Tutorial securizare kernel + sistem [Linux] cu SELINUX

[sleed]

Salut.Va voi arata cum se foloseste SELinux pentru Debian Wheezy, "SeLinux se foloseste pentru intarirea sistemului si a kernelului" ,pentru a bloca atacuri impotriva nucleului, buffer overflow impotriva sistemului, seteaza permisii pentru anumite fisiere etc.

Ce este SELinux ?

SELinux, sau denumit Security Enhanced Linux, reprezint? un mod de îmbun?tatire a securit?tii distro-urilor de operare bazate pe Linux, fiind implementat ca un modul de securitate (Linux Security Module). A fost creat de de Agentia National? pentru Securitate – NSA). SELinux se bazeaz? pe tehnica Mandatory Access Control (MAC) care permite implementarea unei mari variet?i de polite de securitate. Pentru a putea folosi aceast? tehnic?, modulul SELinux adaug? o referin? c?tre kernel-ul [nucleul] Linux-ului, cu ajutorul c?reia implementeaz? MAC-ul.

Principiul pe care se bazeaz? aceast? tehnic? este acela de a refuza executia aplicaiilor ale c?ror permisiuni nu sunt explicit descrise, prin urmare nu se stie exact care va fi efectul execut?rii lor. Un alt avantaj al SELinux este acela c? ofer? posibilitatea de a seta anumite limite ale comportamentului unor aplicatii ce se încadreaz? în categoria celor potential d?un?toare sistemului de Linux. Astfel, respectivele aplicatii nu pot iesi din acel model comportamental, ramanand blocate si probabil oprite.

Inainte sa instalam SeLInux, instalam :

aptitude install auditd audispd-plugins

, pentru a intampina eventualelor erori ce apar la instalarea SeLinuxului!

Pentru instalarea SeLINUX e nevoie de o simpla comanda in bash :

aptitude install selinux-basics selinux-policy-default

Apoi activam seLinux prin comanda urmatoare:

selinux-activate

si dam un restart la calculator!

Toate probleme ce apar, le gasiti in :

var/log/audit/audit.log

[Errori, etc..]

In modul permisiv nu primesti atentionari cand folosesti aplicatiile..

Putem seta

setenforce 1 sau setenforce 0

pentru ,,un hardening mai puternic al sistemului". Grija cand folositi setenforce, multe module nu vor mai functiona la aceiasi parametri!!!

Sa facem enforcing permanent :Editam

etc/selinux/confi

, apoi editam :

/etc/default/grub

si adaugam

GRUB_CMDLINE_LINUX="selinux=1 enforcing=1"

Apoi rulam in consola update_grub si restart.In caz ca apare vreo eroare , restart, apasam pe pe e cand apare grub si apasam C si x pentru a dezinstala modulul enforcing.

Pentru a crea permisii :

semanage login -m -s staff_u sleed

semanage user -m -R 'staff_r sysadm_r' sleed

Cam atat aici.Sursele sunt impartite, am luat din mai multe parti si am cautat cele mai bune metode pentru o cale rapida a actualizarii SeLinuxului.In tutorialul urmator voi arata cum sa dai Update Kernel + Securizarea acestuia cu grsecurity!, implementare Kerberos, folosirea incapsularii crptografice IP , fcntl , apeluri de sistem etc..deoarece sec pentru Linux nu consta numai in securizare ssh,apache2,mysql sau ftp!!!

Surse: SeLinux-1

SeLinux-2

+Comentarii, P.M pentru probleme

Edited March 21, 2014 by sleed
Motiv:: Adaugare continut, modificari, corectura.

[z4rk]

Interesant. Thanks.