content_t uploads_dir | |||
Näin kansion SELinux-tyyppi muutetaan muotoon <tt>httpd_sys_rw_content_t</tt>. Nämä tyypit, kuten muutkin SELinux-asetukset ovat jakelukohtaisia. | |||
==Aiheesta muualla== | |||
*[https://fedoraproject.org/wiki/SELinux SELinux Fedoran wikissä] | |||
*[https://wiki.centos.org/HowTos/SELinux CentOS SELinux HOWTO] | |||
*[https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf SELinux värityskirja] - Ohjelman toiminta yksinkertaisesti selostettuna värityskirjan muodossa | |||
*[https://people.redhat.com/dwalsh/SELinux/Presentations/ManageRHEL4.pdf Managing Red Hat Enterprise Linux 4] | |||
*[https://people.redhat.com/dwalsh/SELinux/Presentations/ManageRHEL5.pdf Managing Red Hat Enterprise Linux 5] | |||
[[Luokka:Tietoturva]] | |||
{{Malline:Palvelin}} | |||