Alors que les exploits et les vulnérabilités sont révélés presque quotidiennement et que les rapports de cybercriminalité se multiplient, la sécurité est une préoccupation de tous. Il existe différentes manières d’améliorer la sécurité de votre système. Si vous utilisez (ou envisagez d'utiliser) un serveur CentOS ou Fedora, SELinux est un point de départ idéal. SELinux est un protocole et une application de sécurité rapides et robustes qui vous aident à vérifier et contrôler les utilisateurs et leur niveau d'accès aux fichiers et applications du système. Dans cet article, je vais vous fournir une brève introduction à SELinux avant de vous montrer comment activer SELinux sur CentOS 7.
Qu’est-ce que SELinux ?
Security-Enhanced Linux (SELinux) est une structure de sécurité conçue pour fournir aux administrateurs système Linux plus de contrôle sur les utilisateurs accédant au système. Il a été initialement développé par la National Security Agency (NSA) des États-Unis sous la forme d'une série de correctifs et de mises à niveau du noyau Linux utilisant les modules de sécurité Linux (LSM). SELinux a été publié en tant qu'outil open source en 2000, puis synchronisé avec l'ensemble du noyau Linux en 2003.
Comment fonctionne SELinux ?
SELinux contrôle l'accès à tous les fichiers, processus et applications de votre système. En utilisant un ensemble de règles prédéfinies comme politiques de sécurité, SELinux peut définir une politique d'accès sécurisée et précieuse. SELinux protégera le système et empêchera les tentatives non autorisées d'accès à une ressource. Dans cette approche, le principe du moindre privilège signifie que l'utilisateur d'un programme doit avoir l'autorisation d'accéder aux fichiers, répertoires, sockets et autres services.
Lorsqu'une application ou un processus (appelé « sujet ») demande à accéder à un fichier en tant qu'objet, SELinux utilise l'Access Vector Cache (AVC) pour évaluer l'accès. Ce cache stocke tous les caches d'autorisations pour les sujets et les objets, c'est-à-dire les processus et ce à quoi ils tentent d'accéder. Sans aucun cache d'autorisation stocké, SELinux ne serait en mesure de prendre aucune décision. Dans de tels cas, SELinux contacte simplement le serveur de sécurité et demande des informations pour évaluer la demande d'accès. Le serveur de sécurité applique la politique SELinux pour évaluer l'accès, puis accorde ou refuse la demande en fonction de cela. Vous pouvez toujours consulter les journaux de messages (sur « /var/log.messages ») pour voir quelles demandes ont été acceptées ou refusées.
Quels sont les modes SELinux ?
SELinux permet aux administrateurs de définir ses fonctionnalités sur l'un des trois modes suivants. Chaque mode a des restrictions de sécurité et des utilisations différentes :
Mode d'application : Il s'agit du mode par défaut, qui bloque et enregistre les actions qui ne répondent pas aux normes de la politique.
Mode permissif : Ce mode vous offre la possibilité de travailler en détail sur les journaux et les événements. Ce mode permet notamment de tester la fonctionnalité SELinux. Ici, le changement de mode de fonctionnement entre le mode forcé et le mode permissif ne nécessitera pas de redémarrage du système.
Mode désactivé : Cela vous permet d'effectuer toutes les actions et de ne pas enregistrer l'action. Le passage à ce mode nécessite un redémarrage du système.
Comment activer SElinux dans CentOS 7
-
Vérifiez l'état de SELinux :
Étape 1 : Vérifiez l'état activé/désactivé de votre SELinux
Avant d'essayer d'activer SELinux, vous devez vérifier s'il est déjà désactivé.
Entrez la commande suivante et vérifiez les paramètres de votre terminal :
sestatus
Le résultat montre que SELinux est désormais désactivé sur votre système.
Étape 2 : Vérifiez vos exigences pour l'activation de SELinux
- Un compte utilisateur avec les privilèges sudo
- Accès à un terminal/console
- Un RHEL basé sur un système comme CentOS 7
- Un outil d'édition de texte nano
Hébergement Linux simplifié
Vous voulez une meilleure façon d’héberger vos sites Web et applications Web ? Développer quelque chose de nouveau ? Vous n’aimez tout simplement pas Windows ? C'est pourquoi nous avons Linux VPS.
Obtenez votre VPS Linux-
Démarrage de SELinux :
Étape 3 : utilisez l'éditeur nano pour ouvrir le fichier de configuration
Définissez l'état SELinux du service. Alors va à /etc/selinux/config fichier et utilisez un éditeur de texte comme Nano.
sudo nano /etc/selinux/config
Étape 4 : Changer le mode SELinux
Maintenant, vous pouvez changer le mode SELinux en permissif or application.
Ici, vous pouvez modifier la ligne marquée selon le mode dont vous avez besoin.
Étape 5 : Enregistrez les modifications
Puis appuyez sur CTRL + X pour postuler et enregistrer. Après cela, appuyez sur 'oui', alors Entrer pour confirmer l'ensemble du processus
Étape 6 : Redémarrez votre serveur
Vous devez maintenant redémarrer le système. Pour ce faire, entrez la commande ci-dessous et appuyez sur <Entrée> :
sudo reboot
Étape 7 : Revérifiez l'état de SELinux
Si vous souhaitez vérifier l’état de SELinux, entrez « statut » dans la ligne de commande à nouveau.
Maintenant, le résultat confirme que vous avez déjà activé le mode d'application dans le système.
Comment désactiver SELinux sur CentOS 7
Suivez la commande ci-dessous pour passer temporairement du mode SELinux de ciblé à permissif : :
sudo setenforce
Mais notez que cette modification s'applique uniquement à la session d'exécution en cours.
Pour désactiver définitivement SELinux sur votre système CentOS 7, procédez comme suit :
Étape 1 : Définissez le mode SELinux sur « désactivé »
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Étape 2 : Enregistrez les modifications et redémarrez
Enregistrez maintenant le fichier et après cela, redémarrez votre système CentOS avec la commande :
sudo shutdown -r now
Étape 3 : Revérifiez l'état de SELinux
Lorsque le système démarre, confirmez la modification en donnant un statut commande:
sestatus
Comment changer le mode SELinux
Au lieu de désactiver complètement SELinux, vous changez son mode en permissif. Les actions réalisées laissent une trace dans le fichier journal.
Suivez maintenant les étapes ci-dessous pour changer le mode SELinux de application to permissif taper:
sudo setenforce 0
Maintenant, vous devriez tourner le application est activé, alors saisissez la commande ci-dessous :
sudo setenforce 1
Ces modifications ne sont valables que pour la session en cours. Ils reviendront à leurs valeurs par défaut après un redémarrage du système. Pour rendre ces modifications permanentes, vous devez éditer le fichier de configuration à l'aide d'un éditeur de texte (comme nano, Par exemple).
Hébergement Linux simplifié
Vous voulez une meilleure façon d’héberger vos sites Web et applications Web ? Développer quelque chose de nouveau ? Vous n’aimez tout simplement pas Windows ? C'est pourquoi nous avons Linux VPS.
Obtenez votre VPS LinuxSécuriser votre serveur CentOS 7 au-delà de SELinux
Maintenant que vous avez installé SELinux sur votre CentOS 7, vous pouvez être tranquille en sachant que votre système est plus sécurisé qu'avant. Bien entendu, il n’existe aucun moyen de garantir qu’un système soit entièrement sécurisé. Il y a toujours plus à faire – regardez, par exemple, les éléments de ce guide pour sécuriser votre VPS Linux. En fait, même avec SELinux, nous n'avons utilisé que les mesures de sécurité les plus élémentaires qu'il propose. De plus, les garanties que vous établirez ne compteront pour rien si le fournisseur d’hébergement de votre serveur n’est pas suffisamment sécurisé. C'est pourquoi, chez Cloudzy, nous maintenons les plus hauts niveaux de sécurité, avec des pare-feu matériels et basés sur l'IA, une protection DDoS intelligente et d'autres mesures exclusives. Profitez de notre Solutions VPS CentOS et exécutez un serveur véritablement sécurisé.
