Ero sivun ”Security-Enhanced Linux” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
Ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa
Rivi 8: Rivi 8:
}}
}}


'''SELinux''' (''Security-Enhanced Linux'') on [[wikipedia:fi:NSA|NSA]]:n kehittämä turvallisuusjärjestelmä, joka rajoittaa ohjelmien toimintaoikeuksia niille kirjoitettujen sääntöjen mukaan. Tarkoituksena on estää ohjelmia suorittamasta vaarallisia toimintoja, joko tarkoituksella tai esimerkiksi puskuriylivuotojen kautta. SELinux on käytössä useimmissa [[Fedora]]-pohjaisissa jakeluissa kuten [[RHEL]]-, [[CentOS]]-, ja [[Scientific Linux]] -jakeluissa.
'''SELinux''' (''Security-Enhanced Linux'') on [[wikipedia:fi:NSA|NSA]]:n kehittämä turvallisuusjärjestelmä, joka rajoittaa ohjelmien toimintaoikeuksia niille kirjoitettujen sääntöjen mukaan. Tarkoituksena on estää ohjelmia suorittamasta vaarallisia toimintoja, joko tarkoituksella tai esimerkiksi puskuriylivuotojen kautta. SELinux on käytössä useimmissa [[Fedora]]-pohjaisissa jakeluissa, kuten [[RHEL]]-, [[CentOS]]-, ja [[Scientific Linux]] -jakeluissa.
 
==Käyttö==
{{Oikeudet}}
===Tilat===
SELinuxilla on kolme eri tilaa: <tt>enforcing</tt>, <tt>permissive</tt> ja <tt>disabled</tt>. Enforcing pakottaa SELinuxin politiikan koko järjestelmään ja pitää huolta siitä että käyttäjien ja prosessien luvattomat toiminnot estetään ja kirjoitetaan lokiin. Permissive ei estä luvattomia toimintoja, mutta kirjoittaa ne lokitiedostoon. Permissive on hyvä tapa tutkia ja varmistaa SELinuxin toimivuus ennen käyttöönottoa. Disabled poistaa SELinuxin kokonaan käytöstä.
 
SELinuxin tilan voi katsoa esimerkiksi <tt>getenforce</tt> tai <tt>sestatus</tt> -komennoilla, joista <tt>sestatus</tt> näyttää enemmän tietoa,
$ getenforce
Enforcing
 
===Käyttöönotto===
SELinuxin asetustiedosto on <tt>/etc/selinux/config</tt>. SELinux voidaan ottaa käyttöön muokkaamalla asetustiedostoa asettamalla sinne haluttu tila.
SELINUX=enforcing
Tietokone pitää käynnistää uudelleen jotta asetukset astuvat voimaan. Tämän jälkeen SELinuxin lokia voidaan tarkastella <tt>/var/log/messages</tt> -tiedostosta. Esimerkiksi jos SELinux estää jonkun prosessin toiminnan, voidaan se tarkastaa lokista:
# cat /var/log/messages | grep "SELinux is preventing"


[[Luokka:Tietoturva]]
[[Luokka:Tietoturva]]

Versio 2. tammikuuta 2016 kello 23.32

SELinux
Käyttöliittymä teksti
Lisenssi GPL
Kotisivu selinuxproject.org

SELinux (Security-Enhanced Linux) on NSA:n kehittämä turvallisuusjärjestelmä, joka rajoittaa ohjelmien toimintaoikeuksia niille kirjoitettujen sääntöjen mukaan. Tarkoituksena on estää ohjelmia suorittamasta vaarallisia toimintoja, joko tarkoituksella tai esimerkiksi puskuriylivuotojen kautta. SELinux on käytössä useimmissa Fedora-pohjaisissa jakeluissa, kuten RHEL-, CentOS-, ja Scientific Linux -jakeluissa.

Käyttö

Komennot, jotka alkavat $-merkillä suoritetaan tavallisena käyttäjänä ja komennot, jotka alkavat #-merkillä suoritetaan pääkäyttäjänä. Katso myös su, sudo ja doas.

Tilat

SELinuxilla on kolme eri tilaa: enforcing, permissive ja disabled. Enforcing pakottaa SELinuxin politiikan koko järjestelmään ja pitää huolta siitä että käyttäjien ja prosessien luvattomat toiminnot estetään ja kirjoitetaan lokiin. Permissive ei estä luvattomia toimintoja, mutta kirjoittaa ne lokitiedostoon. Permissive on hyvä tapa tutkia ja varmistaa SELinuxin toimivuus ennen käyttöönottoa. Disabled poistaa SELinuxin kokonaan käytöstä.

SELinuxin tilan voi katsoa esimerkiksi getenforce tai sestatus -komennoilla, joista sestatus näyttää enemmän tietoa,

$ getenforce 
Enforcing

Käyttöönotto

SELinuxin asetustiedosto on /etc/selinux/config. SELinux voidaan ottaa käyttöön muokkaamalla asetustiedostoa asettamalla sinne haluttu tila.

SELINUX=enforcing

Tietokone pitää käynnistää uudelleen jotta asetukset astuvat voimaan. Tämän jälkeen SELinuxin lokia voidaan tarkastella /var/log/messages -tiedostosta. Esimerkiksi jos SELinux estää jonkun prosessin toiminnan, voidaan se tarkastaa lokista:

# cat /var/log/messages | grep "SELinux is preventing"