SELinux چیست

SELinux چیست؟ اس ئی لینوکس مخفف Security Enhanced Linux یک فرایند امنیتی در سیستم‌عامل لینوکس است که به منظور افزایش سطح امنیت در سطوح مختلف سیستم عامل استفاده می‌شود.

Security Enhanced Linux یک معماری امنیتی است که توسط آژانس امنیت ملی ایالات متحده آمریکا (NSA) و Red Hat ایجاد شده است.

این ماژول امنیتی برای اکثر توزیع‌های لینوکس در دسترس است، اما عمدتا در RHEL و Fedora مورد استفاده قرار می گیرد.

اس ئی لینوکس از تکنیک‌های مبتنی بر قوانین دسترسی مؤسساتی (MAC) استفاده می‌کند تا در حد امکان حفاظت و کنترل دسترسی کاربران و برنامه‌ها به منابع سیستم را بهبود بخشد.

MAC نوعی سیستم امنیتی است که به Sysadmins اجازه می‌دهد تا یک سیاست دسترسی امنیتی متمرکز تنظیم کند و مشخص کند که کدام کاربران و فرایندها به منابع خاصی دسترسی دارند.

اس ئی لینوکس، sysadmins را از اپلیکیشن‌هایی که کاربر اجرا می‌کند، متمایز می‌کند. برای مثال، کاربر shell دسترسی کاملی به دایرکتوری home دارد.

با این حال، اگر کاربر یک کلاینت ایمیل را اجرا کند، SELinux مانع دسترسی کلاینت به بخش‌های خاص دایرکتوری home می‌شود.

با استفاده از لایه اضافی امنیتی SELinux، قابلیت‌های نظارتی و محدودکننده‌ای بر روی فعالیت‌های سیستم اعمال می‌شود.

SELinux با ارائه محدودیت‌های دقیق در دسترسی به فایل‌ها، پردازه‌ها، سوکت‌ها و سایر منابع سیستم، اجازه می‌دهد تا محافظت از امنیت و امکانات سیستم تا حد امکان افزایش یابد.

بیشتر بدانید : نصب GoLang در اوبونتو

به عبارت دیگر، اس ئی لینوکس همچون یک حفاظ امنیتی عمل می‌کند که درصورت نقض حقوق دسترسی، اقدام به مسدودسازی و کنترل دسترسی‌های غیرمجاز می‌کند.

با استفاده از SELinux، می‌توانید در مقابل تهدیدات امنیتی مختلف مانند اجرای بدافزارها، نفوذهای ناشناخته و انحرافات امنیتی مقاومت کنید.

هدف اصلی اس ئی لینوکس، ارائه یک لایه اضافی امنیتی قدرتمند است که به کمک تنظیمات دقیق و یک سیاست مشخص برای کنترل دسترسی، امنیت سیستم عامل را به سطحی بالاتر ارتقا دهد.

با این حال، امکانات قدرتمند SELinux و افزایش سطح امنیتی که ارائه می‌دهد به صورت گسترده مورد استفاده در سرورها و سیستم‌هایی قرار می‌گیرد که امنیت سیستم از اهمیت بالایی برخور است.

با نصب و فعال‌سازی اس ئی لینوکس، می‌توانید سیستم‌عامل را در برابر حملات خارجی، برنامه‌های مخرب و سوءاستفاده از ضعف‌های امنیتی محافظت کنید.

در واقع، اس ئی لینوکس از طریق استفاده از مکانیزم‌های مجوزدهی پیشرفته و تحقق داده‌های محافظت شده اجازه می‌دهد تا محدودیت‌های سخت‌افزاری در ارتباط با دسترسی‌ها، فرایندها و فایل‌ها را تنظیم کند و محافظت از سیستم عامل را تقویت کند.

این معماری امنیتی جداسازی امتیازات بین کاربران سیستم و فرآیندها را اعمال می‌کند و مدیران را قادر می‌سازد تا دسترسی به منابع را به طور مؤثرتری مدیریت کنند.

همچنین SELinux با جداسازی سیاست‌های امنیتی و اجرای تصمیمات امنیتی در داخل کرنل، سطح حفاظت را افزایش می‌دهد.

SELinux چگونه کار می‌کند

📝 سلام! یک مقدمه برای مطلب SELinux می‌نویسم: 🔒 SELinux، یا Security-Enhanced Linux، یک تکنولوژی امنیتی قدرتمند برای سیستم‌های عامل لینوکس است. SELinux به عنوان یک ماژول امنیتی در هسته سیستم عامل عمل می‌کند و به تقویت و افزایش سطح امنیت سیستم کمک می‌کند. 💪 SELinux از تکنیک‌های مبتنی بر قوانین دسترسی مؤسساتی (MAC) استفاده می‌کند تا در حد امکان حفاظت و کنترل دسترسی کاربران و برنامه‌ها به منابع سیستم را بهبود بخشد. با استفاده از لایه اضافی امنیتی SELinux، قابلیت‌های نظارتی و محدودکننده‌ای بر روی فعالیت‌های سیستم اعمال می‌شود. ⚙️ SELinux با ارائه محدودیت‌های دقیق در دسترسی به فایل‌ها، پردازه‌ها، سوکت‌ها و سایر منابع سیستم، اجازه می‌دهد تا محافظت از امنیت و امکانات سیستم تا حد امکان بالا را فراهم کند. به عبارت دیگر، SELinux همچون یک نگهبان امنیتی عمل می‌کند که درصورت نقض حقوق دسترسی، اقدام به مسدودسازی و کنترل دسترسیهای ناخواسته می‌کند. 🚀 با استفاده از SELinux، می‌توانید در مقابل تهدیدات امنیتی مختلف مانند اجرای بدافزارها، نفوذهای ناشناخته و انحرافات امنیتی مقاومت کنید. هدف اصلی SELinux ارائه یک لایه اضافی امنیتی قدرتمند است که به کمک تنظیمات دقیق و یک سیاست مشخص برای کنترل دسترسی، امنیت سیستم عامل را به سطحی بالاتر ارتقا دهد. ❗️توجه داشته باشید که SELinux ممکن است به دلیل پیچیدگی‌هایش در محیط‌های پیکربندی شده نیازمند مطالعه و آموزش مناسب باشد. با این حال، امکانات قدرتمند SELinux و افزایش سطح امنیتی که ارائه می‌دهد، به صورت گسترده مورد استفاده در سرورها و سیستم‌هایی قرار می‌گیرد که امنیت سیستم یک اولویت بالایی در ادامه مطلب SELinux چیست، شما را با نحوه عملکرد آن آشنا خواهیم کرد. پس تا پایان مطلب همراه ما باشید.

اس ئی لینوکس کنترل‌های دسترسی را برای برنامه‌ها، فرایندها و فایل‌های یک سیستم تعریف می‌کند.

این برنامه از سیاست‌های امنیتی که مجموعه‌ای از قوانین هستند، استفاده می‌کند که به SELinux می‌گویند به چه چیزهایی می‌توان یا نمی‌توان دسترسی داشت تا دسترسی مجاز توسط یک سیاست را اجرا کند.

هنگامی که یک برنامه یا فرآیند به عنوان موضوع شناخته می‌شوند، درخواستی برای دسترسی به یک شی، مانند یک فایل، ارائه می‌کند، SELinux با دسترسی vector cache بررسی می‌کند، جایی که مجوزها برای موضوعات و اشیاء ذخیره می‌شوند.

اگر SELinux قادر به تصمیم گیری در مورد دسترسی براساس مجوزهای ذخیره شده نباشد، درخواست را به سرور امنیتی ارسال می‌کند.

سرور امنیتی، زمینه امنیتی فرآیند و فایل را بررسی می‌کند. زمینه امنیتی از پایگاه داده SELinux اعمال می‌‌شود. سپس رد یا تایید می‌شود.

در صورت عدم اجازه، پیغام “adc: unied” در / var / log.mes در دسترس خواهد بود.

نحوه پیکربندی SELinux

پس از پاسخ به این سوال که SELinux چیست، می توانید با کمک چندین روش، SELinux را برای محافظت از سیستم خود پیکربندی کنید. رایج‌ترین آنها خط مشی هدفمند یا امنیت چند سطحی (MLS) هستند.

خط مشی هدفمند گزینه پیش فرض است و طیف وسیعی از فرآیندها، وظایف و خدمات را پوشش می‌دهد. MLS می‌تواند بسیار پیچیده باشد و معمولاً فقط توسط سازمان‌های دولتی استفاده می‌شود.

شما می‌توانید با رجوع به فایل /etc/sysconfig/selinux متوجه شوید که سیستم شما قرار است چه کاری انجام دهد.

این فایل دارای بخشی است که به شما نشان می‌دهد که آیا SELinux در حالت مجاز، اجرا یا غیرفعال است و اینکه قرار است کدام سیاست بارگذاری شود.

سیاست‌های SELinux چیست

SELinux به صورت پیش فرض تمام اپلیکیشن‌ها و کاربران را مسدود می‌کند و تنها اجازه دسترسی به موارد مشخص شده در سیاست‌های امنیتی را می‌دهد.

سیاست‌های امنیتی مجموعه‌ای از قوانین هستند که به SELinux آموزش می‌‌دهند که به کدام منبع سیستم دسترسی دارد. این قوانین مجوزها را برای هر کاربر، فرآیند و منبع تعیین می‌کنند.

اس ئی لینوکس هر تصمیم (مسدود کردن یا اجازه دسترسی) را در Vector Cache دسترسی (AVC) ذخیره می‌کند و فرآیند کنترل دسترسی را سرعت می‌بخشد.

وقتی یک فرآیند، دسترسی به یک منبع را درخواست می‌کند، SELinux با AVC مشورت می‌کند تا بررسی کند که آیا تصمیمی برای آن درخواست گرفته شده است یا خیر.

اگر بله، فورا درخواست را رد می‌کند و در زمان و منابع صرفه جویی می‌کند. در غیر این صورت، SELinux با قوانین سیاست مشورت می‌کند و تصمیم می‌گیرد.

یکی از ویژگی‌های حیاتی Security Enhanced Linux، توانایی تعیین مجوزهای مختلف برای فرآیندهای مختلف است.

برای مثال، یک ادمین خط‌مشی را تنظیم می‌کند که به فرآیند وب سرور اجازه خواندن و نوشتن در ریشه سند را می‌دهد، اما فرآیندهای دیگر را مسدود می‌کند.

به عنوان مثال، یک sysadmin خط‌مشی را تنظیم می‌کند که به وب سرور اجازه می‌دهد فقط تحت شرایط خاصی، به عنوان مثال، زمانی که درخواست از یک آدرس IP قابل اعتماد می‌آید، در روت بخواند و بنویسد.

همچنین، SELinux از کنترل‌های دسترسی مبتنی بر متن پشتیبانی می‌کند. به عنوان مثال، یک sysadmin سیاستی را تنظیم می‌کند که به وب سرور اجازه می‌دهد فقط تحت شرایط خاصی، یعنی زمانی که درخواست از یک آدرس IP قابل اعتماد می‌آید، در root بخواند و بنویسد.

حالت‌های SELinux چیست

یکی از ویژگی‌های کلیدی SELinux توانایی کار در حالت‌های مختلف است که به sysadminها اجازه می‌دهد تا امنیت سیستم را به خوبی تنظیم کند. سه حالت اصلی SELinux وجود دارد.

حالت Enforcing

در این حالت، SELinux سیاست‌های کنترل دسترسی تنظیم شده توسط sysadmin را اعمال می‌کند و به کاربران اجازه لغو را نمی‌دهد.

اگر کاربر یا فرآیندی تلاش کند به منبعی که توسط سیاست‌ها مجاز نیست دسترسی پیدا کند، SELinux درخواست را رد و تصمیم را در AVC ثبت می‌کند.

حالت Permissive

در این حالت، SELinux خط‌مشی‌ها را اجرا نمی‌کند، اما رویدادها را زمانی که کاربر یا فرآیند تلاش می‌کند به منبعی که توسط خط‌مشی‌ها مسدود شده است دسترسی پیدا کند، ثبت می‌کند.

این امر به sysadminها امکان می‌دهد تا سیستم را از نظر مسائل امنیتی بالقوه نظارت کنند و هر گونه تغییر خط مشی لازم را قبل از مجوز دادن به حالت اجرا انجام دهند.

حالت Disabled

در این حالت، SELinux سیاست‌های کنترل دسترسی را اعمال نمی‌کند. این حالت برای تست یا اشکال زدایی مفید است.

نحوه پیکربندی SELinux

لینوکس دارای خط‌مشی‌های امنیتی SELinux از پیش نصب‌شده است که پیکربندی را ساده می‌کند. علاوه بر این، به مدیران اجازه می‌دهد تا سیاست‌های امنیتی خود را تعریف کنند.

راه‌های مختلفی برای پیکربندی SELinux وجود دارد، چه به صورت دائمی و چه در طول جلسه جاری، در ادامه مطلب SELinux چیست، به بررسی هریک خواهیم پرداخت.

پیکربندی دائمی SELinux

برای تنظیم یک پیکربندی SELinux که پس از راه‌اندازی مجدد تنظیم نمی‌شود، فایل /etc/selinux/config را ویرایش کنید. این فایل شامل گزینه‌های پیکربندی SELinux، از جمله حالتی است که SELinux باید در آن کار کند.

برای تنظیم حالت enforcing، مجاز یا غیرفعال، متغیر SELINUX را متناسب با آن تغییر دهید. به عنوان مثال، برای تنظیم SELinux به حالت enforcing، مراحل زیر را دنبال کنید.

فایل پیکربندی SELinux را در یک ویرایشگر متن انتخابی خود باز کنید. این آموزش از Vim استفاده می‌کند. برای آشنایی با این ویرایشگر، شما را به خواندن مطلب نصب و استفاده از ویرایشگر Vim در لینوکس سرور، دعوت می‌نماییم.

sudo vim /etc/selinux/config

متغیر Security Enhanced Linux را به صورت زیر تنظیم کنید.

SELINUX=permissive

فایل را ذخیره کرده و از آن خارج شوید و سپس سیستم را مجدد راه اندازی کنید.

در نهایت، با اجرای دستور زیر تغییرات را بررسی کنید.

sudo sestatus

دستور sestatus نشان می‌دهد که حالت فعلی Security Enhanced Linux مجاز است و تغییر در فایل پیکربندی را تأیید می‌کند.

پیکربندی موقت SELinux

SELinux دستوراتی را برای تنظیم پیکربندی فقط برای جلسه جاری ارائه می دهد. پس از شروع مجدد session، تنظیمات به تنظیمات موجود در فایل پیکربندی بازنشانی می‌شود.

دستور setenforce حالت اجرا را روشن (با متغیر 1) یا خاموش (با متغیر 0) می‌کند. برای فعال کردن حالت اجرا، دستور زیر را اجرا کنید.

sudo setenforce 1

این دستور هیچ خروجی ارائه نمی‌دهد. با استفاده از Sestatus یا getenforce نتیجه را تایید کنید.

برای بررسی اینکه آیا SELinux در حالت اعمال با sestatus است یا خیر، دستور زیر را اجرا کنید.

sudo sestatus

خروجی نشان می‌دهد که حالت current در حال اجرا است، در حالی که متغیر فایل پیکربندی هنوز permissive است. راه‌اندازی مجدد ترمینال، حالت current را به حالت getenforce برمی‌گرداند.

روش دیگر، برای بررسی حالت current با دستور getenforce است.

sudo getenforce

تفاوت Linux در مقابل SELinux

SELinux و Linux دو موجودیت مجزا هستند. لینوکس یک سیستم عامل است و SELinux یک ماژول امنیتی است که بخشی از هسته لینوکس است.

تفاوت راه اندازی استاندارد لینوکس و SELinux هدف آنها است.

لینوکس به عنوان یک سیستم عامل، منابع سخت افزاری و نرم افزاری را مدیریت می‌کند و پایه و اساس توسعه نرم افزار را فراهم می‌کند.

از سوی دیگر، SELinux یک جزء امنیتی است که از لینوکس در برابر نرم افزارهای مخرب و دسترسی غیرمجاز محافظت می‌کند.

اجرای کنترل دسترسی در تنظیمات استاندارد لینوکس، کاربران و برنامه‌ها تا زمانی که از امتیازات لازم برخوردار باشند، دسترسی نامحدودی به سیستم دارند.

مکانیسم Discretionary Access Control (DAC) است. با این حال، SELinux متفاوت عمل می‌کند.Security-Enhanced Linux به مدیران اجازه می‌دهد تا مجوزها را برای هر کاربر، فرآیند و منبع موجود در سیستم مشخص کنند.

Security Enhanced Linux هرگونه تلاش برای دسترسی غیرمجاز را مسدود می‌کند، در حالی که sysadminها از سیاست‌های امنیتی برای تعیین اینکه کاربر به فرآیندها یا فایل‌های سیستم عامل خاص دسترسی دارد، استفاده می‌کند.

جمع بندی

SELinux یک مکانیزم کنترل دسترسی قدرتمند است که به کمک آن می‌توان بخش‌های مختلف سیستم عامل را محدود کرده و امنیت آن‌ها را بهبود بخشید. SELinux نقش مهمی در امنیت سیستم عامل لینوکس دارد و قابلیت‌هایی مانند کنترل بیشتری بر دسترسی‌ها، تمایز بین پروسه‌ها، ایزوله‌سازی منابع و جلوگیری از حملات مخرب را فراهم می‌کند. با استفاده از SELinux، می‌توان بهبود امنیت سیستم خود را ارتقاء داده و خطرات امنیتی را کاهش داد.

پس از مطالعه این مقاله، بامفهوم Security Enhanced Linux آشنا شده و می‌توانید یک پیکربندی امنیتی ساده را تنظیم کنید.

[yasr_overall_rating]