Posted inLinux

Tăng cường bảo mật Linux với SELinux: Khám phá chuyên sâu từ cơ bản đến chính sách nâng cao

Linux tutorial - IT technology blog
Linux tutorial - IT technology blog

So sánh các phương pháp bảo mật Linux: Vượt ra ngoài quyền truyền thống

Bảo mật hệ thống Linux đặt ra nhiều thách thức. Trong nhiều năm, tôi đã giải quyết chúng bằng cách tập trung vào Kiểm soát truy cập tùy ý (Discretionary Access Control – DAC) truyền thống: quản lý quyền của người dùng, bit SUID và sử dụng sudo một cách cẩn thận.

Mặc dù phương pháp này kiểm soát hiệu quả những gì người dùng hợp pháp có thể làm, nhưng về cơ bản nó giả định quản trị viên hệ thống tin tưởng mọi ứng dụng và dịch vụ đang chạy. Nhưng điều gì sẽ xảy ra nếu một ứng dụng bị xâm phạm? DAC thường cung cấp khả năng phòng thủ tối thiểu chống lại sự di chuyển ngang của kẻ tấn công hoặc các nỗ lực leo thang đặc quyền.

Các hệ thống Kiểm soát truy cập bắt buộc (Mandatory Access Control – MAC), như SELinux và AppArmor, giới thiệu một mô hình bảo mật khác biệt cơ bản. Chúng không chỉ dựa vào phán đoán của quản trị viên; MAC thực thi một chính sách bảo mật nghiêm ngặt mà quản trị viên hệ thống định nghĩa, hoàn toàn độc lập với quyền người dùng truyền thống. Điều này rất mạnh mẽ: ngay cả người dùng root hoặc một dịch vụ bị xâm phạm cũng có thể thấy hành động của họ bị giới hạn bởi chính sách MAC.

SELinux nổi bật nhờ khả năng kiểm soát chi tiết và tính toàn diện, làm cho nó trở thành một lớp quan trọng trong bất kỳ chiến lược phòng thủ chuyên sâu nào. AppArmor sử dụng các kiểm soát dựa trên đường dẫn, nhưng SELinux áp dụng một cách tiếp cận độc đáo với mô hình thực thi loại (type enforcement model). Nó gán nhãn cho mọi tiến trình, tệp và cổng mạng, sau đó định nghĩa các quy tắc rõ ràng về cách chúng có thể tương tác. Mức độ chi tiết này làm nổi bật sức mạnh thực sự của SELinux.

SELinux trong thực tế: Ưu và nhược điểm được khám phá sau sáu tháng

Triển khai SELinux là một công việc đáng kể. Sau khoảng sáu tháng tích hợp nó trên hơn mười phiên bản Linux VPS, tôi đã có được sự hiểu biết rõ ràng về những lợi ích và thách thức thực tế của nó.

Ưu điểm: Một pháo đài cho các dịch vụ của bạn

  • Kiểm soát chi tiết: SELinux cung cấp khả năng kiểm soát truy cập tiến trình cực kỳ chi tiết. Bạn có thể quy định chính xác những tệp, thư mục, cổng mạng và thậm chí các khả năng kernel mà một dịch vụ được phép sử dụng. Ví dụ, một máy chủ web bị xâm phạm có thể bị ngăn chặn ghi vào các tệp trái phép hoặc tạo các kết nối mạng ra ngoài mà nó không được phép rõ ràng.
  • Phòng thủ chuyên sâu: SELinux bổ sung một lớp bảo mật quan trọng, hoạt động cùng với tường lửa, mật khẩu mạnh và bảo mật cấp ứng dụng. Ngay cả khi kẻ tấn công khai thác một lỗ hổng, SELinux thường có thể ngăn chặn sự vi phạm bằng cách chặn tiến trình độc hại thực hiện các hành động trái phép.
  • Cách ly tiến trình: Mỗi dịch vụ hoạt động trong ngữ cảnh bảo mật được xác định chặt chẽ của riêng nó. Điều này có nghĩa là một lỗ hổng trong một dịch vụ ít có khả năng ảnh hưởng đến các dịch vụ khác, vì SELinux thực thi nghiêm ngặt các ranh giới giữa chúng. ‘Bán kính tác động’ của một cuộc tấn công thành công được giảm đáng kể.
  • Giảm thiểu chống lại các cuộc tấn công Zero-Day: Các chính sách SELinux quy định những gì được phép, chứ không phải những gì bị cấm. Sự khác biệt quan trọng này có nghĩa là nó thường có thể chặn các cuộc tấn công chưa biết. Ví dụ, nếu kẻ tấn công sử dụng một lỗ hổng zero-day để xâm phạm một tiến trình, nhưng SELinux ngăn chặn tiến trình đó ghi vào /etc/passwd, thì cuộc tấn công sẽ không đạt được mục tiêu của nó.

Thách thức: Sự phức tạp và đường cong học tập

  • Đường cong học tập dốc: Nắm vững các ngữ cảnh, loại, vai trò và quy tắc SELinux đòi hỏi một khoản đầu tư thời gian đáng kể. Thuật ngữ và mô hình khái niệm của nó khác biệt rất nhiều so với quyền truyền thống, khiến việc cấu hình ban đầu trở nên khá khó khăn.
  • Khả năng cấu hình sai: Các chính sách được cấu hình sai có thể dễ dàng làm tê liệt các ứng dụng. Bạn có thể gặp phải các thông báo lỗi khó hiểu hoặc các dịch vụ không khởi động được, thường không có gợi ý rõ ràng rằng SELinux là vấn đề. Điều này nhấn mạnh lý do tại sao thử nghiệm kỹ lưỡng là hoàn toàn cần thiết.
  • Khó khăn trong xử lý sự cố: Khi một ứng dụng hoạt động không đúng, việc tìm ra liệu SELinux có phải là thủ phạm hay không — và sau đó xác định chính xác lỗi vi phạm quy tắc — có thể tốn rất nhiều thời gian. Điều này thường có nghĩa là phải đào sâu vào các nhật ký kiểm toán (audit logs), vốn thường rất dài dòng và yêu cầu các công cụ phân tích chuyên biệt.

Sau khi quản lý hơn mười phiên bản Linux VPS trong ba năm, tôi đã học được trực tiếp tầm quan trọng của việc thử nghiệm kỹ lưỡng trước khi triển khai bất kỳ chính sách SELinux nào vào môi trường sản xuất. Đẩy chính sách một cách mù quáng vào một hệ thống trực tiếp mà không hiểu đầy đủ tác động của chúng là một cách chắc chắn để gây ra thời gian ngừng hoạt động và sự thất vọng. Ở đây, sự kiên nhẫn và một cách tiếp cận có phương pháp sẽ là những đồng minh lớn nhất của bạn.

Thiết lập khuyến nghị: Cách tiếp cận theo từng giai đoạn để thực thi SELinux

Để triển khai SELinux một cách hiệu quả, bạn cần nhiều hơn là chỉ bật nó; một cách tiếp cận chiến lược, theo từng giai đoạn là điều cần thiết. Tôi đề xuất tập trung vào việc thực thi dần dần, ghi nhật ký toàn diện và tinh chỉnh chính sách lặp đi lặp lại.

Tìm hiểu các chế độ của SELinux

SELinux hoạt động ở ba chế độ chính:

  • Enforcing: Các chính sách SELinux hoạt động đầy đủ, các vi phạm được ghi nhật ký và bị chặn. Đây là trạng thái sản xuất mong muốn.
  • Permissive: Các chính sách SELinux hoạt động, nhưng các vi phạm chỉ được ghi nhật ký, không bị chặn. Chế độ này cực kỳ hữu ích cho việc xử lý sự cố và phát triển chính sách, cho phép bạn xem những gì sẽ bị chặn mà không thực sự làm hỏng bất cứ điều gì.
  • Disabled: SELinux hoàn toàn không hoạt động. Đối với bất kỳ môi trường nào quan tâm đến bảo mật, chế độ này rất không được khuyến khích, vì nó loại bỏ một lớp bảo vệ quan trọng.

Bắt đầu với nền tảng vững chắc

  1. Bắt đầu ở chế độ Permissive: Dù bạn đang triển khai một hệ thống mới hay thêm SELinux vào một hệ thống hiện có, hãy luôn bắt đầu ở chế độ Permissive. Điều này đảm bảo các ứng dụng của bạn tiếp tục chạy trơn tru trong khi SELinux ghi lại mọi vi phạm chính sách. Sau đó, bạn có thể phân tích các nhật ký này để xây dựng hoặc tinh chỉnh các chính sách tùy chỉnh của mình.
  2. Hiểu chính sách hiện tại của bạn: Các bản phân phối như CentOS, RHEL, Fedora, AlmaLinux và Rocky Linux thường sử dụng chính sách ‘targeted’ theo mặc định. Chính sách này tập trung vào việc bảo vệ các dịch vụ nền mạng và các dịch vụ quan trọng khác, thường để các ứng dụng người dùng không bị giới hạn. Mặc dù các thiết lập bảo mật cao có thể xem xét Multi-Level Security (MLS) hoặc Multi-Category Security (MCS), ‘targeted’ đóng vai trò là điểm khởi đầu thực tế cho hầu hết các trường hợp sử dụng phổ biến.
  3. Ưu tiên các dịch vụ quan trọng: Chống lại sự thôi thúc bảo mật mọi thứ cùng lúc. Thay vào đó, hãy tập trung vào các dịch vụ quan trọng nhất của bạn trước tiên—hãy nghĩ đến máy chủ web, cơ sở dữ liệu hoặc SSH. Xác nhận các dịch vụ này chạy đúng cách theo chính sách Permissive trước khi bạn xem xét chuyển sang chế độ Enforcing.

Hướng dẫn triển khai: Từ kiểm tra trạng thái đến các chính sách tùy chỉnh

Hãy đi vào thực tế. Cấu hình và quản lý SELinux liên quan đến một bộ lệnh cốt lõi và quy trình xử lý sự cố.

1. Kiểm tra trạng thái SELinux

Bước đầu tiên luôn là xác minh trạng thái hiện tại của SELinux trên hệ thống của bạn.


sestatus

Lệnh này cung cấp cái nhìn tổng quan toàn diện, bao gồm trạng thái SELinux, chính sách đã tải và chế độ hiện tại.


getenforce

Một lệnh đơn giản hơn để nhanh chóng xem SELinux đang ở chế độ Enforcing, Permissive hay Disabled.

2. Thay đổi chế độ SELinux

Bạn có thể thay đổi chế độ SELinux tạm thời hoặc vĩnh viễn.

Thay đổi tạm thời (cho đến khi khởi động lại):


sudo setenforce 0  # Chuyển sang chế độ Permissive
sudo setenforce 1  # Chuyển sang chế độ Enforcing

Những thay đổi này có hiệu lực ngay lập tức nhưng sẽ khôi phục lại sau khi khởi động lại.

Thay đổi vĩnh viễn:

Để thay đổi vĩnh viễn, bạn cần chỉnh sửa tệp cấu hình SELinux:


sudo vi /etc/selinux/config

Tìm chỉ thị SELINUX và đặt nó thành enforcing, permissive hoặc disabled. Sau đó, khởi động lại hệ thống để thay đổi có hiệu lực hoàn toàn.


# Tệp này kiểm soát trạng thái của SELinux trên hệ thống.
# SELINUX= có thể nhận một trong ba giá trị sau:
#       enforcing - Chính sách bảo mật SELinux được thực thi.
#       permissive - SELinux in cảnh báo thay vì thực thi.
#       disabled - Không có chính sách SELinux nào được tải.
SELINUX=enforcing
# SELINUXTYPE= có thể nhận một trong ba giá trị sau:
#       targeted - Các tiến trình được nhắm mục tiêu được bảo vệ, 
#                  các tiến trình không được bảo vệ được bỏ qua.
#       mls      - Bảo vệ an ninh đa cấp.
#       mcs      - Bảo vệ an ninh đa danh mục.
SELINUXTYPE=targeted

3. Tìm hiểu ngữ cảnh SELinux

SELinux gán một ngữ cảnh bảo mật cho mọi tệp, tiến trình và cổng, thường được định dạng là user:role:type:level. Đối với hầu hết các quyết định chính sách, thành phần ‘type’ (loại) mang ý nghĩa quan trọng nhất.

Để xem ngữ cảnh của các tệp:


ls -Z /var/www/html

Thao tác này sẽ hiển thị cho bạn các ngữ cảnh SELinux cho các tệp và thư mục trong /var/www/html. Ví dụ, bạn có thể thấy unconfined_u:object_r:httpd_sys_content_t:s0, cho biết rằng các tệp này dành cho nội dung máy chủ web.

Để xem ngữ cảnh của các tiến trình đang chạy:


ps -efZ | grep httpd

Bạn có thể sẽ thấy thứ gì đó như system_u:system_r:httpd_t:s0, cho biết ngữ cảnh tiến trình của máy chủ web Apache.

4. Quản lý các biến Boolean của SELinux

Các biến Boolean của SELinux hoạt động như các công tắc bật/tắt đơn giản. Chúng cho phép bạn điều chỉnh hành vi của các chính sách hiện có mà không cần biên dịch lại toàn bộ chính sách, làm cho chúng trở nên lý tưởng cho các điều chỉnh thông thường.

Liệt kê tất cả các biến Boolean và trạng thái của chúng:


getsebool -a

Ví dụ, nếu máy chủ web của bạn cần kết nối với một tài nguyên mạng (như cơ sở dữ liệu trên một máy chủ khác), bạn có thể cần bật httpd_can_network_connect:


sudo setsebool -P httpd_can_network_connect on

Cờ -P làm cho thay đổi này duy trì sau khi khởi động lại.

5. Xử lý sự cố với nhật ký kiểm toán (Audit Logs)

Đây là lúc kỹ năng xử lý sự cố thực sự phát huy tác dụng. Khi một ứng dụng thất bại do SELinux, dịch vụ auditd ghi lại tỉ mỉ mọi hành động bị từ chối. Việc phân tích hiệu quả các nhật ký này là vô cùng quan trọng.

Đảm bảo auditd đang chạy:


sudo <a href="https://itnotes.dev/vi/systemd-systemctl-huong-dan-can-thiet-de-quan-ly-dich-vu-tren-linux-hien-dai/">systemctl</a> status auditd

Công cụ chính để kiểm tra các hành động bị từ chối bởi SELinux là ausearch. Nếu máy chủ web của bạn không ghi được vào một thư mục cụ thể, bạn sẽ tìm kiếm các hành động bị từ chối liên quan đến httpd:


sudo ausearch -c httpd --raw | audit2allow -M mywebserver

Hãy phân tích lệnh này:

  • ausearch -c httpd --raw: Lệnh này tìm kiếm trong nhật ký kiểm toán các sự kiện liên quan đến lệnh httpd, sau đó xuất chúng ra ở định dạng thô.
  • audit2allow -M mywebserver: Công cụ mạnh mẽ này xử lý các nhật ký kiểm toán thô. Sau đó, nó đề xuất một mô-đun chính sách SELinux tùy chỉnh (tệp .te) và một gói đã biên dịch (tệp .pp), được đặt tên là mywebserver, được thiết kế để cho phép các hành động đã bị từ chối trước đó.

Đầu ra sẽ hiển thị cho bạn các quy tắc được đề xuất. Hãy xem xét kỹ lưỡng chúng! Đừng áp dụng chúng một cách mù quáng. Chúng có thể cấp nhiều quyền hơn mức cần thiết. Điều này phù hợp với kinh nghiệm cá nhân của tôi; luôn xác minh những gì bạn đang cho phép.

6. Tạo chính sách tùy chỉnh

Khi bạn đã xem xét cẩn thận đầu ra của audit2allow và tin tưởng vào các quy tắc được đề xuất, bạn có thể tiến hành biên dịch và cài đặt mô-đun chính sách tùy chỉnh của mình.


sudo semodule -i mywebserver.pp

Lệnh này tải mô-đun chính sách mới vào nhân hệ thống, ngay lập tức thực thi các quy tắc mới. Nếu bạn cần xóa nó:


sudo semodule -r mywebserver

Một ví dụ thực tế: Cho phép Nginx phục vụ nội dung từ một thư mục không tiêu chuẩn

Hãy tưởng tượng bạn muốn Nginx phục vụ nội dung từ /opt/mywebapp. Theo mặc định, Nginx thường chỉ có quyền truy cập vào /usr/share/nginx/html hoặc /var/www/html.

  1. Tạo thư mục và nội dung: 
    
sudo mkdir /opt/mywebapp
sudo echo "Chào, SELinux!" | sudo tee /opt/mywebapp/index.html
  2. Cấu hình Nginx (đã đơn giản hóa, điều chỉnh cấu hình Nginx của bạn): 
    
server {
    listen 80;
    server_name localhost;
    root /opt/mywebapp;
    index index.html;
}
  3. Cố gắng truy cập trang. Rất có thể sẽ thất bại (403 Forbidden).
  4. Kiểm tra nhật ký kiểm toán (đảm bảo SELinux đang ở chế độ Permissive hoặc Enforcing): 
    
sudo ausearch -c nginx --raw | audit2allow -M nginx_mywebapp

    Bạn có thể sẽ thấy các lỗi từ chối liên quan đến nginx đang cố gắng truy cập các tệp có ngữ cảnh default_t hoặc tương tự trong /opt/mywebapp. Chính sách có thể sẽ đề xuất ghi nhãn /opt/mywebapp(/.*)? với httpd_sys_content_t.

  5. Áp dụng ngữ cảnh tệp chính xác: 
    
sudo semanage fcontext -a -t httpd_sys_content_t "/opt/mywebapp(/.*)?"
sudo restorecon -Rv /opt/mywebapp

    semanage fcontext định nghĩa ngữ cảnh cố định, và restorecon áp dụng nó ngay lập tức.

  6. (Tùy chọn) Tạo và cài đặt chính sách tùy chỉnh nếu `semanage fcontext` không đủ dựa trên đầu ra `audit2allow`: 
    
# Xem lại tệp nginx_mywebapp.te đã tạo
sudo semodule -i nginx_mywebapp.pp
  7. Khởi động lại Nginx và kiểm tra lại.

7. Các cân nhắc cho môi trường sản xuất

  • Cập nhật chính sách thường xuyên: Giữ cho các chính sách SELinux cơ bản của hệ thống được cập nhật thông qua các bản cập nhật gói thường xuyên.
  • Sao lưu và khôi phục: Trước khi thực hiện các thay đổi chính sách SELinux quan trọng, hãy đảm bảo bạn có chiến lược sao lưu. Biết cách quay lại trạng thái hoạt động trước đó là điều cần thiết.
  • Giám sát liên tục: Đừng chỉ thiết lập và quên. Giám sát nhật ký kiểm toán của bạn (có thể bằng các công cụ như Logwatch hoặc SIEM) để tìm các hành động từ chối SELinux mới, đặc biệt là sau khi cập nhật ứng dụng hoặc thay đổi hệ thống. Cách tiếp cận chủ động này giúp phát hiện các vấn đề trước khi chúng leo thang.
Share:
Tags: