مع تصاعد التقارير عن ثغرات أمنية واختراقات تُكشف شبه يومياً، باتت الأمان شغل الجميع الشاغل. ثمة طرق عدة لتعزيز أمان نظامك. إن كنت تستخدم خادم CentOS أو Fedora أو تخطط لذلك، فإن SELinux نقطة انطلاق مثالية. SELinux بروتوكول وتطبيق أمني سريع يمنحك إمكانية مراقبة المستخدمين والتحكم في مستويات وصولهم إلى الملفات والتطبيقات على النظام. في هذا المقال، سأقدم مقدمة موجزة عن SELinux ثم أشرح كيفية تفعيله على CentOS 7.
ما هو SELinux؟
Linux المحسّن أمنياً (SELinux) هو بنية أمنية صُممت لمنح مسؤولي نظام Linux تحكماً أكبر في وصول المستخدمين إلى النظام. طوّرته في الأصل وكالة الأمن القومي الأمريكية (NSA) على شكل سلسلة من التصحيحات والتحسينات لنواة Linux باستخدام وحدات أمان Linux (LSM). صدر SELinux أداةً مفتوحة المصدر عام ٢٠٠٠، ثم اندُمج مع نواة Linux الكاملة عام ٢٠٠٣.
كيف يعمل SELinux؟
يتحكم SELinux في الوصول إلى جميع الملفات والعمليات والتطبيقات على نظامك. من خلال مجموعة من القواعد المحددة مسبقاً بوصفها سياسات أمنية، يستطيع SELinux تحديد سياسة وصول آمنة وفعّالة. يحمي SELinux النظام ويحول دون أي محاولات وصول غير مصرح بها إلى الموارد. في هذا النهج، يقوم مبدأ الصلاحية الدنيا على منح المستخدم الحد الأدنى من الأذونات اللازمة للوصول إلى الملفات والمجلدات والمقابس وغيرها من الخدمات.
حين تطلب تطبيق أو عملية (تُعرف بـ"الموضوع") الوصول إلى ملف بوصفه كائناً، يستخدم SELinux ذاكرة تخزين متجه الوصول (AVC) لتقييم هذا الطلب. تخزّن هذه الذاكرة جميع أذونات الوصول المؤقتة للموضوعات والكائنات، أي العمليات وما تسعى إلى الوصول إليه. وإن لم تكن ثمة أذونات مخزّنة، عجز SELinux عن اتخاذ أي قرار. في هذه الحالة، يتصل SELinux بخادم الأمان ويستعلم منه عن المعلومات اللازمة لتقييم طلب الوصول. يطبّق خادم الأمان سياسة SELinux لتقييم الطلب، ثم يمنحه أو يرفضه بناءً على ذلك. يمكنك دائماً مراجعة سجلات الرسائل في "/var/log.messages" لمعرفة الطلبات التي قُبلت أو رُفضت.
ما هي أوضاع SELinux؟
يتيح SELinux للمسؤولين ضبطه على أحد الأوضاع الثلاثة التالية، ولكل وضع قيوده الأمنية واستخداماته:
وضع التطبيق (Enforcing): هذا هو الوضع الافتراضي، الذي يحجب الإجراءات التي لا تستوفي معايير السياسة الأمنية ويسجّلها.
وضع الإذن (Permissive): يوفر هذا الوضع إمكانية مراجعة السجلات والأحداث بالتفصيل، وهو مفيد بصفة خاصة لاختبار ميزات SELinux. في هذا الوضع، لا يستلزم التبديل بين وضعَي التطبيق والإذن إعادة تشغيل النظام.
وضع التعطيل (Disabled): يتيح لك هذا تنفيذ جميع الإجراءات دون تسجيلها. يتطلب التبديل إلى هذا الوضع إعادة تشغيل النظام.
كيفية تفعيل SElinux في CentOS 7
-
التحقق من حالة SELinux:
الخطوة ١: التحقق من حالة تفعيل SELinux
قبل محاولة تفعيل SELinux، تحقق أولاً مما إذا كان معطلاً بالفعل.
أدخل الأمر التالي في الطرفية للتحقق من الإعدادات:
sestatus
يُظهر الناتج أن SELinux معطل حالياً على نظامك.
الخطوة ٢: التحقق من المتطلبات اللازمة لتفعيل SELinux
- حساب مستخدم يمتلك صلاحيات sudo
- وصول إلى طرفية أو وحدة تحكم
- نظام مبني على RHEL مثل CentOS 7
- محرر نصوص nano
استضافة Linux بكل يسر
هل تبحث عن طريقة أفضل لاستضافة مواقعك وتطبيقاتك؟ أو تطوّر شيئاً جديداً؟ أو ببساطة لا تميل إلى Windows؟ لهذا أوجدنا Linux VPS.
احصل على Linux VPS-
تشغيل SELinux:
الخطوة ٣: استخدام محرر nano لفتح ملف الإعداد
حدد حالة SELinux للخدمة. انتقل إلى etc/selinux/config/ وافتح الملف باستخدام محرر نصوص مثل Nano.
sudo nano /etc/selinux/config
الخطوة ٤: تغيير وضع SELinux
يمكنك الآن تغيير وضع SELinux إلى أحد الخيارين متساهل or enforcing.
غيّر السطر المحدد إلى الوضع الذي تحتاجه.
الخطوة ٥: حفظ التغييرات
ثم اضغط CTRL + X لتطبيق التغييرات وحفظها. بعد ذلك، اضغط 'y'، ثم Enter لتأكيد العملية بأكملها
الخطوة السادسة: أعد تشغيل الخادم
يجب الآن إعادة تشغيل النظام. للقيام بذلك، أدخل الأمر التالي ثم اضغط <Enter>:
sudo reboot
الخطوة السابعة: التحقق من حالة SELinux مجدداً
إذا أردت التحقق من حالة SELinux، أدخل "sestatus" في سطر الأوامر مرة أخرى.
تؤكد النتيجة الآن أنك قد فعّلت وضع الإنفاذ في النظام.
كيفية تعطيل SELinux على CentOS 7
اتبع الأمر التالي لتبديل وضع SELinux مؤقتاً من targeted إلى permissive::
sudo setenforce
لكن انتبه، هذا التغيير لا يسري إلا على جلسة التشغيل الحالية.
لتعطيل SELinux نهائياً على نظام CentOS 7، اتبع الخطوات التالية:
الخطوة ١: ضبط وضع SELinux على "disabled"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
الخطوة ٢: حفظ التغييرات وإعادة التشغيل
احفظ الملف الآن، ثم أعد تشغيل نظام CentOS بالأمر:
sudo shutdown -r now
الخطوة ٣: التحقق مجدداً من حالة SELinux
بعد إقلاع النظام، تحقق من التغيير بتنفيذ أمر sestatus :
sestatus
كيفية تغيير وضع SELinux
بدلاً من تعطيل SELinux كلياً، يمكنك تغيير وضعه إلى permissive. الإجراءات التي تُنفَّذ في هذا الوضع تُسجَّل في ملف السجل.
اتبع الخطوات التالية لتبديل وضع SELinux من enforcing to متساهل اكتب:
sudo setenforce 0
يجب الآن تفعيل وضع enforcing ، لذا أدخل الأمر التالي:
sudo setenforce 1
هذه التغييرات سارية فقط في الجلسة الحالية، وستعود إلى قيمها الافتراضية بعد إعادة تشغيل النظام. لجعل هذه التغييرات دائمة، عليك تعديل ملف الإعداد باستخدام محرر نصوص (مثل nano، على سبيل المثال).
استضافة Linux بكل يسر
هل تبحث عن طريقة أفضل لاستضافة مواقعك وتطبيقاتك؟ أو تطوّر شيئاً جديداً؟ أو ببساطة لا تميل إلى Windows؟ لهذا أوجدنا Linux VPS.
احصل على Linux VPSتأمين خادم CentOS 7 لما هو أبعد من SELinux
بعد تثبيت SELinux على نظام CentOS 7، يمكنك الاطمئنان إلى أن نظامك أكثر أماناً مما كان عليه. بالطبع، لا توجد طريقة لضمان أمان أي نظام بشكل مطلق. هناك دائماً المزيد مما يمكن فعله؛ انظر مثلاً إلى العناصر الواردة في هذا دليل تأمين Linux VPS. في الواقع، حتى مع SELinux، اقتصرنا على أبسط إجراءات الأمان المتاحة. والأهم من ذلك أن أي تدابير حماية تتخذها ستكون بلا قيمة إذا لم يكن مزود الاستضافة آمناً بما يكفي. لهذا السبب، نحرص في Cloudzy على أعلى مستويات الأمان، من خلال جدران حماية مادية ومعتمدة على AI، وحماية ذكية من DDoS، وتدابير خاصة أخرى. استمتع بخدمات حلول CentOS VPS وأدِر خادماً آمناً فعلاً.
