SELinux چیست و چگونه کار می‌کند؟

سیستم‌عامل لینوکس یکی از محبوب‌ترین و حرفه‌ای‌ترین سیستم‌عامل‌هایی است که می‌توانید برای مدیریت سرورها از آن استفاده کنید. این سیستم‌عامل ویژگی‌های مختلفی دارد که امنیت سرور را افزایش می‌دهد. یکی از روش‌هایی که می‌توانید با استفاده از آن به‌راحتی امنیت سیستم‌عامل سرور خود را افزایش دهید، استفاده از SELinux است.

Security Enhanced Linux یا همان SELinux یک معماری امنیتی پیشرفته مبتنی بر لینوکس است که قدرت اختیار فوق‌العاده‌ای به مدیران سرور می‌دهد. می‌توانید به کمک این ماژول امنیتی امنیت داده‌های سرور خود را بیشتر کرده و آن را در برابر حملات مخرب محافظت کنید. اگر می‌خواهید بیشتر با SELinux و کاربردهای آن آشنا شوید می‌توانید تا انتهای این مقاله ما را همراهی کنید.

اصطلاح Security-Enhanced

اصلاح Security Enhanced یکی از اصطلاحات مهم در دنیای لینوکس است. این اصطلاح به معنای امنیت تقویت شده بوده و به‌عنوان ماژولی مستقل برای لینوکس شناخته می‌شود. در واقع با فعال‌سازی این ماژول، قابلیت‌هایی به کرنل لینوکس اضافه می‌شود که در مقام توسعه‌دهنده بوده و برخی از فرایندها را مسدود می‌کند.

بسیاری از توزیع‌های لینوکس این ماژول را به‌صورت یک فیچر پیش‌فرض درون خود دارند؛ اما در صورت عدم وجود این ماژول روی توزیع می‌توانید آن را به‌راحتی نصب و فعال‌سازی کنید. با کمک این ماژول کنترل نرم‌افزارها، نصب آن‌ها و مجوز استفاده آن‌ها با تدابیر امنیتی کنترل می‌شود.

ویژگی‌های SELinux و نکات مهم قبل از استفاده

ویژگی‌های بارزی که در ماژول SELinux وجود دارد شامل موارد زیر هستند:

• فراهم Policy امنیتی سازگار با هر سیستم
• اجرای فرایند وراثت و مقداردهی اولیه
• دارای سرویس‌های کرنل و اشیا برچسب‌های مخصوص به خود
• محافظت‌شدن و محرمانه بودن داده‌ها
• تعریف رابط‌های Policy به طور کامل و آسان
• پشتیبانی از تغییرات Policy
• و…

یکی از ویژگی‌هایی که باید قبل از نصب و فعال‌سازی SELinux با آن آشنا باشید، ویژگی MAC (مخفف عبارت Mandatory Access Control) است. MAC روی DAC پیاده‌سازی شده و در حال حاضر تمامی توزیع‌های لینوکس از آن بهره می‌برند. موجودیت‌هایی که در این ماژول وجود دارد شامل کاربر، گروه و متفرقه می‌شود که به‌تمامی آن‌ها به اختیار UGO (User, Group, Others) گفته می‌شود.

هر کدام از این موجودیت‌ها مجوز ترکیبی روی یکی از فهرست‌ها دارند. به طور مثال، یکی از کاربرهای Linixhint در فهرست اصلی خودمان داریم که مجوزهای به خصوصی دارد. این کاربر به گروه خود و سایز گروه‌ها مربوط بوده و می‌توانید مجوزهای آن را در خروجی‌های زیر مشاهده کنید.

تمامی دسترسی‌های که در تصویر مشاهده می‌کنید می‌تواند توسط کاربر Linuxhint تغییر پیدا کند.

SELinux چیست و چگونه کار می‌کند؟

راه‌اندازی SELinux در سیستم‌عامل CentOS

حال که ویژگی‌ها و نحوه کارکردن SELinux را بررسی کردیم بهتر است راه‌اندازی آن در سیستم‌عامل CentOS را نیز بررسی کنیم.

در اولین مرحله باید سرویس‌های SFTP و Apache را نصب کنید که دستور زیر به این کار کمک می‌کند:

ls -l /home/linuxhint/ [/cc$ sudo yum install httpd

همانند تصویر زیر با استفاده از حرف Y مجوز نصب را صادر نمایید.

در بخش بعدی با دستور زیر سرویس httpd را راه‌اندازی کنید:

ls -l /home/linuxhint/ [/cc$ sudo yum install httpd [/cc$ service httpd start

سپس باید بسته vsftpd را روی CentOS نصب کنید که دستور زیر در این کار کمک می‌کند:

sudo yum install vsftpd

پس از نصب باید این سرویس را فعال کنید:

service vsftpd start

با کمک دستور زیر می‌توانید بسته‌های SELinux که در توزیع مدنظر سیستم‌عامل شما نصب هستند را مشاهده کنید:

rpm -qa | grep selinux

حال می‌توانید به کمک دستور زیر پکیج‌هایی که موردنیاز SELinux است را نصب کنید:

sudo yum install policycoreutils selinux-policy selinux-policy-targeted libselinux-utils setroubleshoot-server setools setools-console mcstrans

حال تمامی بسته‌های SELinux و سرویس‌های موردنیاز آن در سیستم شما نصب شده‌اند.

انواع حالت‌های SELinux

برای این که بتوانید به بهترین شکل از ماژول SELinux استفاده کنید باید با حالت‌های مختلف آن آشنا باشید. این حالت‌ها به شکل زیر هستند:

1.    Permissive

حالت Permisive یکی از حالت‌های ماژول SELinux است که مشابه به یک حالت نیمه‌فعال است. در این حالت سرویس به طور کامل کارنکرده و هیچ‌کدام از دسترسی‌ها را محدود نمی‌کند. اما در این حالت نقض هر کدام از Policyهای SELinux ثبت شده و برای حالت‌های آزمایشی کاربردی است.

2.    Enforcing

این حالت را می‌توان حالت اصلی ماژول SELinux دانست. در حالت Enforcing امنیت سیستم یا سرور شما به طور کامل با این ماژول تأمین می‌شود. در چنین حالتی ماژول تمامی دسترسی‌های غیرمجاز به‌واسطه فرایندها و کاربران به اجرا گذاشته خواهد شد.

نکته دیگری که باید دررابطه‌با این حالت بدانید این است که این ماژول در حالت Enforcing تمامی عملکردهای اضافی را درون لاگ خود ثبت خواهد کرد. می‌توانید برای محدودکردن دسترسی‌های غیرمجاز از این حالت استفاده کنید.

3.    Disabled

همان‌طور که از نام حالت Disabled مشخص است، در این حالت تمامی عملکردهای ماژول SELinux به طور کامل غیرفعال خواهد شد. در واقع اگر می‌خواهید سیستم‌عامل لینوکس شما بدون هیچ‌گونه امنیت اضافی کار کند می‌توانید روی این حالت سوئیچ کنید. برای این که بدانید ماژول SELinux در چه حالتی فعال است می‌توانید از دستور زیر استفاده کنید:

getenforce

همچنین دستور زیر می‌تواند خالت فعالیت دقیق ماژول را به شما نمایش دهد:

sestatus

با کمک دستور زیر می‌توانید فایل پیکربندی ماژول را بررسی کنید:

sudo cat /etc/selinux/config

می‌توانید در این فایل حالت‌های مختلف SELinux را بررسی کنید.

فعال‌کردن SELinux در CentOS

اگر می‌خواهید ماژول SELinux را در سیستم‌عامل خود فعال کنید باید در اولین مرحله فایل پیکربندی آن را باز کنید:

sudo nano /etc/selinux/config

با باز کردن فایل پیکربندی مشاهده می‌کنید که ماژول در حالت Enforcing قرار گرفته است.

سپس باید با استفاده از دستور زیر حالت را به Primisive تغییر دهید تا فایل‌های ضروری Context مربوط به خود را داشته باشند:

SELINUX=permissive

حال باید CentOS را با استفاده از دستور زیر مجدداً راه‌اندازی کنید:

sudo reboot

با این کار تمامی فایل‌ها با کانتکست مخصوص به خود لیبل‌گذاری می‌شوند تا SELinix با خطایی مواجه نشود.

در مرحله بعدی باید به دنبال رشته SELinux is preventing باشید.

sudo cat /var/log/messages | grep "SELinux is preventing"

پس از واردکردن دستور بالا در صورت بروزندادن خطا به مرحله بعد بروید.

sudo cat /var/log/messages | grep "SELinux"

حال باید حالت SELinux را دوباره به حالت Enforcing تغییر دهید:

sudo nano /etc/sysconfig/selinux

سپس تغییرات را با استفاده از کلیدهای ترکیبی Ctrl+O ذخیره کنید.

برای ثبت تغییرات مجدداً CentOS را راه‌اندازی کنید:

sudo reboot

سپس با کمک دستور زیر وضعیت SELinux را بررسی نمایید:

sestatus

می‌توانید همانند تصویر زیر مود ماژول را بررسی کنید:

برای تغییردادن مود ماژول می‌توانید از دستور زیر کمک بگیرید:

sudo setenforce permissive

sestatus

در آخرین مرحله نیز برای بازگرداندن SELinux به حالت Enforcing از دستور زیر کمک بگیرید:

sudo setenforce enforcing

سخن پایانی

ماژول‌های مختلفی هستند که می‌توانید با نصب و راه‌اندازی آن‌ها در سیستم‌عامل لینوکس، عملکرد و امنیت آن را به طور کال تقویت کنید. ماژول SELinux یکی از محبوب‌ترین این ماژول‌ها است که با محدودکردن دسترسی به فایل‌های مختلف امنیت سرور شما را بیشتر می‌کند.

این ماژول در بیشتر توزیع‌های لینوکس وجود دارد؛ در صورتی هم که توزیع لینوکس سرور شما مجهز به این ماژول نبود می‌توانید با دستوراتی به‌راحتی آن را نصب و راه‌اندازی کنید. در این مقاله آموزشی سعی کردیم به طور کامل تمامی مراحلی که برای نصب، راه‌اندازی و تغییر حالت این ماژول وجود دارد را با هم بررسی کردیم.