आप SELinux को स्थापित और कार्यान्वित करके अपने Linux सिस्टम की सुरक्षा में सुधार कर सकते हैं। यह सिस्टम पर एप्लिकेशन को अलग करके और होस्ट को सुरक्षित करके सुरक्षा की एक अतिरिक्त परत प्रदान करता है।
डिफ़ॉल्ट रूप से, Ubuntu AppArmor, एक अन्य अनिवार्य अभिगम नियंत्रण प्रणाली का उपयोग करता है। अपने Linux सिस्टम को और अधिक सुरक्षित बनाने के लिए, आप इसके बजाय SELinux का उपयोग कर सकते हैं। आइए देखें कि आप कुछ बुनियादी लिनक्स कमांड का उपयोग करके उबंटू पर SELinux को कैसे स्थापित और कॉन्फ़िगर कर सकते हैं।
सेलिनक्स क्या है?
सिक्योरिटी-एन्हांस्ड लिनक्स (SELinux) एक लिनक्स कर्नेल सुरक्षा मॉड्यूल है जो अनिवार्य एक्सेस कंट्रोल (मैक) सहित एक्सेस कंट्रोल सुरक्षा नीतियों का समर्थन करने के लिए एक तंत्र प्रदान करता है।
SELinux Linux के लिए एक सुरक्षा वृद्धि है जिसमें कर्नेल और उपयोगकर्ता उपकरण में संशोधन शामिल हैं। यह सुरक्षा निर्णयों के कार्यान्वयन को सुरक्षा नीति से अलग करता है और नीति लागू करने की प्रक्रिया को सरल करता है।
उबंटू पर सेलिनक्स कैसे स्थापित करें
यहाँ एक Ubuntu मशीन पर SELinux को स्थापित करने के चरण दिए गए हैं:
चरण 1: उबंटू को अपडेट और अपग्रेड करें
इससे पहले कि आप SELinux को स्थापित करना शुरू करें, अपने सिस्टम को अपडेट और अपग्रेड करें ताकि आप बिना भागे नए एप्लिकेशन को आसानी से इंस्टॉल कर सकें टूटे या पुराने पैकेजों से कोई परेशानी.
उबंटू को अपडेट और अपग्रेड करने के लिए, टर्मिनल को दबाकर खोलें Ctrl + ऑल्ट + टी, और भाग खड़ा हुआ:
सुडो उपयुक्त-प्राप्त करें अद्यतन && उपयुक्त-पानाउन्नत करना
चरण 2: Ubuntu पर AppArmor को रोकें और निकालें
SELinux को स्थापित करने से पहले आपको एक और चीज़ की आवश्यकता है या तो AppArmor को अक्षम करें या इसे पूरी तरह से हटा दें।
AppArmor को अक्षम करने के लिए, सबसे पहले, systemctl उपयोगिता का उपयोग करके सेवा बंद करें:
सुडो सिस्टमक्टल रुकना एपआर्मर
एक बार जब आप सेवा बंद कर देते हैं, तो इसके साथ इसकी स्थिति सत्यापित करें:
systemctl स्थिति apparmor
अब आप चलाकर AppArmor को आसानी से अक्षम कर सकते हैं:
सुडो सिस्टमक्टल अक्षम करना एपआर्मर
यह ठीक है अगर आप केवल सेवा को अक्षम करना चाहते हैं और इसे हटाना नहीं चाहते हैं। हालाँकि, यदि आप इसे भी हटाना चाहते हैं, तो निष्पादित करें:
सुडो उपयुक्त-पाना एपर्मर -वाई को हटा दें
परिवर्तन प्रभावी होने के लिए, अपनी उबंटू मशीन को रिबूट करें:
सुडो रिबूट
चरण 3: उबंटू पर सेलिनक्स स्थापित करें
SELinux को स्थापित करने से पहले, आपको पता होना चाहिए कि इसकी स्थापना में जोखिम शामिल है। सेवा आपके सिस्टम को अस्थिर कर सकती है, इसलिए सुनिश्चित करें आगे बढ़ने से पहले अपने सिस्टम का बैकअप लें इसके साथ।
यदि आप एक वर्चुअल वातावरण का उपयोग कर रहे हैं, तो अपने सिस्टम में कोई भी बदलाव करने से पहले उबंटु वर्चुअल मशीन (वीएम) का एक स्नैपशॉट लें।
SELinux और इसकी आवश्यक निर्भरताओं को Ubuntu पर स्थापित करने के लिए, चलाएँ:
सुडो उपयुक्त-पाना पॉलिसीकोरुटिल्स सेलिनक्स-यूटिल्स सेलिनक्स-बेसिक्स -वाई स्थापित करें
SELinux और इसकी निर्भरताओं को स्थापित करने के बाद, सेवा को निम्न का उपयोग करके सक्रिय करें:
सुडो सेलिनक्स-सक्रिय
चरण 4: उबंटू पर SELinux मोड सेट करें
SELinux में चार अलग-अलग मोड उपलब्ध हैं:
- अक्षम मोड
- मोड सक्षम करें
- अनुमेय मोड
- प्रवर्तन मोड
पहला मोड, अक्षम, इसके नाम से बताता है कि यह किस उद्देश्य से कार्य करता है। यदि आपने SELinux मोड को अक्षम करने के लिए सेट किया है, तो इसका अर्थ है कि सेवा आपके सिस्टम पर सक्रिय नहीं है। दूसरी ओर, सक्षम मोड इसके विपरीत है, जिसका अर्थ है कि SELinux सेवा आपके सिस्टम पर चल रही है।
जब SELinux मोड को सक्षम करने के लिए सेट किया जाता है, तो आप अनुमति देने वाले या लागू करने वाले मोड का उपयोग कर सकते हैं। आपको अनुमति मोड का उपयोग तब करना चाहिए जब आपको केवल इंटरैक्शन की निगरानी करने की आवश्यकता हो। लेकिन अगर आप इंटरेक्शन को फ़िल्टर करने के साथ-साथ मॉनिटर करना चाहते हैं, तो एनफोर्सिंग मोड का उपयोग करें।
SELinux मोड को लागू करने के लिए सेट करने के लिए, निष्पादित करें:
sudo selinux-config-enforceing
मोड को लागू करने के लिए सेट करने के बजाय आप इस कमांड का उपयोग भी कर सकते हैं:
सेटनफोर्स 1
बदलावों को अपडेट करने के लिए, अपने सिस्टम को रीबूट करें:
सुडो रिबूट
सिस्टम रीबूट होने के बाद, यह सुनिश्चित करने के लिए SELinux की स्थिति जांचें कि यह सक्षम किया गया है:
setstatus
यदि आप मोड को अनुमेय पर सेट करना चाहते हैं, तो इसका उपयोग करें:
सेटनफोर्स 0
मोड बदलने के बाद, आपको हमेशा रीबूट करना चाहिए।
सुडो रिबूट
सेवा की स्थिति की जाँच करने और आपके द्वारा अभी-अभी किए गए परिवर्तनों को सत्यापित करने के लिए दोनों आदेशों में से किसी एक का उपयोग करें:
setstatus
getenforce
getenforce आदेश केवल टर्मिनल पर वर्तमान मोड को प्रिंट करता है। हालाँकि, सेटस्टैटस कमांड उस मोड के बारे में अधिक विवरण देता है जो वर्तमान में आपके सिस्टम पर सेट है।
आप एक्सेस करके वर्तमान मोड भी देख सकते हैं /etc/sysconfig/selinux फ़ाइल।
लागू करने की तुलना में अनुमेय मोड अधिक लचीला है। यह मोड सभी अनुरोधों को अवरुद्ध नहीं करता है और नियम उल्लंघन होने पर ईवेंट को संग्रहीत करने के लिए एक लॉग फ़ाइल रखता है।
उबंटू पर SELinux लॉग फ़ाइल तक पहुँचना
आपको इसमें SELinux लॉग मिलेंगे हिसाब सूचि फ़ाइल में संग्रहीत /var/log/audit निर्देशिका।
SELinux लॉग देखने के लिए, दौड़ें:
ग्रेप सेलिनक्स /वर/log/audit/audit.log
Ubuntu पर SELinux को कैसे निष्क्रिय करें
आइए अब देखें कि Ubuntu पर SELinux को कैसे हटाएं या अक्षम करें। ऐसा करने के लिए आप दो विधियों का उपयोग कर सकते हैं:
1. SELinux को अस्थायी रूप से अक्षम करें
जब आप SELinux को अस्थायी रूप से अक्षम करते हैं, तो आप तुरंत इसके प्रवर्तन को रोक देते हैं और SELinux को निष्क्रिय अवस्था में तब तक जारी रखते हैं जब तक कि अगला सिस्टम रिबूट न हो जाए। रीबूट के बाद, SELinux प्रवर्तन में वापस आ जाएगा।
SELinux को अस्थायी रूप से अक्षम करने के लिए, सबसे पहले, आपको रूट उपयोक्ता बनने की आवश्यकता है:
सुडो -आई
अब SELinux को इसके साथ अक्षम करें:
गूंज 0 > /selinux/लागू
आप वर्तमान सत्र के लिए SELinux को अक्षम करने के बजाय सेटनफोर्स टूल का भी उपयोग कर सकते हैं:
सेटनफोर्स 0
2. SELinux को स्थायी रूप से अक्षम करें
आप इसकी कॉन्फ़िगरेशन फ़ाइल का उपयोग करके SELinux को स्थायी रूप से अक्षम भी कर सकते हैं ताकि यह प्रत्येक रीबूट के बाद प्रवर्तन में वापस न आए।
SELinux को अक्षम करने के लिए, में स्थित कॉन्फ़िगरेशन फ़ाइल खोलें /etc/selinux/config निर्देशिका:
सूडो नैनो /etc/selinux/config
रेखा की तलाश करें "सेलिनक्स = लागू करना"फ़ाइल सामग्री में और इसे" में बदलेंसेलिनक्स = अक्षम”.
एक बार हो जाने के बाद, फ़ाइल को दबाकर सहेजें और बाहर निकलें सीटीआरएल + एक्स, तब वाई, और मारा प्रवेश करना.
Ubuntu पर SELinux को कैसे अनइंस्टॉल करें
यदि आप अब SELinux का उपयोग नहीं करना चाहते हैं और अस्थिरता के मुद्दों के कारण इसे हटाने की आवश्यकता है, तो चलाएँ:
सुडो उपयुक्त-पाना पॉलिसीकोरुटिल्स सेलिनक्स-यूटिल्स सेलिनक्स-बेसिक्स -वाई स्थापित करें
उपर्युक्त आदेश आपके सिस्टम से SELinux और इसकी निर्भरताओं को पूरी तरह से हटा देगा।
SELinux के प्रयोग से Linux में अतिरिक्त सुरक्षा जोड़ें
SELinux सुरक्षा भंग के प्रसार को सीमित करके अतिरिक्त सुरक्षा प्रदान कर सकता है। इसके अतिरिक्त, यह आपके द्वारा चयनित SELinux मोड के आधार पर वेब सर्वर को सुरक्षित कर सकता है। आप या तो मोड को अनुमेय या लागू करने के लिए सेट कर सकते हैं।
इसके अलावा, अन्य उपाय भी हैं जो आप अपने लिनक्स सिस्टम को सुरक्षित रखने के लिए कर सकते हैं जैसे मजबूत पासवर्ड का उपयोग करना। apg, gpg, pwgen, आदि जैसे कई कमांड-लाइन टूल्स का उपयोग करके आप अपनी लिनक्स मशीन को आपके लिए मजबूत पासवर्ड बनाने के लिए कह सकते हैं।