লিনাক্সে সেলইনাক্স বা অ্যাপআর্মার দিয়ে বাধ্যতামূলক অ্যাক্সেস নিয়ন্ত্রণ কার্যকর করা হচ্ছে
স্ট্যান্ডার্ড ugo/rwx
অনুমতি এবং অ্যাক্সেস কন্ট্রোল তালিকার দ্বারা সরবরাহিত সুরক্ষা ব্যবস্থার সীমাবদ্ধতাগুলি অতিক্রম করতে এবং যুক্তরাষ্ট্রে জাতীয় সুরক্ষা সংস্থা (এনএসএ) একটি নমনীয় ম্যান্ডেটরি অ্যাক্সেস কন্ট্রোল (এমএসি) পদ্ধতিটি তৈরি করেছে SELinux (সুরক্ষা বর্ধিত লিনাক্সের জন্য সংক্ষিপ্ত) হিসাবে অন্যান্য বিষয়গুলির মধ্যে সীমাবদ্ধ করার জন্য, সিস্টেম অবজেক্টগুলিতে (যেমন ফাইল, ডিরেক্টরি, নেটওয়ার্ক পোর্ট ইত্যাদি) অ্যাক্সেস বা অন্যান্য ক্রিয়াকলাপগুলি অ্যাক্সেস করতে বা সঞ্চালনের প্রক্রিয়া সক্ষমতা যতটা সম্ভব সম্ভব, তবুও এই মডেলটি পরে পরিবর্তন করার অনুমতি দেয়।
অপর একটি জনপ্রিয় এবং বহুল ব্যবহৃত ম্যাক অ্যাপ্লেমার, যা সেলইনাক্স সরবরাহ করা বৈশিষ্ট্যগুলি ছাড়াও একটি শেখার মোড অন্তর্ভুক্ত করে যা একটি নির্দিষ্ট অ্যাপ্লিকেশনটি কীভাবে আচরণ করে তা সিস্টেমটিকে "শিখতে" এবং নিরাপদ অ্যাপ্লিকেশন ব্যবহারের জন্য প্রোফাইলগুলি কনফিগার করে সীমা নির্ধারণ করতে দেয়।
CentOS 7-এ, সেলইনাক্স নিজেই কার্নেলের সাথে সংযুক্ত হয়ে ডিফল্টরূপে প্রয়োগকরণ মোডে সক্ষম করা হয়েছে (পরবর্তী বিভাগে আরও এটি), অ্যাপসর্ম ব্যবহার করে ওপেনসুএস এবং উবুন্টুর বিপরীতে।
এই নিবন্ধে আমরা সেলইনাক্স এবং অ্যাপআর্মারের প্রয়োজনীয়তা এবং আপনার নির্বাচিত বিতরণের উপর নির্ভর করে আপনার সুবিধার জন্য এই সরঞ্জামগুলির মধ্যে কীভাবে ব্যবহার করব তা ব্যাখ্যা করব।
সেলইনাক্সের পরিচিতি এবং এটি কীভাবে CentOS 7 এ ব্যবহার করবেন
সুরক্ষা বর্ধিত লিনাক্স দুটি ভিন্ন উপায়ে কাজ করতে পারে:
- প্রয়োগ করা হচ্ছে: সেলইনাক্স সিলিনাক্স নীতি বিধিগুলির ভিত্তিতে অ্যাক্সেস অস্বীকার করে, সুরক্ষা ইঞ্জিনকে নিয়ন্ত্রণ করে এমন গাইডলাইনগুলির একটি সেট
- অনুমতিপ্রাপ্ত: SELinux অ্যাক্সেস অস্বীকার করে না, তবে এমন কর্মের জন্য অস্বীকৃত লগইন করা হয় যেগুলি প্রয়োগকারী মোডে চলমান থাকলে অস্বীকার করা হত
সেলইনাক্সও অক্ষম করা যায়। যদিও এটি নিজেই অপারেশন মোড নয়, এটি এখনও একটি বিকল্প। যাইহোক, এই সরঞ্জামটি কীভাবে ব্যবহার করবেন তা শিখতে কেবল এড়িয়ে যাওয়া থেকে ভাল। ইহা মনে রেখো!
সেলইনাক্সের বর্তমান মোডটি প্রদর্শনের জন্য getenfor
ব্যবহার করুন। আপনি যদি অপারেশন মোড টগল করতে চান তবে সেটেনফোর্স 0
(এটিকে অনুমতিতে সেট করতে) বা সেটেনফোর্স 1
(এনফোর্সিং) ব্যবহার করুন।
যেহেতু এই পরিবর্তনটি পুনরায় বুট থেকে বাঁচতে পারবেন না, আপনার/etc/সেলিনাক্স/কনফিগারেশন ফাইলটি সম্পাদনা করতে হবে এবং সেলিনাক্স ভেরিয়েবলটি প্রয়োগকারী
, অনুমতিযুক্ত
বা <কোডে সেট করতে হবে রিবুটগুলি জুড়ে অধ্যবসায় অর্জন করতে> অক্ষম
সাইড নোটে, জেনটেনফোর্স
অক্ষম করে ফিরলে, আপনাকে কাঙ্ক্ষিত অপারেশন মোড এবং পুনরায় বুট করে/ইত্যাদি/সেলিনাক্স/কনফিগার করতে হবে। অন্যথায়, আপনি সেটিংফোর্স
সাথে অপারেশন মোড সেট করতে (বা টগল) করতে পারবেন না।
অপব্যবহার করছে বা প্রত্যাশিতভাবে কাজ করছে না এমন কোনও অ্যাপ্লিকেশন সমস্যা সমাধানের জন্য সেটেনফোর্স
এর সাধারণ ব্যবহারগুলির মধ্যে একটি সেলইনাক্স মোডের মধ্যে (অনুমতি দেওয়া বা অন্যভাবে চারপাশে অন্যদিকে) মধ্যে টগল করে। আপনি যদি সেলইনাক্সকে পার্মিসিভ মোডে সেট করার পরে যদি এটি কাজ করে তবে আপনি সেল্ইনাক্স অনুমতি সংক্রান্ত সমস্যার দিকে নজর রেখে আত্মবিশ্বাসী হতে পারবেন।
দুটি ক্লাসিক ক্ষেত্রে যেখানে আমরা সম্ভবত সেলইনাক্সকে মোকাবেলা করব তা হ'ল:
- ডিমন শোনার ডিফল্ট পোর্ট পরিবর্তন করা
- ভার্চুয়াল হোস্টের জন্য/var/www/html এর বাইরে ডকুমেন্টরুট নির্দেশ সেট করা
আসুন নীচের উদাহরণগুলি ব্যবহার করে এই দুটি ক্ষেত্রে একবার দেখুন।
বেশিরভাগ সিস্টেম অ্যাডমিনিস্ট্রেটররা তাদের সার্ভারগুলি সুরক্ষিত করার জন্য প্রথমে যে কাজটি করেন তা হ'ল এসএসএইচ ডেমন যে পোর্টটি শোনেন, বেশিরভাগ বন্দর স্ক্যানার এবং বহিরাগত আক্রমণকারীদের নিরুৎসাহিত করার জন্য the এটি করার জন্য, আমরা নিম্নলিখিত বন্দর নম্বরটি অনুসরণ করে/etc/ssh/sshd_config এ পোর্ট নির্দেশিকা ব্যবহার করি (আমরা এই ক্ষেত্রে 9999 পোর্টটি ব্যবহার করব):
Port 9999
পরিষেবাটি পুনঃসূচনা করার চেষ্টা করার পরে এবং এর স্থিতি পরীক্ষা করার পরে আমরা দেখতে পাব যে এটি শুরু করতে ব্যর্থ হয়েছে:
# systemctl restart sshd # systemctl status sshd
আমরা যদি /var/log/audit/audit.log একবার দেখে নিই, আমরা দেখতে পাবো যে এসএইচডিটি সেলুনাক্স দ্বারা 9999 পোর্টটি শুরু করতে বাধা দেওয়া হয়েছিল কারণ এটি জেবস ম্যানেজমেন্ট সার্ভিসের জন্য সংরক্ষিত বন্দর (সেলইনাক্স লগ বার্তাগুলিতে শব্দটি অন্তর্ভুক্ত করে “ এভিসি ”যাতে তারা অন্যান্য বার্তাগুলি থেকে সহজেই সনাক্ত করা যায়):
# cat /var/log/audit/audit.log | grep AVC | tail -1
এই মুহুর্তে বেশিরভাগ লোকেরা সম্ভবত সেলিনাক্স অক্ষম করবে তবে আমরা তা করব না। আমরা দেখতে পাব যে সেলইনাক্সের জন্য একটি উপায় রয়েছে এবং একসাথে মিলেমিশে থাকার জন্য আলাদা বন্দরে শোনার জন্য। আপনার নীতিমালিকাগুলি-পাইথন প্যাকেজটি ইনস্টল এবং চালিত হয়েছে তা নিশ্চিত করুন:
# yum install policycoreutils-python
SELinux sshd- কে শুনতে দেয় এমন পোর্টগুলির একটি তালিকা দেখতে। নিম্নলিখিত চিত্রটিতে আমরা দেখতে পাচ্ছি যে 9999 পোর্টটি অন্য পরিষেবার জন্য সংরক্ষিত ছিল এবং তাই আমরা আপাতত অন্য পরিষেবা চালাতে এটি ব্যবহার করতে পারি না:
# semanage port -l | grep ssh
অবশ্যই আমরা এসএসএইচের জন্য অন্য একটি বন্দর বেছে নিতে পারি, তবে আমরা যদি নিশ্চিত হয়ে থাকি যে আমাদের কোনও জেবিস-সম্পর্কিত পরিষেবার জন্য এই নির্দিষ্ট মেশিনটি ব্যবহার করার দরকার নেই, তবে আমরা বিদ্যমান এসইএলিনাক্স নিয়মটি সংশোধন করতে পারি এবং পরিবর্তে সেই বন্দরটি এসএসএইচে অর্পণ করতে পারি:
# semanage port -m -t ssh_port_t -p tcp 9999
এর পরে, আমরা পোর্টটি সঠিকভাবে নির্ধারিত হয়েছে কিনা তা পরীক্ষা করার জন্য প্রথম সেমেনেজ কমান্ডটি ব্যবহার করতে পারি, বা -lC
বিকল্পগুলি (তালিকা কাস্টমটির জন্য সংক্ষিপ্ত):
# semanage port -lC # semanage port -l | grep ssh
আমরা এখন এসএসএইচ পুনরায় চালু করতে পারি এবং 9999 পোর্টটি ব্যবহার করে পরিষেবাতে সংযোগ করতে পারি Note নোট করুন যে এই পরিবর্তনটি পুনরায় বুট থেকে বাঁচবে।
ডকুমেন্টরুট হিসাবে/var/www/html ব্যতীত অন্য কোনও ডিরেক্টরি ব্যবহার করে যদি আপনাকে অ্যাপাচি ভার্চুয়াল হোস্ট সেট আপ করতে হয় তবে (উদাহরণস্বরূপ,/ওয়েবসরভি/সাইটগুলি/গ্যাব্রিয়েল/পাবলিক_এইচটিএমএল) বলুন:
DocumentRoot “/websrv/sites/gabriel/public_html”
অ্যাপাচি বিষয়বস্তু পরিবেশন করতে অস্বীকার করবে কারণ সূচিপত্রের HTML.tml কে ডিফল্ট_টেল সেলিনাক্স টাইপের সাথে লেবেল করা হয়েছে, যা অ্যাপাচি অ্যাক্সেস করতে পারে না:
# wget http://localhost/index.html # ls -lZ /websrv/sites/gabriel/public_html/index.html
পূর্ববর্তী উদাহরণের মতো, আপনি নিচের কমান্ডটি যাচাই করতে ব্যবহার করতে পারেন এটি সত্যই সেলইনাক্স সম্পর্কিত সমস্যা:
# cat /var/log/audit/audit.log | grep AVC | tail -1
/ ওয়েবএসআরভি/সাইটগুলি/গ্যাব্রিয়েল/পাবলিক_এইচটিএমএলের লেবেল পুনরাবৃত্তভাবে httpd_sys_content_t
এ পরিবর্তন করতে, করুন:
# semanage fcontext -a -t httpd_sys_content_t "/websrv/sites/gabriel/public_html(/.*)?"
উপরের কমান্ডটি অ্যাপাচি-কে কেবল সেই ডিরেক্টরি এবং এর সামগ্রীগুলিতে পঠনযোগ্য অ্যাক্সেসের অনুমতি দেবে।
অবশেষে, নীতিটি প্রয়োগ করতে (এবং অবিলম্বে লেবেল পরিবর্তন কার্যকর করার জন্য) করুন:
# restorecon -R -v /websrv/sites/gabriel/public_html
এখন আপনি ডিরেক্টরি অ্যাক্সেস করতে সক্ষম হওয়া উচিত:
# wget http://localhost/index.html
SELinux সম্পর্কিত আরও তথ্যের জন্য, ফেডোরা 22 SELinux এবং প্রশাসক গাইড দেখুন Administ