У деяких випадках немає потреби у будь-який захист. Шкідливі атаки можуть «розраховувати» зустріти на своєму шляху саме SELinux і в результаті навмисних дій проникнути крізь контур безпеки в систему. Іноді відключити SELinux необхідно, оскільки він не підтримується тими програмами, які необхідні в роботі.
Що таке SELinux
Одні називають SELinux системою маркування, інші – системою примусового контролю доступу. У будь-якому випадку, SELinux працює на рівні ядра, а його правила і політика враховують ті дозволи і заборони, які визначені над рівнем ядра операційної системи.
Розробка SELinux була спрямована на поліпшення системи безпеки і блокування шкідливих дій, які не в змозі закрити звичайна система захисту.
Якщо традиційно актуальне файл, з яким можна асоціювати все, навіть порт, то в новій системі безпеки актуальний процес. Процес утворюється завжди, коли запускається програма або користувач входить. По суті все в операційній системі можна визначити як процес.
Суттєво також і те, що багато процесів приховані і не видно адміністратора, а тим більше пересічному користувачеві. SELinux закриває цей пробіл, дозволяючи настроювати його на будь-який процес, маркуючи його.
Опціонально в лінукс-дистрибутивах SELinux включений. Наприклад, одне ціле становить пара CentOS і SELinux. Відключити останній компонент можна відразу після установки системи або, за необхідності, у будь-який час.
При налаштуванні чистої операційної системи, наприклад, під хостинг з екзотичними можливостями доцільно відключити всі критичні компоненти системи і додаткові інструменти (системні компоненти). Після того, як потрібне програмне забезпечення буде встановлено і підтверджено, можна поетапно всі включати назад.
Як відключити SELinux
Включити SELinux в потрібний режим і налаштувати необхідні політики доступу можна в будь-який час. Встановивши чисту систему, SELinux відключити можна відразу, змінивши параметр на disabled.
Зазначений параметр знаходиться в файлі config, за адресою: /etc/selinux.
Після внесення змін необхідно перезавантажити комп’ютер. Можна повністю видалити SELinux з системи, якщо в цьому є необхідність.
Особливості і можливості SELinux
Проблеми безпеки, захист від вторгнення, блокування файлів для захисту від викрадення, стандартні протоколи подій і роботи співробітників (у широкому сенсі) – повний контроль доступу. Це актуально завжди.
Звичайна система захисту успішно справлявся зі своєю роботою. Проте далеко не завжди і не всі користувачі слідують логіці роботи, яку передбачає колектив розробників операційної системи. Утворюються дірки, через які може проникнути зловмисник.
SELinux – це відповідь на деякі дірки в звичайній системі безпеки. Декларуючи як елемент захисту «процес» і пропонуючи систему політик доступу, SELinux піднімає рівень безпеки, але немає ніякої гарантії, що зміна об’єкта захисту з файлу на процес – це довготривала ідея.
Можливості SELinux налаштовуються в кожному конкретному випадку. Знає про них обмежений колектив працівників компанії. Тут знову з’являється людський фактор.
Зовсім не обов’язково старанно робити вірус, щоб нашкодити наймачеві, можна просто скористатися надійно налагодженою системою безпеки. Наприклад, ображений співробітник просить адміністратора тимчасово зупинити SELinux, так як програма, яку придбав директор компанії, не бажає ставати. Якщо адміністратор не розуміє таких банальних ідей проникнення і йде на поводу у співробітника, гріш ціна всій системі безпеки SELinux, в тому числі.
Про найнадійніших захистах
Відмінна ідея налаштувати веб-сервер на UBUNTU 18.04 або на CentOS 7. Розумно включити і налаштувати SELinux. Відмінним доповненням буде послати системних адміністраторів компанії на престижні курси з безпеки корпоративних систем і психології персоналу компанії.
Але найкращий бар’єр для будь-якого зловмисника – незнання або застарілий компонент.
Відмінні знання – прерогатива не тільки хорошого адміністратора. Хороші знання прагне мати і той, кому важливо і потрібно проникнути крізь периметр безпеки.
Використовуючи те, про що ніхто і ніколи не здогадається, можна досягти бажаного результату. В якості приманки можна використовувати SELinux, відключити який буде складно (для зловмисника), але можна. Насправді захист буде заснована на зовсім іншому функціоналі.