A biztonsági rések és sebezhetőségek szinte naponta kerülnek napvilágra, és a kibertámadások száma folyamatosan növekszik. A rendszerbiztonság mindenkinek fontos. A biztonság javításának több módja is van. Ha CentOS vagy Fedora szervert használsz (vagy tervezel használni), az SELinux kiváló kiindulópont. Az SELinux egy gyors biztonsági protokoll és alkalmazás, amely segít ellenőrizni a felhasználókat és azok hozzáférési szintjét a rendszeren lévő fájlokhoz és alkalmazásokhoz. Ebben a cikkben rövid bevezetést adok az SELinux-hez, majd bemutatom, hogyan engedélyezheted azt az CentOS 7-en.
What is SELinux?
A Security-Enhanced Linux (SELinux) egy biztonsági struktúra, amelyet azért fejlesztettek ki, hogy a Linux rendszergazdáknak nagyobb kontrollt biztosítson a rendszert elérő felhasználók felett. Eredeti fejlesztője az amerikai Nemzeti Biztonsági Ügynökség (NSA), amely a Linux kernel javításaiként és fejlesztéseként jelent meg a Linux Security Modules (LSM) segítségével. A SELinux 2000-ben nyílt forráskódú eszközként jelent meg, majd 2003-ban szinkronizálták a teljes Linux kernellel.
Hogyan működik az SELinux?
A SELinux szabályozza a hozzáférést a rendszer összes fájljához, folyamatához és alkalmazásához. Előre meghatározott szabályok halmazát használva biztonsági irányelvekként, a SELinux meghatározhat egy biztonságos és értékes hozzáférési szabályzatot. A SELinux védi a rendszert és megakadályozza az erőforrások jogosulatlan elérésére tett kísérleteket. Ebben a megközelítésben az úgynevezett legkisebb jogosultság elve azt jelenti, hogy a program felhasználójának engedélyt kell kapnia a fájlok, könyvtárak, szoketek és egyéb szolgáltatások eléréséhez.
Amikor egy alkalmazás vagy folyamat (úgynevezett "tárgy") fájl elérésére kér (objektumként), a SELinux az Access Vector Cache (AVC) használatával értékeli ki a hozzáférést. Ez a gyorsítótár az összes tárgyak és objektumok engedélycache-ét tárolja, ami azt jelenti, hogy mely folyamatok és mi próbálnak meg hozzáférni. Nincsenek engedélycache-ek tárolva, a SELinux nem tudna döntéseket hozni. Ilyen esetekben a SELinux egyszerűen kapcsolatba lép a biztonsági szerverrel, és információt kér a hozzáférési kérelem értékeléséhez. A biztonsági szerver alkalmazott a SELinux szabályzatot a hozzáférés értékeléséhez, majd engedélyezi vagy megtagadja a kérést az alapján. Bármikor megtekintheti az üzenetnapiókat (a "/var/log.messages" fájlban), hogy lássa, mely kérések voltak engedélyezve vagy megtagadva.
Mik a SELinux üzemmódok?
A SELinux lehetővé teszi a rendszergazdáknak, hogy a funkcionalitást az alábbi három mód egyikére állítsák. Minden módnak eltérő biztonsági korlátozásai és felhasználási módjai vannak:
Enforcing mode: Ez az alapértelmezett mód, amely blokkolja és naplózza azokat a műveleteket, amelyek nem felelnek meg a szabályzat követelményeinek.
Permissive mode: Ez a mód lehetővé teszi, hogy részletesen dolgozzon a naplók és események feldolgozásával. Ez a mód különösen a SELinux funkció teszteléséhez nyújt segítséget. Itt a kényszeres és megengedő módok közötti váltáshoz nem szükséges a rendszer újraindítása.
Disabled mode: Ez lehetővé teszi az összes művelet végrehajtását anélkül, hogy naplózná a műveletet. Ennek a módra való váltáshoz rendszerújraindítás szükséges.
Az SELinux engedélyezése az CentOS 7-ben
-
Az SELinux Állapotának Ellenőrzése :
1. lépés: A SELinux Be/Ki állapotának ellenőrzése
Mielőtt megpróbálnád a SELinux engedélyezését, ellenőrizd, hogy már nincs-e letiltva.
Írd be a következő parancsot a beállítások ellenőrzéséhez a terminálon:
sestatus
A kimenet azt mutatja, hogy a SELinux jelenleg letiltva van a rendszeren.
2. lépés: A SELinux engedélyezéséhez szükséges követelmények ellenőrzése
- Felhasználói fiók sudo jogosultságokkal
- Hozzáférés a terminálhoz/konzolhoz
- RHEL-alapú rendszer, például CentOS 7
- Szövegszerkesztő eszköz: nano
Linux üzemeltetés egyszerűen
Jobbat szeretnél a webhelyek és webalkalmazások üzemeltetésére? Valamin újat fejlesztesz? Vagy egyszerűen nem tetszik neked az Windows? Ezért van Linux VPS.
Szerezd meg az Linux VPS-
Starting SELinux :
3. lépés: A konfigurációs fájl megnyitása a nano szerkesztővel
Állítsd be a szolgáltatás SELinux állapotát. Menj a /etc/selinux/config fájlba, és használj szövegszerkesztőt, például a Nanot.
sudo nano /etc/selinux/config
4. lépés: A SELinux mód megváltoztatása
Most megváltoztathatod a SELinux módot az alábbiak egyikére: permissive or enforcing.
Itt megváltoztathatod a megjelölt sort a szükséges módra.
5. lépés: Módosítások mentése
Then press CTRL + X alkalmazásához és mentéséhez. Ezt követően nyomja meg a ‘y’, then Enter a teljes folyamat megerősítéséhez
6. lépés: Indítsa újra a szervert
Most indítsa újra a rendszert. Ehhez adja meg az alábbi parancsot, és nyomja meg az <Enter> billentyűt:
sudo reboot
7. lépés: SELinux állapotának újraellenőrzése
Ha szeretné ellenőrizni a SELinux állapotát, írja be a parancssorba:sestatus” újra.
Az eredmény azt megerősíti, hogy már engedélyezte az enforcing módot a rendszeren.
A SELinux letiltása a(z) CentOS 7 készüléken
Az alábbi parancs segítségével ideiglenesen váltson a SELinux módot: targeted-ről permissive-re:
sudo setenforce
Azonban vegye figyelembe, hogy ez a módosítás csak az aktuális futó ülésre érvényes.
A SELinux véglegesen letiltásához az CentOS 7 rendszeren kövesse az alábbi lépéseket:
1. lépés: Állítsa a SELinux módot "letiltottra"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
2. lépés: Módosítások mentése és újraindítás
Most mentse a fájlt, majd indítsa újra az CentOS rendszert az alábbi paranccsal:
sudo shutdown -r now
3. lépés: SELinux állapotának újraellenőrzése
A rendszer indításakor erősítse meg a módosítást a sestatus command:
sestatus
A SELinux mód megváltoztatása
Ahelyett, hogy teljesen letiltaná a SELinux-t, módosítsa annak módját permissive-re. A végrehajtott műveletek nyoma az naplófájlban marad.
Most kövesse az alábbi lépéseket, hogy átváltson a SELinux módból enforcing to permissive type:
sudo setenforce 0
Most engedélyezze a enforcing módot, ehhez adja meg az alábbi parancsot:
sudo setenforce 1
Ezek a módosítások csak az aktuális ülésre érvényesek. A rendszer újraindítása után visszatérnek az alapértelmezett értékekhez. A módosítások véglegesítéséhez szerkessze meg a konfigurációs fájlt egy szövegszerkesztővel (például nano, for example).
Linux üzemeltetés egyszerűen
Jobbat szeretnél a webhelyek és webalkalmazások üzemeltetésére? Valamin újat fejlesztesz? Vagy egyszerűen nem tetszik neked az Windows? Ezért van Linux VPS.
Szerezd meg az Linux VPSAz CentOS 7 szerver biztonságossá tétele a SELinux segítségével
Most, hogy telepítette a SELinux-t az CentOS 7-re, nyugodtan tudhatja, hogy a rendszere biztonságosabb, mint korábban. Persze, nincs mód arra, hogy garantáljuk egy rendszer teljes biztonságát. Mindig van még tennivaló, tekintse meg például az ebben a útmutatóban szereplő elemeket az Linux VPS biztosításához. Valójában még a SELinux-vel is csak az alapvető biztonsági intézkedéseket használtuk. Ezen túlmenően, az általad bevezetett védelmi intézkedések semmit sem érnek, ha a szervered szolgáltatója nem eléggé biztonságos. Ezért az Cloudzy-nél a legmagasabb szintű biztonságot tartjuk fenn, hardver- és AI-alapú tűzfalakkal, intelligens DDoS védelemmel és egyéb saját megoldásokkal. Használja az CentOS VPS megoldásainkat és futtasson egy igazán biztonságos szervert.
