Sicherheitslücken und Exploits werden fast täglich bekannt, Cyberkriminalität nimmt zu. Sicherheit ist ein Thema, das alle betrifft. Es gibt verschiedene Ansätze, um die Sicherheit deines Systems zu verbessern. Wenn du einen CentOS oder Fedora Server nutzt oder nutzen möchtest, ist SELinux ein guter Einstiegspunkt. SELinux ist ein performantes Sicherheitsprotokoll und eine Anwendung, mit der du Benutzer überprüfst und ihre Zugriffsberechtigung auf Dateien und Anwendungen auf dem System kontrollierst. In diesem Artikel gebe ich dir einen kurzen Überblick über SELinux und zeige dir dann, wie du SELinux auf CentOS 7 aktivierst.
Was ist SELinux?
Das Security-Enhanced Linux (SELinux) ist ein Sicherheitsframework, das Systemadministratoren mehr Kontrolle über den Zugriff auf das System gibt. Ursprünglich wurde es von der U.S. National Security Agency (NSA) als eine Reihe von Patches und Erweiterungen für den Linux-Kernel entwickelt, unter Verwendung der Linux Security Modules (LSM). SELinux wurde im Jahr 2000 als Open-Source-Tool veröffentlicht und 2003 in den gesamten Linux-Kernel integriert.
Wie funktioniert SELinux?
SELinux steuert den Zugriff auf alle Dateien, Prozesse und Anwendungen auf Ihrem System. Anhand vordefinierter Regeln als Sicherheitsrichtlinien legt SELinux eine klare und wirksame Zugriffspolitik fest. SELinux schützt das System und verhindert unbefugte Zugriffsversuche auf Ressourcen. Dabei gilt das Prinzip der minimalen Rechtevergabe: Nutzern eines Programms werden nur die Berechtigungen erteilt, die sie tatsächlich benötigen - für Dateien, Verzeichnisse, Sockets und andere Dienste.
Wenn eine Anwendung oder ein Prozess (als "Subjekt" bezeichnet) Zugriff auf eine Datei als Objekt anfordert, verwendet SELinux den Access Vector Cache (AVC) zur Bewertung des Zugriffs. Dieser Cache speichert alle Zugriffsgenehmigungen für Subjekte und Objekte, was bedeutet die Prozesse und worauf sie versuchen zuzugreifen. Ohne gespeicherte Zugriffsgenehmigungen könnte SELinux keine Entscheidungen treffen. In solchen Fällen kontaktiert SELinux einfach den Sicherheitsserver und fragt nach Informationen zur Bewertung der Zugriffanforderung. Der Sicherheitsserver wendet die SELinux-Richtlinie zur Bewertung des Zugriffs an und gewährt oder verweigert die Anforderung basierend darauf. Sie können jederzeit die Nachrichtenprotokolle (unter "/var/log.messages") überprüfen, um zu sehen, welche Anforderungen akzeptiert oder abgelehnt wurden.
Was sind die SELinux-Modi?
SELinux ermöglicht Administratoren, eine von drei Betriebsmodi festzulegen. Jeder Modus hat unterschiedliche Sicherheitseinschränkungen und Einsatzbereiche:
Durchsetzungsmodus: Dies ist der Standardmodus, der Aktionen, die nicht den Richtlinien entsprechen, blockiert und protokolliert.
Permissiver Modus: Dieser Modus ermöglicht die detaillierte Analyse von Logs und Ereignissen. Er eignet sich besonders zum Testen des SELinux-Features. Der Wechsel zwischen dem erzwungenen und dem permissiven Modus erfordert keinen Systemneustart.
Deaktivierter Modus: Damit können alle Aktionen ausgeführt werden, ohne dass diese protokolliert werden. Ein Wechsel in diesen Modus erfordert einen Systemneustart.
SElinux in CentOS 7 aktivieren – Schritt-für-Schritt-Anleitung
-
SELinux-Status prüfen:
Schritt 1: Prüfen Sie den Ein-/Aus-Status Ihres SELinux
Bevor Sie versuchen, SELinux zu aktivieren, sollten Sie prüfen, ob es bereits deaktiviert ist.
Geben Sie folgenden Befehl in Ihr Terminal ein, um die Einstellungen zu prüfen:
sestatus
Die Ausgabe zeigt, dass SELinux auf Ihrem System jetzt deaktiviert ist.
Schritt 2: Voraussetzungen für die Aktivierung von SELinux prüfen
- Ein Benutzerkonto mit sudo-Rechten
- Zugang zu einem Terminal/einer Konsole
- Ein auf RHEL basierendes System wie CentOS 7
- Der Texteditor nano
Linux-Hosting leicht gemacht
Möchtest du eine bessere Lösung zum Hosten von Websites und Web-Apps? Arbeitest du an einem neuen Projekt? Oder magst du Windows einfach nicht? Dafür gibt es Linux VPS.
Hol dir dein Linux VPS-
Starten von SELinux :
Schritt 3: Konfigurationsdatei mit dem nano-Editor öffnen
Legen Sie den SELinux-Status des Dienstes fest. Öffnen Sie dazu die Datei /etc/selinux/config und verwenden Sie einen Texteditor wie Nano.
sudo nano /etc/selinux/config
Schritt 4: SELinux-Modus ändern
Sie können den SELinux-Modus nun auf einen der folgenden Werte setzen: erlaubnisfreudig or enforcing.
Ändern Sie die markierte Zeile auf den gewünschten Modus.
Schritt 5: Änderungen speichern
Drücken Sie anschließend CTRL + X um die Änderungen zu übernehmen und zu speichern. Drücken Sie danach 'y', dann Enter um den Vorgang zu bestätigen.
Schritt 6: Server neu starten
Starten Sie das System jetzt neu. Geben Sie dazu den folgenden Befehl ein und drücken Sie <Enter>:
sudo reboot
Schritt 7: SELinux-Status erneut prüfen
Wenn du den Status von SELinux prüfen möchtest, gib "" einsestatus wieder in der Kommandozeile.
Das Ergebnis bestätigt, dass der Enforcing-Modus im System bereits aktiviert ist.
So deaktivieren Sie SELinux unter CentOS 7
Führen Sie den folgenden Befehl aus, um den SELinux-Modus vorübergehend von targeted auf permissive umzustellen:
sudo setenforce
Beachte jedoch, dass diese Änderung nur für die aktuelle Laufzeitsitzung gilt.
Um SELinux auf Ihrem CentOS 7-System dauerhaft zu deaktivieren, folgen Sie diesen Schritten:
Schritt 1: SELinux-Modus auf „disabled" setzen
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Schritt 2: Änderungen speichern und neu starten
Speichern Sie nun die Datei und starten Sie anschließend Ihr CentOS-System mit folgendem Befehl neu:
sudo shutdown -r now
Schritt 3: Status von SELinux erneut prüfen
Wenn das System hochfährt, bestätige die Änderung mit einem sestatus Befehl:
sestatus
So ändern Sie den SELinux-Modus
Anstatt SELinux vollständig zu deaktivieren, wechseln Sie in den permissiven Modus. Die ausgeführten Aktionen werden in der Log-Datei protokolliert.
Folgen Sie nun den nachstehenden Schritten, um den SELinux-Modus von enforcing to erlaubnisfreudig Typ:
sudo setenforce 0
Jetzt solltest du den enforcing Modus aktivieren – gib dazu folgenden Befehl ein:
sudo setenforce 1
Diese Änderungen gelten nur für die aktuelle Sitzung. Nach einem Neustart des Systems werden die Standardwerte wiederhergestellt. Um die Änderungen dauerhaft zu übernehmen, bearbeite die Konfigurationsdatei mit einem Texteditor (wie nano, zum Beispiel).
Linux-Hosting leicht gemacht
Möchtest du eine bessere Lösung zum Hosten von Websites und Web-Apps? Arbeitest du an einem neuen Projekt? Oder magst du Windows einfach nicht? Dafür gibt es Linux VPS.
Hol dir dein Linux VPSIhren CentOS 7 Server über SELinux hinaus absichern
Jetzt, wo Sie SELinux auf Ihrem CentOS 7 installiert haben, können Sie sicher sein, dass Ihr System besser geschützt ist als zuvor. Natürlich lässt sich kein System vollständig absichern. Es gibt immer weitere Maßnahmen, die man ergreifen kann – schauen Sie sich zum Beispiel die Punkte in dieser Anleitung zur Absicherung Ihres Linux VPS. Tatsächlich haben wir mit SELinux bisher nur die grundlegendsten verfügbaren Sicherheitsfunktionen genutzt. Darüber hinaus nützen alle eigenen Schutzmaßnahmen wenig, wenn der Hosting-Anbieter selbst keine ausreichende Sicherheit bietet. Deshalb setzt Cloudzy auf mehrere Sicherheitsebenen: Hardware- und KI-basierte Firewalls, intelligenten DDoS-Schutz und weitere eigene Schutzmechanismen. Profitieren Sie von unserem CentOS VPS-Lösungen und einen wirklich sicheren Server betreiben.
