В некоторых случаях нет нужды в какой-либо защите. Вредоносные атаки могут «рассчитывать» встретить на своем пути именно SELinux и в результате преднамеренных действий проникнуть сквозь контур безопасности в систему. Иногда отключить SELinux необходимо, поскольку он не поддерживается теми программами, которые необходимы в работе.
Что такое SELinux
Одни называют SELinux системой маркировки, другие - системой принудительного контроля доступа. В любом случае, SELinux работает на уровне ядра, а его правила и политика учитывают те разрешения и запреты, которые определены над уровнем ядра операционной системы.
Разработка SELinux была направлена на улучшение системы безопасности и блокировку вредоносных действий, которые не в состоянии закрыть обычная система защиты.
Если традиционно актуален файл, с которым можно ассоциировать все, даже порт, то в новой системе безопасности актуален процесс. Процесс образуется всегда, когда запускается программа или входит пользователь. По сути все в операционной системе можно обозначить как процесс.
Существенно также и то, что многие процессы скрыты и не видны администратору, а тем более рядовому пользователю. SELinux закрывает этот пробел, позволяя настраивать его на любой процесс, маркируя его.
Опционально в линукс-дистрибутивах SELinux включен. Например, одно целое составляет пара CentOS и SELinux. Отключить последний компонент можно сразу после установки системы или, по необходимости, в любое время.
При настройке чистой операционной системы, например, под хостинг с экзотическими возможностями целесообразно отключить все критичные компоненты системы и дополнительные инструменты (системные компоненты). После того, как нужное программное обеспечение будет установлено и проверено, можно поэтапно все включать обратно.
Как отключить SELinux
Включить SELinux в нужный режим и настроить необходимые политики доступа можно в любое время. Установив чистую систему, SELinux отключить можно сразу, изменив параметр на disabled.
Указанный параметр находится в файле config, по адресу: /etc/selinux.
После внесения изменений необходимо перезагрузить компьютер. Можно полностью удалить SELinux из системы, если в этом есть необходимость.
Особенности и возможности SELinux
Проблемы безопасности, защита от вторжения, блокировка файлов для защиты от похищения, стандартные протоколы событий и работы сотрудников (в широком смысле) - полный контроль доступа. Это актуально всегда.
Обычная система защиты успешно справлялась со своей работой. Однако далеко не всегда и не все пользователи следуют логике работы, которую предполагает коллектив разработчиков операционной системы. Образуются бреши, через которые может проникнуть злоумышленник.
SELinux - это ответ на некоторые дыры в обычной системе безопасности. Декларируя как элемент защиты «процесс» и предлагая систему политик доступа, SELinux поднимает уровень безопасности, но нет никакой гарантии, что смена объекта защиты с файла на процесс - это долговременная идея.
Возможности SELinux настраиваются в каждом конкретном случае. Знает о них ограниченный коллектив работников компании. Здесь вновь появляется человеческий фактор.
Совершенно не обязательно старательно делать вирус, чтобы навредить нанимателю, можно просто воспользоваться надежно настроенной системой безопасности. Например, обиженный сотрудник просит администратора временно остановить SELinux, так как программа, которую приобрел директор компании, не желает становиться. Если администратор не понимает таких банальных идей проникновения и идет на поводу у сотрудника, грош цена всей системе безопасности и SELinux, в том числе.
О самых надежных защитах
Отличная идея настроить веб-сервер на UBUNTU 18.04 или на CentOS 7. Разумно включить и настроить SELinux. Отличным дополнением будет послать системных администраторов компании на престижные курсы по безопасности корпоративных систем и психологии персонала компании.
Но лучший барьер для любого злоумышленника - незнание или устаревший компонент.
Отличные знания - прерогатива не только хорошего администратора. Хорошие знания стремится иметь и тот, кому важно и нужно проникнуть сквозь периметр безопасности.
Используя то, о чем никто и никогда не догадается, можно достичь желаемого результата. В качестве приманки можно использовать SELinux, отключить который будет сложно (для злоумышленника), но можно. На самом деле защита будет основана на совершенно другом функционале.