Cara Menetapkan Kebijakan di SELinux

Salah satu alasan utama mengapa orang memilih Linux adalah keamanan yang ditawarkannya. Itulah mengapa Anda akan menemukan Linux di server dan workstation profesional. SELinux adalah salah satu fitur keamanan Linux. Ini telah menjadi bagian dari kernel Linux standar untuk beberapa waktu, dan setiap distro modern memiliki dukungan SELinux.

Ada beberapa cara berbeda untuk mengoperasikan SELinux. Ini ditentukan oleh kebijakan SELinux. Dalam panduan ini, Anda akan mempelajari lebih lanjut tentang kebijakan SELinux dan cara menetapkan kebijakan di SELinux.

Ikhtisar Kebijakan SELinux

Mari kita lihat sekilas SELinux dan kebijakannya. SELinux adalah akronim untuk "Linux yang Ditingkatkan Keamanan".” Ini terdiri dari serangkaian tambalan keamanan ke kernel Linux. SELinux awalnya dikembangkan oleh National Security Agency (NSA) dan dirilis ke komunitas pengembangan open-source pada tahun 2000 di bawah lisensi GPL. Itu digabungkan dengan kernel Linux arus utama pada tahun 2003.

SELinux menyediakan MAC (Mandatory Access Control) daripada DAC (Discretionary Access Control) default. Ini memungkinkan penerapan beberapa kebijakan keamanan yang tidak mungkin diterapkan sebaliknya.

Kebijakan SELinux adalah seperangkat aturan yang memandu mesin keamanan SELinux. Kebijakan mendefinisikan jenis untuk objek file dan domain untuk proses. Peran digunakan untuk membatasi akses ke domain. Identitas pengguna menentukan peran apa yang dapat dicapai.
Ada dua kebijakan SELinux yang tersedia:

• Ditargetkan: Kebijakan default. Menerapkan kontrol akses ke proses yang ditargetkan. Proses berjalan dalam domain terbatas di mana proses memiliki akses terbatas ke file. Jika proses terbatas dikompromikan, kerusakan dikurangi. Dalam hal layanan, hanya layanan tertentu yang ditempatkan ke dalam domain ini.
• MLS: Singkatan dari Multi-Level Security. Lihat dokumentasi Red Hat tentang kebijakan MLS SELinux.

Proses yang tidak ditargetkan akan berjalan di domain yang tidak dibatasi. Proses yang berjalan di domain yang tidak dibatasi menikmati akses yang hampir lengkap. Jika proses seperti itu dikompromikan, SELinux tidak menawarkan mitigasi. Penyerang dapat memperoleh akses ke seluruh sistem dan sumber daya. Namun, aturan DAC masih berlaku untuk domain yang tidak dibatasi.
Berikut ini adalah daftar singkat dari contoh domain yang tidak dibatasi:

• domain initrc_t: program init
• domain kernel_t: proses kernel
• domain unconfined_t: pengguna masuk ke sistem Linux

Mengubah Kebijakan SELinux

Contoh berikut dilakukan di CentOS 8. Semua perintah dalam artikel ini dijalankan sebagai pengguna root. Untuk distro lain, silakan lihat tutorial yang sesuai tentang cara mengaktifkan SELinux.
Untuk mengubah kebijakan di SELinux, mulailah dengan memeriksa status SELinux. Status default harus SELinux diaktifkan dalam mode "Menegakkan" dengan kebijakan "bertarget".

$ status

Untuk mengubah kebijakan SELinux, buka file konfigurasi SELinux di editor teks favorit Anda.

$ vim /etc/selinux/config

Di sini, target kami adalah variabel "SELINUXTYPE" yang mendefinisikan kebijakan SELinux. Seperti yang Anda lihat, nilai default adalah "ditargetkan".”

Semua langkah yang ditunjukkan dalam contoh ini dilakukan di CentOS 8. Dalam kasus CentOS, kebijakan MLS tidak diinstal secara default. Ini juga mungkin terjadi di distro lain other. Pelajari cara mengkonfigurasi SELinux di Ubuntu di sini. Pastikan untuk menginstal program terlebih dahulu. Dalam kasus Ubuntu, CentOS, openSUSE, Fedora, Debian, dan lainnya, nama paketnya adalah “selinux-policy-mls.”

$ dnf menginstal selinux-policy-mls

Dalam hal ini, kami akan mengalihkan kebijakan ke MLS. Ubah nilai variabel yang sesuai.

$ SELINUXTYPE=mls

Simpan file dan keluar dari editor. Untuk menerapkan perubahan ini, Anda harus mem-boot ulang sistem.

$ reboot

Verifikasi perubahan dengan mengeluarkan yang berikut:.

$ status

Mengubah Mode SELinux

SELinux dapat beroperasi dalam tiga mode berbeda. Mode ini menentukan bagaimana kebijakan ditegakkan.

• Diberlakukan: tindakan apa pun terhadap kebijakan diblokir dan dilaporkan dalam log audit.
• Permisif: tindakan apa pun terhadap kebijakan hanya dilaporkan dalam log audit.
• Dinonaktifkan: SELinux dinonaktifkan.

Untuk sementara mengubah mode di SELinux, gunakan perintah setenforce. Jika sistem di-boot ulang, sistem akan kembali ke pengaturan default.

$ setenforce Menegakkan

$ setenforced Permisif

Untuk mengubah mode di SELinux secara permanen, Anda harus men-tweak file konfigurasi SELinux.

$ vim /etc/selinux/config

Simpan dan tutup editor. Nyalakan ulang sistem untuk menerapkan perubahan.
Anda dapat memverifikasi perubahan menggunakan perintah sestatus.

$ status

Kesimpulan

SELinux adalah mekanisme yang kuat untuk menegakkan keamanan. Semoga panduan ini membantu Anda mempelajari cara mengonfigurasi dan mengelola perilaku SELinux.
Selamat berkomputasi!