Linux Çekirdeği, modüler yapısı sayesinde farklı güvenlik çözümleri sunabilen güçlü bir altyapıya sahiptir. Güvenlik, Linux işletim sistemlerinde kritik bir öneme sahiptir ve bu ihtiyacı karşılamak için SELinux (Security-Enhanced Linux) ve AppArmor gibi güvenlik modülleri geliştirilmiştir.
LSM'nin temel amacı, kullanıcıların ve uygulamaların sistemdeki dosya ve kaynaklara erişimini kontrol ederek güvenliği artırmaktır. Bu çerçeve, farklı güvenlik çözümlerinin kolayca entegre edilmesine olanak tanır.
1. Linux Güvenlik Modülleri (LSM) Nedir?
Linux Güvenlik Modülleri (LSM), çekirdek seviyesinde güvenlik politikalarını uygulamak için kullanılan bir API’dir. SELinux ve AppArmor, LSM çerçevesi üzerine inşa edilmiş iki popüler güvenlik modülüdür.LSM'nin temel amacı, kullanıcıların ve uygulamaların sistemdeki dosya ve kaynaklara erişimini kontrol ederek güvenliği artırmaktır. Bu çerçeve, farklı güvenlik çözümlerinin kolayca entegre edilmesine olanak tanır.
2. SELinux Nedir?
SELinux, ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen ve zorunlu erişim kontrolü (Mandatory Access Control - MAC) kullanan bir güvenlik modülüdür. SELinux’un temel amacı, sistemdeki süreçlerin ve kullanıcıların kaynaklara yalnızca izin verilen yöntemlerle erişmesini sağlamaktır.- SELinux’un Avantajları:
- Detaylı güvenlik politikaları yazma imkanı sunar.
- Geniş bir topluluk desteği ve düzenli güncellemeler alır.
- Karmaşık ve büyük sistemlerde güçlü bir güvenlik sağlar.
- SELinux Çalışma Modları:
- Enforcing (Zorlayıcı): Güvenlik politikaları aktif ve ihlal durumunda işlemleri engeller.
- Permissive (İzin Verici): Politikaları denetler ancak ihlal durumunda işlemleri engellemez.
- Disabled (Devre Dışı): SELinux tamamen devre dışıdır.
3. AppArmor Nedir?
AppArmor, süreçlerin erişim izinlerini yol tabanlı (path-based) güvenlik politikaları ile kontrol eden bir güvenlik modülüdür. SELinux’tan farklı olarak, daha kullanıcı dostu ve esnek bir yapı sunar.- AppArmor’un Avantajları:
- SELinux’a göre daha kolay bir öğrenim ve yapılandırma süreci sunar.
- Yol tabanlı politikalar, belirli dosyalara veya dizinlere erişim kontrolü sağlar.
- Hafif bir yapıya sahip olduğundan düşük kaynak tüketimi ile çalışır.
- AppArmor’un Çalışma Modları:
- Enforce Mode: Politika ihlallerini engeller.
- Complain Mode: İhlalleri raporlar ancak işlemleri engellemez.
4. SELinux ve AppArmor Karşılaştırması
| Özellik | SELinux | AppArmor |
|---|---|---|
| Politika Türü | Etiket tabanlı (Label-based) | Yol tabanlı (Path-based) |
| Esneklik | Karmaşık ancak çok yönlü | Daha kolay ve kullanıcı dostu |
| Performans | Daha fazla sistem kaynağı kullanabilir | Daha hafif yapı |
| Uyumluluk | Daha geniş bir kullanıcı kitlesi | Daha küçük ve odaklı topluluk |
5. SELinux Yapılandırması
- SELinux Durumunu Kontrol Etme:
Bash:sestatus - SELinux Modunu Değiştirme:
Bash:sudo setenforce [0|1]0: Permissive mod1: Enforcing mod
- SELinux Politikalarını Yönetme:
Bash:sudo semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?" sudo restorecon -Rv /websites
6. AppArmor Yapılandırması
- AppArmor’un Durumunu Kontrol Etme:
Bash:sudo aa-status - AppArmor Profilleri Listesi:
Bash:sudo ls /etc/apparmor.d/ - AppArmor Profili Oluşturma:
Bash:sudo aa-genprof /usr/bin/uygulama_adı - Profil Modunu Değiştirme:
Bash:sudo aa-complain /etc/apparmor.d/profil_adi sudo aa-enforce /etc/apparmor.d/profil_adi
7. Hangi Modül Kullanılmalı?
- SELinux, büyük ve karmaşık sistemler için detaylı güvenlik gereksinimleri olduğunda tercih edilir.
- AppArmor, kullanıcı dostu bir yapı arayanlar ve daha hafif bir güvenlik çözümüne ihtiyaç duyanlar için idealdir.