Exploits og sårbarheder opdages næsten dagligt, og rapporter om cyberkriminalitet stiger. Sikkerhed er derfor højt på dagsordenen for alle. Der er flere måder at forbedre systemsikkerheden på. Hvis du bruger (eller planlægger at bruge) en CentOS eller Fedora server, er SELinux et godt udgangspunkt. SELinux er en hurtig og pålidelig sikkerhedsprotokol og applikation, der hjælper dig med at kontrollere brugere og deres adgangsniveauer til filer og applikationer på systemet. I denne artikel giver jeg dig en kort introduktion til SELinux og viser dig derefter, hvordan du aktiverer SELinux på CentOS 7.
Hvad er SELinux?
Security-Enhanced Linux (SELinux) er en sikkerhedsstruktur designet til at give Linux-systemadministratorer mere kontrol over brugere, der får adgang til systemet. Det blev oprindeligt udviklet af det amerikanske National Security Agency (NSA) som en serie patches og opgradinger til Linux-kernen ved hjælp af Linux Security Modules (LSM). SELinux blev frigivet som et open source-værktøj i 2000 og blev derefter synkroniseret med hele Linux-kernen i 2003.
Hvordan fungerer SELinux?
SELinux kontrollerer adgangen til alle filer, processer og applikationer på dit system. Ved hjælp af et sæt foruddefinerede regler som sikkerhedspolitikker kan SELinux definere en sikker og effektiv adgangspolitik. SELinux beskytter systemet og forhindrer uautoriserede forsøg på at få adgang til en ressource. I denne tilgang betyder princippet om mindste rettighed, at brugeren af et program skal have tilladelse til at få adgang til filer, mapper, sockets og andre tjenester.
Når en applikation eller proces (kaldet et "subjekt") anmoder om adgang til en fil som et objekt, bruger SELinux Access Vector Cache (AVC) til at evaluere adgangen. Dette cache gemmer alle tilladelsescacher for subjekter og objekter, hvilket betyder de processer og hvad de forsøger at få adgang til. Uden nogen tilladelsescacher gemt ville SELinux ikke kunne træffe nogen beslutninger. I sådanne tilfælde kontakter SELinux blot sikkerhedsserveren og anmoder om oplysninger til at evaluere adgangsanmodningen. Sikkerhedsserveren anvender SELinux-politikken til at evaluere adgangen, og giver eller nægter derefter anmodningen baseret på den. Du kan altid tjekke meddelelseloggene (på "/var/log.messages") for at se, hvilke anmodninger der er blevet accepteret eller nægtet.
Hvad er SELinux tilstande?
SELinux giver administratorer mulighed for at indstille dets funktionalitet til en af de tre følgende tilstande. Hver tilstand har forskellige sikkerhedsbegrænsninger og anvendelser:
Håndhævelsestilstand: Dette er standardtilstanden, som blokerer og logger de handlinger, der ikke opfylder politikkens standarder.
Tilladelses-tilstand: Denne tilstand giver dig mulighed for at arbejde med logge og begivenheder i detaljer. Denne tilstand hjælper især med at teste SELinux-funktionen. Her vil ændring af driftstilstande mellem tvunget og permissiv ikke kræve en systemomstart.
Deaktiveret tilstand: Dette giver dig mulighed for at udføre alle handlinger uden at logge handlingen. Skift til denne tilstand kræver en systemomstart.
Sådan aktiverer du SElinux i CentOS 7
-
Tjek SELinux-status :
Trin 1: Kontrollér din SELinux-status (til/fra)
Før du forsøger at aktivere SELinux, bør du kontrollere, om det allerede er deaktiveret.
Indtast følgende kommando for at kontrollere indstillingerne i din terminal:
sestatus
Output viser, at SELinux nu er deaktiveret på dit system.
Trin 2: Kontrollér dine krav til aktivering af SELinux
- En brugerkonto med sudo-rettigheder
- Adgang til en terminal/konsol
- Et system baseret på RHEL som CentOS 7
- Et teksteditørværktøj som nano
Linux Hosting - gjort enkelt
Ønsker du en bedre måde at hoste dine websteder og web-apps på? Udvikler du noget nyt? Eller kan du bare ikke lide Windows? Det er præcis derfor, vi tilbyder Linux VPS.
Få din Linux VPS-
Starter SELinux :
Trin 3: Brug nano-editoren til at åbne konfigurationsfilen
Indstil SELinux-status for tjenesten. Gå derfor til /etc/selinux/config fil og brug en teksteditor som Nano.
sudo nano /etc/selinux/config
Trin 4: Skift SELinux-tilstand
Nu kan du ændre SELinux-tilstanden til enten tilladende or enforcing.
Her kan du ændre den markerede linje til den tilstand, du har brug for.
Trin 5: Gem ændringerne
Tryk derefter CTRL + X for at anvende og gemme. Derefter skal du trykke y, derefter Enter for at bekræfte hele processen
Trin 6: Genstarte din server
Nu skal du genstarte systemet. For at gøre det skal du indtaste kommandoen nedenfor og trykke <Enter>:
sudo reboot
Trin 7: Tjek SELinux-status igen
Hvis du vil kontrollere status for SELinux, skal du indtaste "sestatus" i kommandolinjen igen.
Nu bekræfter resultatet, at du allerede har aktiveret enforcing-mode i systemet.
Sådan deaktiveres SELinux på CentOS 7
Følg kommandoen nedenfor for at skifte SELinux-mode midlertidigt fra targeted til permissive:
sudo setenforce
Bemærk dog, at denne ændring kun gælder for den aktuelle kørselsession.
For permanent at deaktivere SELinux på dit CentOS 7-system skal du følge disse trin:
Trin 1: Sæt SELinux-tilstand til "deaktiveret"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Trin 2: Gem ændringer og genstart
Gem nu filen, og genstarte derefter dit CentOS-system med kommandoen:
sudo shutdown -r now
Trin 3: Bekræft SELinux-status
Når systemet starter op, skal du bekræfte ændringen ved at give en sestatus kommando:
sestatus
Sådan ændrer du SELinux-tilstand
I stedet for helt at deaktivere SELinux skifter du blot dets mode til permissive. De handlinger, der er blevet udført, efterlader et spor i logfilen.
Følg nu trinene nedenfor for at skifte SELinux-mode fra enforcing to tilladende skriv:
sudo setenforce 0
Nu skal du aktivere enforcing mode, så skal du indtaste kommandoen nedenfor:
sudo setenforce 1
Disse ændringer er kun gyldige for den aktuelle session. De vender tilbage til deres standardværdier efter en systemgenstart. For at gøre disse ændringer permanente skal du redigere konfigurationsfilen med et tekstredigeringsprogram (såsom nano, for eksempel).
Linux Hosting - gjort enkelt
Ønsker du en bedre måde at hoste dine websteder og web-apps på? Udvikler du noget nyt? Eller kan du bare ikke lide Windows? Det er præcis derfor, vi tilbyder Linux VPS.
Få din Linux VPSSikring af din CentOS 7-server med SELinux
Nu hvor du har installeret SELinux på dit CentOS 7, kan du være rolig over, at dit system er mere sikkert end før. Selvfølgelig er der ingen måde at garantere, at et system er fuldstændig sikkert. Der er altid mere, der skal gøres. Se for eksempel punkterne i denne vejledning til sikring af din Linux VPS. Faktisk har vi med SELinux kun brugt de mest grundlæggende sikkerhedsforanstaltninger, det har at tilbyde. Hertil kommer, at alle sikkerhedsforanstaltninger er værdiløse, hvis hostingudbyder for din server ikke er sikker nok. Det er derfor, at Cloudzy opretholder højeste sikkerhedsniveauer med hardware- og AI-baserede firewalls, smart DDoS-beskyttelse og andre proprietære foranstaltninger. Nyd vores CentOS VPS-løsninger og kør en virkelig sikker server.
