Vzhledem k tomu, že zneužití a zranitelnosti se odhalují téměř denně a zprávy o kybernetických zločinech přibývají, má každý na mysli bezpečnost. Existují různé způsoby, jak zlepšit zabezpečení systému. Pokud používáte (nebo plánujete používat) server CentOS nebo Fedora, je SELinux ideálním výchozím bodem. SELinux je rychlý a robustní bezpečnostní protokol a aplikace, která vám pomáhá kontrolovat a kontrolovat uživatele a úroveň jejich přístupu k souborům a aplikacím v systému. V tomto článku poskytnu stručný úvod do SELinuxu, než vám ukážu, jak povolit SELinux na CentOS 7.
Co je SELinux?
Security-Enhanced Linux (SELinux) je bezpečnostní struktura navržená tak, aby poskytovala správcům systému Linux větší kontrolu nad uživateli přistupujícími k systému. Původně byl vyvinut americkou Národní bezpečnostní agenturou (NSA) jako série oprav a upgradů linuxového jádra pomocí Linux Security Modules (LSM). SELinux byl vydán jako open-source nástroj v roce 2000 a poté synchronizován s celým linuxovým jádrem v roce 2003.
Jak SELinux funguje?
SELinux řídí přístup ke všem souborům, procesům a aplikacím ve vašem systému. Pomocí sady předdefinovaných pravidel jako bezpečnostních politik může SELinux definovat bezpečnou a hodnotnou přístupovou politiku. SELinux ochrání systém a zabrání neoprávněným pokusům o přístup ke zdroji. V tomto přístupu takzvaný princip nejmenších oprávnění znamená, že uživateli programu musí být uděleno oprávnění k přístupu k souborům, adresářům, soketům a dalším službám.
Když aplikace nebo proces (nazývaný „subjekt“) požaduje přístup k souboru jako k objektu, SELinux použije k vyhodnocení přístupu Access Vector Cache (AVC). Tato mezipaměť ukládá všechny mezipaměti oprávnění pro subjekty a objekty, což znamená procesy a to, k čemu se snaží přistupovat. Bez uložených mezipamětí oprávnění by SELinux nemohl dělat žádná rozhodnutí. V takových případech SELinux jednoduše kontaktuje bezpečnostní server a požádá o informace pro vyhodnocení žádosti o přístup. Bezpečnostní server použije politiku SELinux pro vyhodnocení přístupu a na základě toho pak povolí nebo zamítne požadavek. Vždy si můžete prohlédnout protokoly zpráv (na „/var/log.messages“), abyste viděli, které požadavky byly přijaty nebo zamítnuty.
Jaké jsou režimy SELinux?
SELinux umožňuje administrátorům nastavit jeho funkčnost do jednoho ze tří následujících režimů. Každý režim má jiná bezpečnostní omezení a jejich použití:
Režim vynucení: Toto je výchozí režim, který blokuje a protokoluje akce, které nesplňují standardy zásad.
Permisivní režim: Tento režim vám poskytuje možnost podrobně pracovat na protokolech a událostech. Tento režim pomáhá zejména otestovat funkci SELinux. Zde změna provozního režimu mezi vynuceným a povoleným nebude vyžadovat restart systému.
Vypnutý režim: To vám umožní provádět všechny akce a akci nezaprotokolovat. Přepnutí do tohoto režimu vyžaduje restartování systému.
Jak povolit SElinux v CentOS 7
-
Zkontrolujte stav SELinux:
Krok 1: Zkontrolujte stav zapnutí/vypnutí SELinux
Než se pokusíte povolit SELinux, měli byste zkontrolovat, zda již není deaktivován.
Zadejte následující příkaz zkontrolujte nastavení ve vašem terminálu:
sestatus
Výstup ukazuje, že SELinux je nyní ve vašem systému zakázán.
Krok 2: Zkontrolujte své požadavky na povolení SELinuxu
- Uživatelský účet s právy sudo
- Přístup k terminálu/konzoli
- Systém založený na RHEL jako CentOS 7
- Nástroj pro textový editor nano
Zjednodušený hosting Linuxu
Chcete lepší způsob, jak hostovat své weby a webové aplikace? Vyvíjet něco nového? Prostě se vám nelíbí Windows? To je důvod, proč máme Linux VPS.
Získejte Linux VPS-
Spuštění SELinuxu:
Krok 3: Pomocí nano editoru otevřete soubor Config
Nastavte stav SELinux služby. Tak jděte do /etc/selinux/config a použijte textový editor, jako je Nano.
sudo nano /etc/selinux/config
Krok 4: Změňte režim SELinux
Nyní můžete změnit režim SELinux na kterýkoli z nich povolný or vymáhání.
Zde můžete změnit označený řádek na režim, který potřebujete.
Krok 5: Uložte změny
Poté stiskněte CTRL + X uplatnit a uložit. Poté stiskněte 'y', pak Vstupte pro potvrzení celého procesu
Krok 6: Restartujte server
Nyní byste měli restartovat systém. Chcete-li tak učinit, zadejte níže uvedený příkaz a stiskněte <Enter>:
sudo reboot
Krok 7: Znovu zkontrolujte stav SELinux
Pokud chcete zkontrolovat stav SELinuxu, zadejte „stav“ znovu v příkazovém řádku.
Nyní výsledek potvrzuje, že jste již v systému povolili režim vynucení.
Jak zakázat SELinux na CentOS 7
Chcete-li dočasně přepnout režim SELinux z cíleného na povolený, postupujte podle níže uvedeného příkazu::
sudo setenforce
Všimněte si však, že tato změna se týká pouze aktuální runtime relace.
Chcete-li trvale zakázat SELinux na vašem systému CentOS 7, postupujte takto:
Krok 1: Nastavte režim SELinux na „vypnuto“
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Krok 2: Uložte změny a restartujte
Nyní soubor uložte a poté restartujte systém CentOS pomocí příkazu:
sudo shutdown -r now
Krok 3: Znovu zkontrolujte stav SELinux
Když se systém spustí, potvrďte změnu zadáním a stav příkaz:
sestatus
Jak změnit režim SELinux
Místo úplného vypnutí SELinuxu změníte jeho režim na povolený. Akce, které byly provedeny, zanechávají stopu v souboru protokolu.
Nyní postupujte podle níže uvedených kroků a přepněte z režimu SELinux vymáhání to povolný typ:
sudo setenforce 0
Nyní byste měli otočit vymáhání režim zapnutý, zadejte tedy příkaz níže:
sudo setenforce 1
Tyto změny jsou platné pouze pro aktuální relaci. Po restartu systému se vrátí na výchozí hodnoty. Aby byly tyto změny trvalé, měli byste upravit konfigurační soubor pomocí textového editoru (např nano, například).
Zjednodušený hosting Linuxu
Chcete lepší způsob, jak hostovat své weby a webové aplikace? Vyvíjet něco nového? Prostě se vám nelíbí Windows? To je důvod, proč máme Linux VPS.
Získejte Linux VPSZabezpečení serveru CentOS 7 za hranicemi SELinuxu
Nyní, když jste na svůj CentOS 7 nainstalovali SELinux, můžete být v klidu s vědomím, že váš systém je bezpečnější než dříve. Samozřejmě neexistuje žádný způsob, jak zajistit, aby byl jakýkoli systém zcela bezpečný. Vždy je třeba udělat více – podívejte se například na položky v tomto průvodce zabezpečením vašeho Linux VPS. Ve skutečnosti jsme i u SELinuxu použili pouze ta nejzákladnější bezpečnostní opatření, která nabízí. A co víc, jakákoli ochranná opatření, která zavedete, nebudou platit, pokud poskytovatel hostingu pro váš server není dostatečně zabezpečený. To je důvod, proč ve společnosti Cloudzy udržujeme nejvyšší úroveň zabezpečení pomocí hardwaru a firewallů založených na AI, chytré DDoS ochrany a dalších proprietárních opatření. Užijte si naše Řešení CentOS VPS a provozovat skutečně bezpečný server.
