Una forma de mejorar la seguridad de su sistema Linux es agregar una capa de seguridad adicional con Selinux. Con Linux (Selinux) mejorado por la seguridad, las aplicaciones en sus sistemas Linux se aislan entre sí, protegiendo su sistema de host. Por defecto, Ubuntu usa el Aparmor, un sistema de control de acceso obligatorio que mejora la seguridad, pero puede usar el Selinux para lograr lo mismo.
Selinux es beneficioso, y en el caso de una violación de seguridad en su sistema, evita la propagación de la violación para proteger su sistema. Además, la herramienta protege los servidores web dependiendo del modo que establezca para el Selinux. Esta guía ofrece un tutorial práctico sobre cómo deshabilitar el Apparmor, instalar el selinux, habilitar los diferentes modos y deshabilitar Selinux.
Comenzando con Selinux
Tenga en cuenta que antes de continuar con Selinux, existe el riesgo de usarlo, especialmente porque puede hacer que su sistema sea inutilizable. Entonces, solo úsalo si es necesario y en este caso aplicable. Además, siempre es más seguro deshabilitar el APARMOR antes de instalar el Selinux.
Para deshabilitar el Apparmor, ejecute el siguiente comando:
1 | $ sudo systemctl stop apararmor |
Una vez que se detiene el Apparmor, reinicie su sistema.
Cómo instalar Selinux en Ubuntu
Una vez que deshabilite o elimine el AppRarmor, abra su terminal y ejecute el siguiente comando para instalar Selinux.
1 2 3 | $ sudo apt actualización |
Una vez que la instalación es exitosa, debe activar la herramienta. Puede hacerlo usando el siguiente comando:
1 | $ sudo selinux-activate |
Habilitando modos Selinux en Ubuntu
Hay tres modos diferentes que puedes usar con Selinux. El primero es deshabilitar, que hace lo mismo que su nombre. Desactiva usar el servicio Selinux. Cuando se activa Selinux, puede configurarlo en permisivo o aplicando modos. En el modo permisivo, solo se realiza el monitoreo de la interacción. Sin embargo, si desea filtrar y monitorear la interacción, use el modo de aplicación.
Comencemos por configurar el modo de ejecución. Use el siguiente comando:
1 | $ sudo selinux-config |
Alternativamente, puede usar el comando setenforce para establecer el modo de aplicación. El comando para esto es el siguiente:
1 | $ setenforce 1 |
Una vez que configure el modo, debe reiniciar su sistema para que surja efecto.
1 | $ reiniciar |
Tenga en cuenta que el proceso de reaboración comienza durante el reinicio. El sistema se reinicia normalmente una vez que está completo. Durante la reaboración, debe tener en cuenta un mensaje de advertencia como en la siguiente imagen:
Después de un reinicio exitoso, puede ejecutar el siguiente comando para verificar el estado de Selinux. Debe estar configurado para hacer cumplir.
1 | $ sestatus |
El modo de ejecución es el establecido predeterminado por Selinux. En este estado, la mayoría de las solicitudes, si no todas, se bloquean. La solución es seleccionar el modo permisivo, que registra todas las reglas violadas. Puede verificar el archivo de registro para más detalles.
Para establecer el modo permisivo, use el siguiente comando:
1 | $ setenforce 0 |
Continúe y verifique el modo con el comando setstatus o use el getenforce dominio:
1 2 3 4 5 | $ setstatus |
Con Getenforce, solo verá el nombre del modo actual, pero el setstatus muestra más detalles sobre el modo establecido actualmente.
Tenga en cuenta que debe reiniciar el sistema para cambiar entre los dos modos. Además, puede ver los modos establecidos desde el /etc/sysconfig/selinux.
Como señalamos, el modo permisivo es más flexible y no necesariamente bloquea todas las solicitudes. En cambio, mantiene un archivo de registro cuando se violan las reglas. Para acceder al archivo de registro, puede usar el siguiente comando:
1 | $ Grep Selinux/Var/Log/Audit/Audit.registro |
Para establecer el modo permisivo, use el siguiente comando:
1 | $ sudo setenforce 0 |
Cómo deshabilitar Selinux
Hemos visto cómo habilitar y establecer los diferentes modos Selinux. Pero, ¿qué tal deshabilitarlo?? La mejor opción es deshabilitarlo de los archivos de configuración de forma permanente. Para esto, abra el archivo usando un editor como Nano. Luego, cambie el modo de hacer cumplir a deshabilitado, como se muestra en el siguiente comando:
1 | $ sudo nano/etc/selinux/config |
Una vez abierto, busque el Selinux = Línea de aplicación y cámbielo a Selinux = Desactivado.
Conclusión
El AppArmor es la capa de seguridad adicional en Ubuntu y otros sistemas de Linux. Sin embargo, si prefiere usar el Selinux, hemos cubierto cómo puede instalar, habilitar y usar sus diferentes modos. Antes de instalar el Selinux, asegúrese de deshabilitar el Apparmor y reiniciar el sistema. Además, continúe con precaución al usar el Selinux para evitar estropear su sistema.