Новини високих технологій
» » Як відключити SELinux на практиці

Як відключити SELinux на практиці

9-01-2019, 22:35
163
У деяких випадках немає потреби у будь-який захист. Шкідливі атаки можуть «розраховувати» зустріти на своєму шляху саме SELinux і в результаті навмисних дій проникнути крізь контур безпеки в систему. Іноді відключити SELinux необхідно, оскільки він не підтримується тими програмами, які необхідні в роботі.

Що таке SELinux

Одні називають SELinux системою маркування, інші - системою примусового контролю доступу. У будь-якому випадку, SELinux працює на рівні ядра, а його правила і політика враховують ті дозволи і заборони, які визначені над рівнем ядра операційної системи. Розробка SELinux була спрямована на поліпшення системи безпеки і блокування шкідливих дій, які не в змозі закрити звичайна система захисту. Якщо традиційно актуальне файл, з яким можна асоціювати все, навіть порт, то в новій системі безпеки актуальний процес. Процес утворюється завжди, коли запускається програма або користувач входить. По суті все в операційній системі можна визначити як процес.


Суттєво також і те, що багато процесів приховані і не видно адміністратора, а тим більше пересічному користувачеві. SELinux закриває цей пробіл, дозволяючи настроювати його на будь-який процес, маркуючи його. Опціонально в лінукс-дистрибутивах SELinux включений. Наприклад, одне ціле становить пара CentOS і SELinux. Відключити останній компонент можна відразу після установки системи або, за необхідності, у будь-який час. При налаштуванні чистої операційної системи, наприклад, під хостинг з екзотичними можливостями доцільно відключити всі критичні компоненти системи і додаткові інструменти (системні компоненти). Після того, як потрібне програмне забезпечення буде встановлено і підтверджено, можна поетапно всі включати назад.


Як відключити SELinux

Включити SELinux в потрібний режим і налаштувати необхідні політики доступу можна в будь-який час. Встановивши чисту систему, SELinux відключити можна відразу, змінивши параметр на disabled.
Зазначений параметр знаходиться в файлі config, за адресою: /etc/selinux. Після внесення змін необхідно перезавантажити комп'ютер. Можна повністю видалити SELinux з системи, якщо в цьому є необхідність.

Особливості і можливості SELinux

Проблеми безпеки, захист від вторгнення, блокування файлів для захисту від викрадення, стандартні протоколи подій і роботи співробітників (у широкому сенсі) - повний контроль доступу. Це актуально завжди. Звичайна система захисту успішно справлявся зі своєю роботою. Проте далеко не завжди і не всі користувачі слідують логіці роботи, яку передбачає колектив розробників операційної системи. Утворюються дірки, через які може проникнути зловмисник.
SELinux - це відповідь на деякі дірки в звичайній системі безпеки. Декларуючи як елемент захисту «процес» і пропонуючи систему політик доступу, SELinux піднімає рівень безпеки, але немає ніякої гарантії, що зміна об'єкта захисту з файлу на процес - це довготривала ідея. Можливості SELinux налаштовуються в кожному конкретному випадку. Знає про них обмежений колектив працівників компанії. Тут знову з'являється людський фактор. Зовсім не обов'язково старанно робити вірус, щоб нашкодити наймачеві, можна просто скористатися надійно налагодженою системою безпеки. Наприклад, ображений співробітник просить адміністратора тимчасово зупинити SELinux, так як програма, яку придбав директор компанії, не бажає ставати. Якщо адміністратор не розуміє таких банальних ідей проникнення і йде на поводу у співробітника, гріш ціна всій системі безпеки SELinux, в тому числі.

Про найнадійніших захистах

Відмінна ідея налаштувати веб-сервер на UBUNTU 1804 або на CentOS 7. Розумно включити і налаштувати SELinux. Відмінним доповненням буде послати системних адміністраторів компанії на престижні курси з безпеки корпоративних систем і психології персоналу компанії. Але найкращий бар'єр для будь-якого зловмисника - незнання або застарілий компонент.
Відмінні знання - прерогатива не тільки хорошого адміністратора. Хороші знання прагне мати і той, кому важливо і потрібно проникнути крізь периметр безпеки. Використовуючи те, про що ніхто і ніколи не здогадається, можна досягти бажаного результату. В якості приманки можна використовувати SELinux, відключити який буде складно (для зловмисника), але можна. Насправді захист буде заснована на зовсім іншому функціоналі.
Цікаво по темі
Chromium: що це таке, особливості, переваги та недоліки
Chromium: що це таке, особливості, переваги та недоліки
Багато користувачів чули про термін Chromium. Що це таке, більшість уявляє собі дещо неправильно, вважаючи, що під цією назвою мається на увазі
Докладно про те, як додати до виключення брандмауера сайт або програму
Докладно про те, як додати до виключення брандмауера сайт або програму
У всіх версіях операційної системи Windows вшиті спочатку утиліти для захисту, вони повинні не давати нашкодити системі ззовні і зсередини. Одним з
Asterisk: установка та інструкція
Asterisk: установка та інструкція
Asterisk – одне з кращих рішень в області IP-телефонії, яке можна використовувати безкоштовно. Asterisk досить простий у використанні, і для нього
Огляд CentOS 7: установка, особливості налаштування та рекомендації
Огляд CentOS 7: установка, особливості налаштування та рекомендації
Коротка інструкція по роботі з серверної операційної системи CentOS 7. Керівництво по налаштуванню сервера і основних компонентів, необхідних для