Introduction to SELinux

-


SELinux ဆိုတာသည် Linux ကိုလေ့လာမည့်သူတိုင်း ကြားဖူးကြမယ်ထင်ပါတယ်။ SELinux (Security-Enhanced Linux) ဆိုတာ Security အတွက်ထပ်မံပြုလုပ်ထားတဲ့ အလွှာလေးတစ်ခုဖြစ် ပါ တယ်။ ကျွန်တော့်တို့ရဲ့ Security ကျိုးပေါက်သွားခဲ့ရင် impact ဖြစ်မယ့် Scope တွေကိုလဲသူက လျော့ချပေးပါတယ်။ SELinux ဆိုတာ Antivirus လိုလဲမဟုတ်ပါဘူး။ Password , Firewall လိုတခြား Security System တွေကိုလဲ အစားထို့ဖို့ မဟုတ်ပါဘူး။
🐧SELinux သည် Linux Distro တွေဖြစ်တဲ့ Red Hat , CentOs , Fedora linux အစရှိတဲ့ Distro တွေမှာ Default အနေနဲ့ပါဝင်ပါတယ်။ Kali , Ubuntu တို့မှာတော့ ထည့်သွင်းအသုံးပြုနိူင်ပါတယ်။
📌 SELinux ဟာ အမေရိကန်နိူင်ငံ (NSA:National Security Agency) ကနေ စတင်ခဲ့တာဘဲဖြစ်ပါတယ်။ နောက်ပိုင်းမှာတော့ Linus Torvalds ရဲ့ အကြံပေးမှုနဲ့အတူ NSA ဟာ LSM(Linux Security Modules)
ဆိုတဲ့ Framwork ကိုအသုံးပြုကာ SELinux ကို Linux Kernal ဆီပေါင်းစပ်ခဲ့ပါတယ်။ နောက်ပိုင်းမှာ RedHat နဲ့ NSA တို့ပူးပေါင်းကာ SELinux ကို ကောင်းသတဲ့ကောင်းအောင်ကြိုးပန်းလာကြပါတယ်။ သူတို့ရဲ့ကြိုးပန်းမှုကြောင့် Initial relase အနေဖြင့်
2000 ခုနှစ် Dec 22 မှာ စတင်ခဲ့ပြီး Stable Release အနေဖြင့် 2018 ခုနှစ် May 24 မှာ စတင်ခဲ့ပါတယ်။
📢SELinux အကြောင်းကိုလေ့လာမည်ဆိုလျှင် ပထမဦးဆုံး DAC နဲ့ MAC ဆိုတာကို သိဖို့လိုအပ်ပါတယ်။
➡️DAC ( Discrertionary Access Control)
Lower Level Access Control လို့လဲပြောနိူင်ပါတယ်။ User အနေနဲ့ ကိုယ့်ဘာသာကိုယ်သတ်မှတ်တဲ့ Security Access Control ကိုဆိုလိုပါတယ်။
chmod (Change Mode) ဆိုတဲ့ Command ကိုသုံးပြီး file တွေ Folder တွေရဲ့ User တွေ group တွေနဲ့ other user တွေအလိုက် read (r),write(w),execute(x) အစရှိသဖြင့် သတ်မှာတ်ခြင်း Special Parmission သတ်မှတ်ခြင်းတွေကို DAC လို့ခေါ်တာဖြစ်ပါတယ်။
setfacl , getfacl အစရှိသဖြင့် ACL နဲ့ Permission ကန့်သတ်တာတွေသည်လည်း DAC ဖြစ်ပါတယ်။ ဆိုရရင် DAC မှာ owner ဖြစ်တဲ့ user အနေဖြင့် object တွေအပေါ် access control ကိုစိတ်ကြိုက်ဖန်တီးနိူင်သလို တခြား user တွေကိုလဲ လွှဲပြောင်းပေးနိူင်ပါတယ်။
အချုပ်အားဖြင့် DAC ဟာ file , folder တွေရဲ့ Owner ရဲ့ ဆုံးဖြတ်ချက်နဲ့ သတ်မှတ်တဲ့ Object Access Privileges တွေဘဲလို့ဆိုနိူင်ပါတယ်။
➡️MAC (Mandatory Access Control)
MAC ဆိုတာ စည်းမျဥ်းစည်းကမ်း တရပ်နဲ့ထိန်းချုပ်တဲ့ Security Strategy လုံခြုံရေး မဟာဗျူဟာတရပ်ပါ။
အပေါ်မှာပြောခဲ့တဲ့ Lower Level Access Control လို့ခေါ်တဲ့ DAC အပေါ်ကို ထပ်မံအထူးပြုထားတာလည်းဖြစ်ပါတယ်။
MAC အတွက် criteria တွေကို system administrator တွေက သတ်မှတ်ပေးပါတယ်။ Operating System နဲ့ Kernal က ထိုသတ်မှတ်ချက်ကို လိုက်နာဆောင်ရွက်ပေးပါတယ်။
တခြား User တွေအနေနဲ့ ထိုသတ်မှတ်ချက်ကို ပြောင်းလို့မရပါဘူး။ MAC ဟာ user,file,folder,service တွေအပေါ်မှာ Label တွေ Role တွေနဲ့ စီမံခန့်ခွဲပါတယ် ဆိုရရင် User , Subject နဲ့ Object ကြားမှာ label တခုသတ်မှတ်လိုက်ပြီး အပြန်အလှန် Control လုပ်သွားတာဘဲဖြစ်တယ်။ အချုပ်ဆိုရရင် DAC ဟာ user based ဖြစ်ပြီး MAC ဟာ policy based လို့သတ်မှတိနိူင်ပါတယ်။Linux Kernal မှာ အလုပ်လုပ်တဲ့ အရာသည် policy based ဖြစ်တဲ့ MAC ဘဲဖြစ်ပါတယ်။
Networking & Information Technology

Comments

Post a Comment

Popular posts from this blog

Migrating Java Project from local to cloud using Heroku

-
Image
ကျနော်အရင်က စမ်းထားတဲ့ cloud comoputing project လေးပါ ကိုယ်တိုင်ရေးထားတဲ့ java app တခုကို local ကနေ cloud ပေါ်migrateလုပ်နည်းလေးပါ။ အာ့တုန်းက Docker တို့ AWS တို့ Digital Ocean တို့သိပ်မသိသေးတဲ့အချိန်ပေါ့ဗျာ။ Video လေးကြည့်ပြီးရင် ကျနော်တို့ YouTube Channel ကိုလည်း Subscribe လုပ်ပေးပါရန်တောင်းဆိုပါတယ်ခင်ဗျာ။ Video မှာအသံမပါတဲ့အတွက်နားလည်ခွင့်လွှတ်စေချင်ပါတယ်။
Read more

SDN (Software Define Networking)

-
Image
အခုသွားမယ့်အကြောင်းအရာကတော့ လက်ရှိမှာ အနောက်နိုင်ငံတွေမှာ တင်သာမက အာရှတိုက်ကတချို့ companyကြီးတွေတော်တော်များများသုံးလာကြတဲ့ Software Defined Networking (SDN)ရဲ့ အလုပ်လုပ်ပုံတွေအကြောင်း တင်ပေးချင်ပါတယ်။ ကျနော်လည်းဒီရက်ပိုင်းမအားတာရယ်ကြောင့် post မတင်ဖြစ်တာပါ ပီးခဲ့တဲ့အပတ်တုန်းကတင်ခဲ့တဲ့ network automation အကြောင်းကလည်း basic ပဲရှိပါသေးတယ် နောက်အပတ်တေမှာ network automation ရဲ့ basic concepts တေနဲ့ configuration basic လေးတေအကြောင်းထပ်တင်ပေးဖို့ရှိပါသေးတယ်ခင်ဗျာ။ အခုကျနော်တို့ SDNအကြောင်းလေး စလိုက်ရအောင် လားဗျာ။SDNဆိုတာက‌တော့ ကျနော်တို့ အခုလက်ရှိ Data Center တွေ enterprise level organizations တွေမှာအသုံးပြုနေတဲ့ networking technology တခုဖြစ်ပါတယ်။ ကျနော်တို့သိတဲ့အတိုင်းပဲ data centerလိုနေရာမျိုးမှာ network devices တွေအနည်းဆုံး ရာကျော်ထောင်ကျော်လောက်ရှိမယ့်အပြင်ကို serverတွေကလည်း RAT Type တွေဖြစ်တဲ့အတွက် အသုံးပြုရမယ့် network devices တွေ configurations တွေကလည်းနည်းမှာမဟုတ်ပါဘူးအဓိက ကျနော်တို့အသုံးပြုနေတဲ့ legacy networking နဲ့ ကွာြခားချက်ကတော့ legacy network တွေမှာ ဥပမာအားဖြင့် cisco swit...
Read more

Hypervisor vs Container

-
Image
အခုတခေါက် တင်ပေးသွားမယ့် post ကတော့ ကျနော်တို့ network ပိုင်းသာမက System ပိုင်း ရော development ပိုင်း ကိုပါအကြီးအကျယ် ပြောင်းလဲသွားစေတဲ့ Hypervisor နဲ့ container တွေအကြောင်းကိုတင်ပေးမှာ ဖြစ်ပါတယ်။ကျနော် ဒီတခေါက်တော့ Server ပိုင်းနဲ့ System ပိုင်းကိုပိုပြီး အလေးပေးတင်ပေးသွားမှာ ဖြစ်ပါတယ်။ ပြီးတော့ Basic က အာ့ဆိုကျနော်တို့ စလိုက်ရအောင်ဗျာ။ Hypervisor ဆိုတာဘာလဲ? ဘယ်လိုအလုပ်လုပ်သလဲ ? Hypervisor ကတော့ ကျနော်တို့အခုလက်ရှိ ကျနော်တို့ Development ဘက်မှာရော၊ System administration ဘက်မှာရော ပိုပြီး CPU Usage ကျစေဖို့ memory အများကြီးမသုံးမိစေဖို့နဲ့ ကျနော်တို့ Multiple OS တွေကို တပြိုင်တက်လည်းသုံးချင်တယ်၊ Dual boot, triple boot တင်ဖို့အခက်အခဲဖြစ်နေတယ်ဆိုတဲ့ အချိန်မျိုးတွေမှာ ကျနော်တို့ physical Operation System မဟုတ်ပဲ virtual OS တွေ Network card နဲ့ HDD တွေကို မိမိလိုချင်သလို ဆွဲယူအသုံးပြုနိုင်တဲ့ Feature တခုဖြစ်ပါတယ်။ တစ်နည်းအားဖြင့်တော့ Hypervisor က Physical OS မဟုတ်တဲ့ OS တွေကို Virtual Machine အနေနဲ့ CPU နည်းနည်း RAM နည်းနည်းနဲ့ Dual boot တို့ Triple boot တိုလည်းတင်စရာမလိုပဲ တပြိုင်နက်တည်း...
Read more