Territorio Móvil

Tutorial de SELinux en Ubuntu

Una forma de mejorar la seguridad de su sistema Linux es agregar una capa adicional de seguridad con SELinux. Security-Enhanced Linux (SELinux) aísla las aplicaciones en sus sistemas Linux entre sí, protegiendo su sistema host. Por defecto, Ubuntu usa el AppArmor, un sistema de control de acceso obligatorio que aumenta la seguridad, pero puedes usar SELinux para lograr lo mismo. SELinux es beneficioso y, en caso de una brecha de seguridad en su sistema, evitará que la brecha se propague para proteger su sistema. Además, la herramienta protege los servidores web según el modo que haya configurado para SELinux. Esta guía proporciona un tutorial práctico sobre cómo deshabilitar AppArmor, instalar SELinux, habilitar los diferentes modos y deshabilitar SELinux.

Contenidos

Primeros pasos con SELinux

Tenga en cuenta que usar SELinux es un riesgo antes de continuar con SELinux, especialmente porque puede inutilizar su sistema. Así que solo utilícelo si es necesario y en tal caso aplicable. Además, siempre es más seguro desactivar AppArmor antes de instalar SELinux. Ejecute el siguiente comando para deshabilitar AppArmor:

1 Detener $ sudo systemctl apparmor

Una vez que AppArmor se detenga, reinicie su sistema.

Cómo instalar SELinux en Ubuntu

Después de deshabilitar o eliminar AppArmor, abra su terminal y ejecute el siguiente comando para instalar SELinux.

123 $ sudo apt update$ sudo apt install policycoreutils selinux-utils selinux-basics

Después de una instalación exitosa, debe activar la herramienta. Puedes hacer esto con el siguiente comando:

Habilitación de los modos SELinux en Ubuntu

Hay tres modos diferentes que puede usar con SELinux. El primero es deshabilitar, que hace lo mismo que su nombre. Deshabilita el uso del servicio SELinux. Si SELinux está habilitado, puede configurarlo para permitir o forzar modos. En el modo permisivo, solo se monitorea la interacción. Sin embargo, si desea filtrar y monitorear la interacción, use el modo de aplicación. Comencemos con la configuración del modo de aplicación. Usa el siguiente comando:

1 $ sudo selinux-config-force

Alternativamente, puede usar el comando setenforce para establecer el modo de aplicación. El comando para esto es el siguiente: Una vez que haya configurado el modo, debe reiniciar su sistema para que surta efecto. Tenga en cuenta que el proceso de cambio de nombre comenzará durante el reinicio. El sistema se reiniciará normalmente al finalizar. Durante el cambio de nombre, debe prestar atención a un mensaje de advertencia como el de la siguiente imagen:

Después de un reinicio exitoso, puede ejecutar el siguiente comando para verificar el estado de SELinux. Debe establecerse en Cumplimiento.


El modo de aplicación es el predeterminado de SELinux. En este estado, la mayoría de las solicitudes, si no todas, se bloquearán. La solución es seleccionar el modo permitido, que registrará todas las reglas violadas. Consulte el archivo de registro para obtener más detalles. Use el siguiente comando para configurar el modo permitido: Continúe y verifique el modo con el comando setstatus o use getenforce Dominio:

12345 $setstatus o $getenforce

Con getenforce solo ve el nombre del modo actual, pero el estado establecido muestra más detalles sobre el modo establecido actualmente.

Tenga en cuenta que debe reiniciar el sistema para cambiar entre los dos modos. También puede visualizar los modos establecidos en el /etc/sysconfig/selinux archivo.
Como se mencionó, el modo Permisivo es más flexible y no bloquea necesariamente todas las solicitudes. En cambio, mantiene un archivo de registro cuando se violan las reglas. Para acceder al archivo de registro, puede usar el siguiente comando:

1 $ grep selinux /var/log/audit/audit.log

Utilice el siguiente comando para establecer el modo permitido:

Cómo deshabilitar SELinux

Hemos visto cómo habilitar y configurar los distintos modos de SELinux. Pero, ¿qué hay de desactivar? La mejor opción es deshabilitarlo permanentemente en los archivos de configuración. Para hacer esto, abra el archivo con un editor como nano. Luego cambie el modo de enforce a disabled como se muestra en el siguiente comando:

1 $ sudo nano /etc/selinux/config

Una vez abierto, busque el línea SELINUX=enforcing y cámbielo a SELINUX=disabled.

Conclusión

AppArmor es la capa adicional de seguridad en Ubuntu y otros sistemas Linux. Sin embargo, si prefiere usar SELinux, hemos cubierto cómo instalar, habilitar y usar los diferentes modos. Antes de instalar SELinux, asegúrese de desactivar AppArmor y reinicie el sistema. Además, tenga cuidado al usar SELinux para evitar estropear su sistema.

MÁS SOBRE LINUX
índice de cambio de pandas
Cómo descargar la imagen ISO oficial de Windows 10/11 sin herramientas adicionales – La manera fácil
La distribución Slackware Linux cumple 30 años
¿Puedo compartir mi cuenta de Roblox?
¿Puedo pedir un amigo en Roblox?
¿Wayland se convertirá en la forma preferida de obtener una GUI en Linux?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.