با ثبت نام در سایت از مزایای اعضا بهره مند شوید!

کدام لینوکس selinux را دارد

0 امتیاز
215 بازدید
سوال شده مرداد 20, 1394 در هک و امنیت توسط nima (986 امتیاز)
با سلام

سوالم اینه که نرم افزارSElinux  که مربوط به امنیت سیستم هست مگر در تمام میزکارهای فدورا نباید باشه؟ آیا این بخش که بخشی مهم در مورد امنیت یک سیستم هست در تمام میزکارها نیست؟ من فدورا  را با میزکار lxde امتحان کردم متوجه شدم که این بخش توی سیستم نیست بجاش چی هست نمیدانم .اگر کسی اطلاعاتی در این مورد داره حتما راهنماییم کنه چون خیلی این مورد برام مهمه.متشکرم.

بدرود.

2 پاسخ

0 امتیاز
پاسخ داده شده مرداد 21, 1394 توسط amirnami (1,161 امتیاز)

سلام

اینجا رو مطالعه کنید

البته در نسخه های جدید توزیع های ابونتو، سوزه، اپن سوزه و بعضی دیگه از  AppArmor استفاده میشه

دارای دیدگاه مرداد 21, 1394 توسط nima (986 امتیاز)
با سلام به شما

هر دو لینکی که داده اید را مرور کردم مفید بودند .اما یک سوال برام هست اونم  اینه که برای نرمافزار AppArmor  چرا gui  طراحی نشده قبلا تو فدورا برای Selinux  رابط گرافیکی بود و میشد کاملا دید که چه میگذرد؟

در ضمن آیا میشه هردو اینها را داشته باشیم بعد فقط از یکیش استفاده کنیم؟ آخه یک نکته حاشیه ای که دستگیرم شد این بود که اصولا این نرم افزارSeLinux یکی از توسعه دهندگان اون سازمان معلوم الحال NSA  است که خوب اصلا امنیت خودشون براشون مطرح است نه دیگر کشورها و نه حتا افراد .با این حال جوابتون چیه ایا رابط گرافیکی داره همون AppArmor  ؟.

اصلا وقتی که دیدم nsa  از پشتیبانان این نرمافزار هست حیرت کردم  و حدث  میزنم که حالا برای چی سیا در مقابل پا فشاری لینوس ترووالدز مبنی بر قرار ندادن باگ در کرنل لینوکس سکوت کرده بود چند مدت قبل صحبت سر این  موضوع ( ارسال نامه برای ترووالدز  و موافق کردن او با جاسوسی از کاربران لینوکس در جهان) یکی از بحثهای داغ تو زمینه خبرهای مربوط به امنیت وب بود.پس بگو چرا اون موقع مقامات آمریکایی سکوت کرده بودند نگو که کل امنیت سیستم عاملهای تحت لینوکس و توسعه نرم افزار SELinux  دست خود امریکاییها بوده اصلا نیازی به باگ قرار دادن تو هسته و این چیزها نبوده و من  هم البته تردید داشتم نسبت این مساله قبول نکردن ترووالدز اما به عنوان یک کاربر عادی لینوکس حس گنگی داشتم  و قبول نکردن ترووالدز برای من خیلی هم خوشحال کننده نبود یک حالت شبیه به کسی که یک چیزی را ظاهرا شنیده اما در مورد ریشه مساله تردید داره این جوری بودم. حالا فهمیدم حسم الکی نبوده.

با این همه از شما ممنونم در مورد جواب سوالتم اگر جوابی برای سوالاتم داری حتما اینجا بنویس خیلی برام مهمه.
دارای دیدگاه مرداد 21, 1394 توسط amirnami (1,161 امتیاز)

سلام

در opensuse  و suse از طریق yast رابط گرافیکی وجود داره که با د ستور yast2 apparmor و مجوز root قابل دسترسی هستش. اما در توزیع های دیگه مثل ابونتو من چیزی ندیدم

اما برای همزم بودن طبق لینک زیر امکان استفاده مجدد وجود نداره و شاید بهتره بگیم دلیلی برای استفاده همزمان نیست

لینک ۱

 از لینک زیر هم می تونی مقایسه این دو رو بخونی

لینک ۲

اگه واقعا بین انتخاب ها گیر کردی موارد زیر هم وجود دارند که مطالعه اونها هم بد نیست

smack

tomoyo

دو مورد بالا رو فقط برای معرفی گفتم و خودم ازشون اطلاعی ندارم. اما بهتره با مدل های کنترل دسترسی  RBAC و MAC و DAC نیز قبل خوندن درباره selinux و apparmor کمی اشنا باشی.   AppArmor بر اساس MAC هست که مخفف Mandatory Access Control هست ولی  selinux بر اساس Role Based Access Control  هستش

در مورد بقیه سوالات هم شرمنده اطلاعی زیادی ندارم که بتونم کمک کنم اما NSA آژانس امنیت ملی امریکا هستش 

موفق باشید

دارای دیدگاه مرداد 21, 1394 توسط nima (986 امتیاز)
ویرایش شده مرداد 22, 1394 توسط nima
با سلام

میدونم نمیشه در یک زمان استفاده کردشاید من بد بیان کردم منظورم داشتن  پکیج به صورت نصب شده بود که بعد انتخاب کنم که از کدام استفاده کنم و اون دیگری را هرچند نصب باشه  ازش استفاده نکنم و حتا اگر شد پاکش کنم. و این هم به این دلیل بود که میخوام اول امتحان کنم ببینم رابط گرافیکی کدوم یکی خوش دست تره و بهتر میتونم با هاش کار کنم و بعد انتخاب کنم.

سوالی دارم اون هم  اینه که آیا نرمافزار امنیتی برای بستن یا باز کردن پورتها تو لینوکس داریم ؟

البته میخوام به خوش دستی فایروالهای ویندوزی باشه .چون این نرمافزار( SElinux )  را من برای کنترل بیشتر روی پورتهای اینترنتیم و اینکه چه نرمافزاری الان میخواهد وصل بشه یا چه پکیجی داره وارد میشه میخوام  به نظر من البته اینجوری میاد که در لینوکس کمتر به ساختن gui برای نرم افزارهای امنیتی پرداختند ((بجز توزیع pupy تازه اونهم چون فاقد امکان تایپ فارسی هست اصلا نشد استفاده طولانی ازش ببرم)) و بیشتر اونها را خط فرمانی تولید میکنند.به خاطر همین مساله خواستم بدانم آیا فایروالی که خوش دست باشه و بشه به صورت گرافیکی بر ورودی و خروجی پورتهایمان نظارت کنیم آیا ساخته نشده  برای ویندوز الان تا دلت  بخواد هست  mcafee و نورتون و drweb و بیت دفندرو خیلی مدلهای دیگه که الان نمیشه اسم اونها را بیارم  ولی متاسفانه  تو لینوکس فقط gufw و firstarter و iptables هست که تازه اینها به مطمینی اون مدلهای ویندوزی نیست. از این حیث میگم مطمئن نیست چون وقتی لینوکسم را روشن میکنم به همراه سیستم بالا نمیاد و در system try  آیکنی ظاهر نمیشه و معلوم باشه برام که الان شروع به کار کرده فقط توزیع puppy  این جوریه یعنی فایوال با سیستم بالا میاید و معلوم میشه که الان مشغول به کار هست در اوبونتو و pc linux وکوبونتو ندیدم این جوری باشه که تازه نوشتم در بالا که چون امکان  تایپ فارسی ندارد قابل استفاده برای ما فارسی زبانان نیست.

یا مثلا  anti spam  این که  دیگه تو لینوکس نمیدونم چرا  نیست ؟ نه با رابط گرافیکی و نه بدون اون تو همین سایت که مساله خودم را در مورد هرزنامه مطرح کردم و نام نرم افزار خواستم که برم و دانلود کنم جواب دادن که لینوکس هیچ خطری متوجهش نیست در صورتی که مساله اسپم اصلا بحث خطرش نیست بحث مزاحم بودن این هرزنامه هاست و با نرم افزار anti spam  فقط از شر وارد شدن هرز نامه به نرم افزار مدیریت ایمیل مثل sylpheed  راحت میشم.در حالیکه کاربران حرفه ای خیال میکنند من منظورم ورود ویروس به سیستم هست یا ضد هرز نامه را برای امنیت میخوام که این طور نیست . اگر تو این موارد راهنمایی  میدانید یا توزیعی هست که هم رابط گرافیکی خوبی داشته باشه و هم برای این مشکلاتی که گفتم با ارائه نرمافزار یک پاسخی به این نیاز  داده باشه ممنون میشم اگر نام اون توزیع لینوکسی را بگی . من هم لینوکس دارم و هم ویندوز و لی اگر توزیعی باشه که جواب گویه این نیازهایی که برات گفتم باشه واقعا معرکه هست اون توزیع. دیگه ویندوز را برای همیشه میگذارم کنار.

ممنونم بدرود.
دارای دیدگاه مرداد 22, 1394 توسط amirnami (1,161 امتیاز)

سلام

ببینید selinux و apparmor ویژگی هایی هستند که از ماژول یا فریم ورک LInux Security Module که درون هسته لینوکس هست استفاده می کنند. در واقع به صورت یک patch به هسته اضافه میشن. اما تا حالا جایی نخوندم که این دو همزمان نصب باشن و بشه میون اونها سوییچ کرد. لینک زیر کمی توضیح داده

لینک ۳

 و همچنین خوندن لینک زیر

لینک ۴

لینک ۵

توی لینوکس رابط گرافیکی قوی وجود نداره و برای اینکه لینوکس رو به عنوان فایروال و gateway در شبکه استفاده کنید بهتره از توزیع هایی فایروالی مثل ipfire استفاده کنی که کنسول های تحت وب دارند. یعنی درواقع منظورم این هستش که از لینوکس به عنوان Firewall Server استفاده کنید.

دارای دیدگاه مرداد 22, 1394 توسط nima (986 امتیاز)
سلام

 یعنی منظور جنابعالی این هست که آن لینوکسهایی که به عنوان دسکتاپ  استفاده میشوند و غالبا ( برای کاربران ) جایگزین ویندوز هستند در انها نباید به دنبال نرم افزار امنیتی بود مثل یک فایروال خوب و خوش دست .ضمنا باز هم میگم منظورم از هم زمانی  این نیست که در ان واحد استفاده کنم بلکه در آن واحد میخوام یکی را بکار اندازم تا ببینم با کدوم راحت ترم بعد آن  دیگری را هم پاک کنم. اومدیم به مساله gui  که در پایان نوشته مطرح شده  اگر این جوریه که شما میگید پس  آن وقت اومدیم یکی  خواست بر ترافیک پکیج ها ورودی و خروجی کنترل ساده ای داشته باشه یعنی به راحتی یک log بگیره تا بدونه چه میگذره .پس با این جواب شما باید نتیجه بگیریم نمیشه درسته؟ایا این برداشت از نوشته خودتان را تایید میکنید؟ یا ممکن است هنوز نرم افزاری باشه برای نظارت بر ورود و خروجی ؟چون من وقتی که با لینوکس کار میکنم که اصلا کاری نمیتونم بکنم در این مورد اما تو ویندوز تا دلتان بخواهد نرم افزار ساخته شده و حداقل رضایت نسبی را میشه داشت از اونها. مصل نورتون و کاسپراسکای و avast  ودیگر نرم افزارها.
دارای دیدگاه مرداد 22, 1394 توسط amirnami (1,161 امتیاز)
ویرایش شده مرداد 22, 1394 توسط amirnami

selinux و apparmor به عنوان patch هایی به کرنل اضافه میشن و بعد در غالب یک توزیع استفاده میشن و این یعتی مثلا centos و  redhat به صورت پیشفرض دارای selinux هستند و برای استفاده از apparmor باید اون به هسته اضافه یا patch بشه 

در مورد فایروال منظور من از Firewall Server و استفاده از توزیع های لینوکسی فایروالی این هستش که یک ماشین مجزا برای نظارت بر ترافیک شبکه و ایجاد role های فایروال در اون هستش یعنی forward کردن بسته ها. یعتی به جای اینکه role های فایروال رو رو کلاینت بیاریم اونرو رو سرور فایروال بیاریم و بعدش آدرس این ماشین رو به عنوان gateway  در کلاینت ها تنظیم کنیم. iptables و جدیدا firewalld فایروال های لینوکسی هستند که امکان استفاده اونها در تمامی توزیع ها چه دسکتاپ و چه سرور هستش. خود ufw در ابونتو هم به عنوان واسطی برای iptables هستش و کار با نوشتن role های فایروال رو ساده کرده. شما با iptables می تونید log تولید کنید.

لینک ۶

لینک ۷

برای مانیتورینگ بسته ها ابزارهایی مثل vnstat و ntopng و iptraf و غیره هستش. یا ابزار بهتر برای مانیتور کردن ارافیک شبکه  mrtg هستش. اما اینکه ابزاری شبیه به نورتون و کاسپراسکی باشه یا نه من اطلاعی ندارم

لینک ۸

لینک ۹

در مورد gui هم در لینوکس چیزی که یادم افتاد کنسوا مدیریتی تحت وب webmin هستش که خیلی وقته استفاده نکردم و یادم نیست آیا ماژولی برای کار با فایروال iptables با اون همراه هست یا نه

دارای دیدگاه مرداد 23, 1394 توسط nima (986 امتیاز)
ویرایش شده مرداد 23, 1394 توسط nima
از شما ممنونم پاسخ شما کامل بود اما مشکل من با iptables در این است که نمیتوانم بفهمم که آیا الان که با لینوکس سیستم را بالا آوردم این نرم افزار لود شده یا نه همش نگرانم که شاید لود نشده باشه .چون برای آغاز به کار اون خوندم در جایی که باید پنجره ترمینال را باز کنم و فرمان start  را در حالی که بارووت ریشه وارد شدم بنویسم و اینتر کنم .خوب همین مساله باعث میشه که اینطور گمان کنم که شاید از اول لود سیستم iptables مشغول به کار نیست یا اون نقشها و رول هایی که دادم و اجرای اونها برای امنیتم حیاتی هستند در حال کار نیست. و یا باید تا آخرین لحظه ای که با سیستم مشغول به کار هستم اون صفحه ترمینال که فرمان استارت را توش نوشتم باید همین جور باز بمونه و اگر ببندم فایروال به حالت اول برمیگرده؟خوب همین مساله  باعث این میشه که اینطور فکر کنم که نرم افزار  ناقص هست و نتونم اونجوری که باید به آن اطمینان کنم.حتی در task manager لوبونتو که رفتم نتونستم نام این نرمافزار را در کنار نام چندین نرم افزاری  که بالا اومده بودند ببینم. حالا راه کار شما چیست؟ کمک کنید.
دارای دیدگاه مرداد 23, 1394 توسط amirnami (1,161 امتیاز)
ویرایش شده مرداد 23, 1394 توسط amirnami

دو دستو زیر به ترتیب سرویس فایروال رو در لینوکس ابتدا فعال و یا همان START می کنه و دستور بعدی اونرو برای START یا فعال شدن خودکار در زمان بوت تنظیم می کنه

service iptables start OR /etc/init.d/iptables start

chkconfig --level 345 iptables on

البته دستورهای بالا برای توزیع هایی هستش که فایروال firewalld از init استفاده می کنند مثل centos6 اما برای سیستم عامل هایی که از systemd و فایروال  firewalld استفاده می کنند مثل fedora و centos7

systemd start firewalld.service

systemd enable firewalld.service

لینک ۱۰

لینک ۱۱ برای ابونتو و ufw

اگه شما هر سرویسی رو start کنی (مثل بالا چه با دستورهای service یا systemd) این فعال یا start بودن تا زمان خاموش یا restart نشدن سیستم باقی هستند و اگه بخواهید سرویس در زمان بوت شدن هم خودکار فعال بشه مثل بالا باید از دستورهای chkconfig و یا systemd enable استفاده کنید و ربطی به ترمینال نداره. بر فرض اینکه از iptables استفاده می کنید و هر rule ای رو که با این دستور می نویسید در یک فایل قرار می گیرند و البته به صورت موقتی تا زمانی که سیستم خاموش یا ری استارت نشه. برای ذخیره دائمی هم لینک های زیر رو بخونید

لینک ۱۲

لینک ۱۳

+1 امتیاز
پاسخ داده شده مرداد 23, 1394 توسط Raeesi (865 امتیاز)
دوستمون جواب سوالهاتونو دادن ولي من ميخوام يه جواب كوتاه با توجه به تجربه كاربري خودم و اونچه از نوشته هاي شما برداشت كردم بدم.

من براي فايروال از iptables بدون واسط گرافيكي استفاده ميكنم

براي اينكه وضعيت ترافيك جاري روي شبكه محلي كامپيوترم رو بصورت گرافيكي مانيتور كنم، ار wireshark كمك ميگيرم

و براي مقابله با هررنامه هايي كه ميخوان از كلاينت ايميل من سر در بيارن، از سيستم ضدهرزنامه خود كلاينت (thunderbird) استفاده ميكنم.

ضمن اينكه همونطوري كه دوستمون هم اشاره كردن webmin يك كنترل پنل خيلي خوبه كه با واسط تحت وبش شما ميتوني روي پورتها و حتي اكانتينگ لينوكس نظارت داشته باشي

من چند سال پيش روي سرور ازش استفاده ميكردم و براي كاري كه استفاده اش ميكردم انصافا عالي بود
دارای دیدگاه مرداد 23, 1394 توسط nima (986 امتیاز)
ویرایش شده مرداد 25, 1394 توسط nima
از شما هم متشکرم

از دست  هرز نامه به ستوه آمدم  .آیا میشه شما یک  راهنماییهای در مورد سیستم ضد هرزنامه thunderbird بگید  چون واقعا درد سر ساز شده اند این هرزنامه ها اگر تنظیمات خاصی بلد هستسد بگید تا ما هم استفاده ببریم.
سرور مجازی لینوکس

2,084 سوال

3,245 پاسخ

3,409 دیدگاه

8,110 کاربر

...