SELinux অক্ষম / সক্ষম করার কারণগুলি

স্ট্যাকওভারফ্লো এবং আমাদের এখানে থাকা সম্পূর্ণ ভিন্ন জনতার এই প্রশ্নের পংক্তিতে আমি আশ্চর্য হই: SELinux অক্ষম করার জন্য আপনার বেশিরভাগ কারণগুলি (বেশিরভাগ লোক এখনও ধরে নিচ্ছে)? আপনি কি এটি সক্ষম রাখতে চান? সেলইনাক্স রেখে আপনি কী অস্বাভাবিকতা অনুভব করেছেন? ওরাকল ব্যতীত অন্য বিক্রেতারা এসইএলিনাক্স সক্ষম থাকা সমস্যা সমাধানকারী সিস্টেমগুলি কী দেয়?

বোনাস প্রশ্ন: কেউ লক্ষ্যযুক্ত মোড প্রয়োগের ক্ষেত্রে SELinux এর সাথে আরএইচএল 5 তে ওরেकल চালিত করতে সক্ষম হয়েছেন? আমি বোঝাতে চাইছি, কঠোর হবে দুর্দান্ত, তবে আমি এখনও এটি দূরবর্তীভাবে সম্ভব না, তাই প্রথমে লক্ষ্যযুক্ত হয়ে থাকি ;-)

রেডহ্যাট ডিফল্টরূপে সেলইনাক্স চালু করে কারণ এটি নিরাপদ। রেডহ্যাট থেকে উত্পন্ন পণ্যগুলি ব্যবহার করে এমন প্রায় প্রতিটি বিক্রেতা সেলইনাক্স বন্ধ করে দেয় কারণ জিনিসটি কেন কাজ করে না তা নির্ধারণ করার জন্য তাদের সময় (এবং অর্থ) দিতে হবে না। রেডাহাট / ফেডোরা লোকেরা সেলইনাক্সকে এন্টারপ্রাইজে একটি কার্যকর বিকল্প হিসাবে তৈরি করার জন্য প্রচুর পরিমাণে সময় এবং প্রচেষ্টা চালিয়েছে, তবে অন্যান্য সংস্থাগুলির বেশিরভাগই সত্যই আপনার সুরক্ষার যত্ন নেয় না । (তারা তাদের সুরক্ষা এবং তাদের পণ্যের সুরক্ষা খ্যাতির বিষয়ে যত্নশীল , যা একেবারেই আলাদা জিনিস))

আপনি যদি এটি কাজ করতে পারেন তবে তার জন্য যান। যদি আপনি না করতে পারেন তবে সেখানে বিক্রেতাদের কাছ থেকে প্রচুর সহায়তার আশা করবেন না। আপনি সম্ভবত রেডহাট / ফেডোরা ছেলেরা, ফ্রেইনোডে সেলিনাক্স মেলিং তালিকা এবং #selinux চ্যানেল থেকে সহায়তা পেতে পারেন। তবে ওরাকল-এর মতো সংস্থাগুলি থেকে - ভাল, সেলইনাক্স তাদের ব্যবসায়ের পরিকল্পনায় আসলেই ফ্যাক্টর করে না।

সাধারণত পুরোপুরি অক্ষম করার পরিবর্তে আপনি পার্মিসিভে সেলইনাক্স চালানো ভাল। audit2whyআপনার নিয়মিত ব্যবহারের সময় কি ধরণের লঙ্ঘন অস্বীকার করা হবে তা দেখতে আপনি কিছুক্ষণ পরেই (মাধ্যমে ) পরীক্ষা করে দেখতে পারেন এবং audit2allowযদি সেই 'লঙ্ঘন' আপনার সেটআপের জন্য মিথ্যা-ইতিবাচক হয় তবে তার মাধ্যমে কাস্টম নীতিগুলি তৈরি করতে পারেন।

ডিফল্টরূপে আপনি সাধারণ ফেডোরা / আরএইচইএল সিস্টেমের সাথে যা পেয়েছেন তার চেয়ে নন-ফেডোরা ডেরিভেড সিস্টেমগুলিতে সেলইনাক্স আচরণটি উল্লেখযোগ্যভাবে স্পর্শকাতর হয়ে উঠেছে।

আপনি যদি এটি ইতিমধ্যে না দেখে থাকেন তবে আপনি ফেডোরা SELinux ব্যবহারকারী গাইড শিক্ষাগত পেতে পারেন।

এর কারণগুলি:

• বাধ্যতামূলক অ্যাক্সেস নিয়ন্ত্রণের মাধ্যমে উচ্চ স্তরের সুরক্ষা
• আপনার উচ্চ স্তরের সুরক্ষার বাইরে কোনও কারণ প্রয়োজন? :-)

এর বিরুদ্ধে কারণগুলি:

• বুঝতে কঠিন
• পরিচালনা করতে অসুবিধা
• সমস্যা সমাধানের পক্ষে সমস্যা

এটি যদি আপনি সেলইনাক্স বিবেচনা করে থাকেন তবে আমি উদাহরণ দিয়ে সেলইনাক্স বইটি সুপারিশ করছি ।

আমি এমন একটি সংস্থার জন্য কাজ করেছি যা প্রতিটি সিস্টেমে সেলিনাক্স সক্ষম করে, প্রয়োগের মোডে। আমাদের জন্য চাবিকাঠিটি ছিল অডিট 2 নকল প্রোগ্রামটি বোঝা এবং ব্যবহার করা যা নতুন প্রসঙ্গের নিয়ম তৈরি করতে ব্যবহার করা যেতে পারে।

প্রথমে, আমরা অডিট 2 গিলে একটি টেম্পলেট তৈরি করব এবং তারপরে এটি তৈরি করতে কোনও স্ক্রিপ্ট ব্যবহার করব:

export NAME="my_serviced"
sudo audit2allow -m "${NAME}" -i /var/log/audit/audit.log > ${NAME}.te
sudo setup_semodule ${NAME}

সেটআপ_সেমিউড লিপি:

#!/bin/sh

# Where to store selinux related files
SOURCE=/etc/selinux/local
BUILD=/etc/selinux/local
NAME=$1

/usr/bin/checkmodule -M -m -o ${BUILD}/${NAME}.mod ${SOURCE}/${NAME}.te
/usr/bin/semodule_package -o ${BUILD}/${NAME}.pp -m ${BUILD}/${NAME}.mod
/usr/sbin/semodule -i ${BUILD}/${NAME}.pp

/bin/rm ${BUILD}/${NAME}.mod ${BUILD}/${NAME}.pp

এটি টেমপ্লেট (.tete ফাইল) থেকে মডিউলটি তৈরি করে, একটি প্যাকেজ উত্পন্ন করে এবং মডিউলটি লোড করে।

আমরা আমাদের কনফিগারেশন ম্যানেজমেন্ট সিস্টেমের জন্য পুতুল ব্যবহার করি এবং আমরা এই সমস্ত পরিচালনা করতে পুতুলের জন্য কনফিগারেশন লিখেছিলাম।

সেলিনাক্স পুতুল মডিউল:

• http://github.com/sansnoc/puppet/tree/master/selinux

এটি বন্ধ করার কারণ এটি ডিবাগ করতে ব্যথা হতে পারে।

তবে আমরা এখন এটি বন্ধ করি না। আমরা প্রায় সর্বদা চলমান রাখি। এসইলিনাক্স সমস্যা আছে কিনা তাড়াতাড়ি যাচাই করার জন্য আমি মাঝে মধ্যে এটি বন্ধ করে দিই।

এটি এখন ডিবাগ করা অনেক সহজ, বিশেষত যদি আপনি নিজেরাই নিরীক্ষণবিহীন দিয়ে ফ্যামিলির হন। আপনার নিখুঁতভাবে অডিট 2 গলার মাধ্যমে এটি বোঝার দরকার নেই, তবে আপনি অডিট 2 নকলের সাথে যতটা ভাবছেন তার চেয়ে কিছু বেশি প্রশস্ততা শুরু করতে পারেন। কিছু SELinux কারও চেয়ে ভাল বলে জানিয়েছে।

আমি কোনও উপায়েই সেলিনাক্স বিশেষজ্ঞ নই এবং কেবল কয়েক বছর ধরে এটি ব্যবহার করে আসছি। আমি এখনও বেসিকগুলি সত্যই বুঝতে পারি না, তবে অ্যাপ্লিকেশনগুলি চালিত করার জন্য আমি যথেষ্ট জানি, যারা নেট এর সাথে সংকলিত ডিস্ট্রো এবং এলোমেলো জিনিসগুলির সাথে অন্তর্ভুক্ত রয়েছে।

প্রধান জিনিস আমি ব্যবহারের ছিল করেছি ls -lZ(প্রদর্শনী SELinux কনটেক্সট), audit2allow, chcon, semodule, getenforce, setenforceএবং Booleans। এই সরঞ্জামগুলির সাহায্যে আমি সেলইনাক্সের অধীনে চলার জন্য প্রয়োজনীয় প্রতিটি অ্যাপ্লিকেশন পেতে সক্ষম হয়েছি।

সিলিনাক্স সমস্যাটি ডিবাগ করাতে আমি তার মধ্যে একটি বড় সমস্যা পেয়েছি, যখন আমার অন্যান্য বুদ্ধিমান অবর্ণনীয় সমস্যা হয় তখন কেবল সেলইনক্স সমস্যাগুলি পরীক্ষা করা মনে রাখে। "H! SELinux !!" চেক করতে সাধারণত আমার একটু খারাপ লাগে।

বাইন্ড ম্যান পৃষ্ঠা অনুসারে সেল্টাক্স ক্রুট জেলে বাঁধাইয়ের চেয়ে অনেক বেশি নিরাপদ। আমার প্রস্তাবের চেয়ে আরও অনেক ক্লু রয়েছে এমন লোকেরাও এখন আমি অন্ধভাবে চালাচ্ছি। এবং মাঝে মধ্যে সমস্যা সত্ত্বেও সন্দেহ করা সম্ভবত এটি করা ভাল।

আমি অ্যাপআর্মারের জন্য সেলিনাক্সকে অক্ষম করেছিলাম , আমি এটি সেলিনাক্সের চেয়ে অনেক বেশি বন্ধুত্বপূর্ণ এবং বজায় রাখা সহজ বলে মনে করি।

আপনি যখন এটি Permissive মোডে চালাতে পারবেন তখন এটি বন্ধ করার কোনও কারণ নেই। এটি চলমান অ্যাপ্লিকেশনটিতে হস্তক্ষেপ করবে না এবং এটি এখনও কার্যকর সুরক্ষা লগিং সরবরাহ করবে। কেবলমাত্র ব্যতিক্রমটি ব্যবহারকারী প্রসঙ্গে: যদি আপনি অন্য একটি লিনাক্সের উদাহরণের মধ্যে ক্রোতে চলমান বিভিন্ন ব্যবহারকারীদের মধ্যে পরিবর্তন করে থাকেন তবে আপনার সমস্যা হতে পারে।

এসই লিনাক্স আগের মতো আশ্বাসহীনভাবে বন্ধুত্বপূর্ণ নয়, অন্তত এটি RHEL5 এর মতো বাণিজ্যিকভাবে সমর্থিত ডিস্ট্রোজে নেই। বেশিরভাগ অংশে আপনি এটি ছেড়ে দিতে পারেন, এবং এটি রেডহ্যাট সরবরাহিত কোনও কিছু দিয়ে ভাল হয়ে যাবে fine অন্য যে কোনও কিছুর সাথে এটি পরিবর্তনশীল হতে পারে। সমস্যাটি হ'ল এসই লিনাক্স সক্ষম থাকা অ্যাপ্লিকেশনগুলি পেতে সক্ষম পেশাদার পরিষেবাগুলি রেডহ্যাট এবং ওরাকল এর মতো সংস্থাগুলির জন্য একটি দুর্দান্ত উপার্জন স্রোত, তাই তারা সবকিছু সুন্দরভাবে ওটব করার জন্য কোনও উত্সাহ নেই।