আমরা সেলিনাক্স [বন্ধ] অক্ষম করলে কী ভুল হতে পারে

আমরা অন্য দল থেকে প্রচুর ব্যবহৃত সার্ভার উত্তরাধিকার সূত্রে পেয়েছি। তাদের মধ্যে কিছুতে এটি সেলইনাক্স সক্ষম হয়েছে, কিছু না। সেলইনাক্সের কারণে, আমরা পাসওয়ার্ডহীন এসএসএস, আমাদের ওয়েব সার্ভার ইত্যাদি সেট আপ করতে সমস্যায় পড়েছি আমরা এই স্ট্যাকেক্সেঞ্জঞ্জ সাইটে প্রায় একটি কাজ পেয়েছি , যা চালানো হচ্ছে:

restorecon -R -v ~/.ssh

তবে, যেহেতু আমরা যা করি তার জন্য আমাদের সেলিনাক্স চলার দরকার নেই, তাই আমাদের পক্ষে ডিয়ারের যে কোনও অনুমতি লাগবে তার উপরের সেন্টিমিডটি সবাই চালিয়ে নেওয়ার কথা মনে রাখার চেয়ে এটি বন্ধ করা সহজ হতে পারে।

আমরা কি সেলইনাক্সকে রাস্তায় ডাব্লু / ও-এর কোনও প্রতিক্রিয়া বন্ধ করতে পারি বা কেবলমাত্র সার্ভারটিকে পুনরায় চিত্রিত করা ভাল? একটি বিষয় লক্ষণীয়; আমাদের আইটি গ্রুপটি সত্যই ব্যস্ত তাই একেবারে প্রয়োজনীয় না হলে (খুব ভাল ব্যবসায়ের ক্ষেত্রে প্রয়োজন হবে) যদি না কোনও সার্ভার তাদের তালিকায় পুনরায় চিত্রের উচ্চতা না দেয় ... বা কেউ তাদের বোসকে স্কচ বা হুইস্কির বোতল দিয়ে ঘুষ দেয়।

আপডেট: প্রত্যেকের পরামর্শ এবং পরামর্শের জন্য ধন্যবাদ। এই সার্ভারগুলি সমস্ত অভ্যন্তরীণ ডেভ সার্ভার হিসাবে ব্যবহৃত হতে চলেছে। এই মেশিনগুলিতে বাইরের কোনও অ্যাক্সেস হবে না তাই সুরক্ষা আমাদের পক্ষে উচ্চ উদ্বেগ নয়। আমাদের বর্তমান সার্ভারগুলি যা আমরা সমস্ত ব্যবহার করছি (আমার জ্ঞানের সেরা হিসাবে) SELinux সক্ষম করা নেই। আমার ম্যানেজার সবেমাত্র যাদের অধিগ্রহণ করেছে তাদের মধ্যে কিছু এটি করে এবং সেগুলি হ'ল আমরা অক্ষম করতে চাইছি আমাদের ক্লাস্টারের সমস্ত কিছুই অভিন্ন uniform

সেলইনাক্স অপারেটিং সিস্টেমের একটি সুরক্ষা বৈশিষ্ট্য । এটি সার্ভারের কিছু অংশ অন্যান্য অংশ থেকে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে।

উদাহরণস্বরূপ, যদি আপনি একটি ওয়েব সার্ভার চালান এবং কোনও "দুর্বল" কোড রয়েছে যা আক্রমণকারীকে যথেচ্ছ কমান্ড চালানোর অনুমতি দেয় তবে সেলফিন্স এটি হ্রাস করতে সহায়তা করবে, আপনার ওয়েব সার্ভারকে ফাইলগুলিতে অ্যাক্সেস করা থেকে বিরত রেখে এটি দেখার অনুমতি নেই।

এখন আপনি সেলইনাক্স অক্ষম করতে পারেন এবং এটি কিছুতেই ভাঙ্গা উচিত নয়। সার্ভারটি স্বাভাবিক হিসাবে কাজ করবে।

তবে আপনি সুরক্ষা বৈশিষ্ট্যগুলির মধ্যে একটি অক্ষম করে দিয়েছেন।

সেলইনাক্সের বিভিন্ন মতামত রয়েছে। অনেক ক্ষেত্রে, কিছু অ্যাপ্লিকেশনগুলি সেলইনাক্সের সাথে ভাল খেলতে পারে না যাতে এই সিদ্ধান্তটি মোটা হয় (ওরাকল একটি উদাহরণ)।
সাধারণত, সেলইনাক্স আপনার সিস্টেমকে বিকৃত করতে চাইছেন এমন খারাপ লোকের পথে আরও একটি বাধা তৈরি করার একটি সুরক্ষা ব্যবস্থা।

বড় সংস্থাগুলিতে সিস্টেম প্রশাসক হিসাবে আমার আগের ভূমিকাগুলিতে ... আমি সাধারণত SELinux অক্ষম করেছি। ব্যবহারকারী, বিকাশকারী এবং পরিচালকদের দ্বারা ব্যবহৃত সমস্ত সিস্টেমে সমস্ত সেলিনাক্স ত্রুটিগুলি সন্ধান করার আমার কাছে সময় ছিল না।

জিনিসগুলি অক্ষম করার আগে, আপনি সিস্টেমে থাকা ফাইলগুলি আবার কীভাবে হওয়া উচিত তা নিয়ে পুনরায় সংযোগ দিয়ে শুরু করতে পারেন। সবচেয়ে সহজ পদ্ধতিটি আমি খুঁজে পেয়েছি হ'ল কমান্ডটি প্রবেশ করানো:

 # /sbin/fixfiles onboot

অথবা

 # touch /.autorelabel

তারপরে, পুনরায় বুট করুন এবং অপেক্ষা করুন কারণ সিস্টেমে ভ্রান্ত SELinux লেবেলগুলি যাচাই করতে এবং পুনরায় সেট করতে সিস্টেমটিকে একই পরিমাণ সময় লাগবে। এর পরে আপনি ঠিকঠাক হয়ে যাবেন যেমন এটি সার্ভারের আপনার চেষ্টা করার প্রশাসনের আগে সংশোধন করা হতে পারে এমন নন-কনফর্মিং SELinux লেবেলগুলিকে সংশোধন করে এবং সংশোধন করে।

যাইহোক, যদি এটি না হয় তবে এনফোর্সিং মোডে SELinux না থাকার কারণে সিস্টেমটির ক্ষতি হবে না। এটি সুরক্ষার মাত্র একটি অতিরিক্ত স্তর।

সহজ ভাবে বললে, বাধ্যতামূলক এক্সেস কন্ট্রোল (MAC) মেকানিজম নিষ্ক্রিয় মত SELinux- র একটি ভাল ধারণা নয় এবং একটি নিরাপত্তা-অসুবিধার আপনি করা হতে পারে কোনো অসাধু ব্যক্তি সফলভাবে পাশকাটিয়ে নাম ভিত্তিক প্রবেশাধিকার নিয়ন্ত্রণ, বৈষম্যম্যমূলক অ্যাক্সেস কন্ট্রোল (DAC) থেকে দ্বারা বাস্তবায়িত।

এটা যদি আমি থাকতাম তবে আমি এমন কিছু করতাম

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

টাইপ-লেবেল থেকে পুনরাবৃত্তভাবে নির্ধারিত সম্পর্কে অতিরিক্ত নিশ্চিত হওয়া~/.ssh

সাধারণভাবে বলতে গেলে আপনার SELinux অক্ষম করা উচিত নয়। এমন কোনও সরঞ্জাম রয়েছে যা আপনাকে বুঝতে সমস্যা হতে পারে কী ভুল হয়েছে। আমার প্রিয়টি সিলার্ট উদাহরণ ব্যবহার:

sealert -a /var/log/audit/audit.log

OFC আপনি সর্বদা SELinux কে ডিবাগের জন্য অনুমতিমূলক মোডে সেট করতে পারেন, তবে SELinux অক্ষম বা অনুমতিযুক্ত রাখা রেড হ্যাট দ্বারা গুরুতর সুরক্ষা ত্রুটি হিসাবে শেখানো হয়।