A szinte naponta feltárt kihasználások és sebezhetőségek, valamint a kiberbűnözésről szóló jelentések növekvő száma miatt mindenki a biztonságról szól. A rendszer biztonságának javítására különféle módok állnak rendelkezésre. Ha CentOS vagy Fedora szervert használ (vagy tervez használni), a SELinux ideális kiindulópont. A SELinux egy gyors és robusztus biztonsági protokoll és alkalmazás, amely segít ellenőrizni és szabályozni a felhasználókat, valamint hozzáférési szintjüket a rendszeren lévő fájlokhoz és alkalmazásokhoz. Ebben a cikkben röviden bemutatom a SELinuxot, mielőtt bemutatnám, hogyan engedélyezheti a SELinuxot a CentOS 7 rendszeren.
Mi az a SELinux?
A Security-Enhanced Linux (SELinux) egy biztonsági struktúra, amelyet arra terveztek, hogy a Linux rendszergazdáknak nagyobb irányítást biztosítson a rendszerhez hozzáférő felhasználók felett. Eredetileg az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) fejlesztette ki a Linux rendszermag javításainak és frissítéseinek sorozataként a Linux Security Modules (LSM) segítségével. A SELinuxot 2000-ben adták ki nyílt forráskódú eszközként, majd 2003-ban szinkronizálták a teljes Linux kernellel.
Hogyan működik a SELinux?
A SELinux szabályozza a hozzáférést a rendszeren lévő összes fájlhoz, folyamathoz és alkalmazáshoz. Előre meghatározott szabályokat használva biztonsági házirendként, a SELinux biztonságos és értékes hozzáférési szabályzatot tud meghatározni. A SELinux megvédi a rendszert, és megakadályozza az erőforrásokhoz való jogosulatlan hozzáférési kísérleteket. Ebben a megközelítésben az úgynevezett legkisebb jogosultság elve azt jelenti, hogy egy program felhasználójának engedélyt kell adni a fájlok, könyvtárak, socketek és egyéb szolgáltatások eléréséhez.
Amikor egy alkalmazás vagy folyamat (úgynevezett „alany”) egy fájlhoz objektumként való hozzáférést kér, a SELinux az Access Vector Cache (AVC) segítségével értékeli a hozzáférést. Ez a gyorsítótár tárolja az alanyok és objektumok összes engedély-gyorsítótárát, ami a folyamatokat és azt jelenti, hogy mit próbálnak elérni. A tárolt engedély-gyorsítótárak nélkül a SELinux nem tudna dönteni. Ilyen esetekben a SELinux egyszerűen felveszi a kapcsolatot a biztonsági szerverrel, és információkat kér a hozzáférési kérelem értékeléséhez. A biztonsági szerver a SELinux házirendet alkalmazza a hozzáférés kiértékelésére, majd ennek alapján engedélyezi vagy elutasítja a kérést. Mindig megtekintheti az üzenetnaplókat (a „/var/log.messages” címen), hogy megtudja, mely kéréseket fogadták el vagy utasították el.
Mik azok a SELinux módok?
A SELinux lehetővé teszi az adminisztrátoroknak, hogy a funkcióit a következő három mód valamelyikére állítsák. Minden módnak más-más biztonsági korlátozása és felhasználási módja van:
Kényszerítő mód: Ez az alapértelmezett mód, amely blokkolja és naplózza azokat a műveleteket, amelyek nem felelnek meg a házirend-szabványoknak.
Megengedő mód: Ez a mód lehetővé teszi, hogy részletesen dolgozzon a naplókon és eseményeken. Ez a mód különösen segít a SELinux funkció tesztelésében. Itt a kényszerített és a megengedő üzemmód közötti váltáshoz nem szükséges a rendszer újraindítása.
Letiltott mód: Ez lehetővé teszi, hogy minden műveletet végrehajtson, és ne naplózza a műveletet. Az ebbe a módba váltáshoz a rendszer újraindítása szükséges.
A SElinux engedélyezése a CentOS 7 rendszerben
-
Ellenőrizze a SELinux állapotát:
1. lépés: Ellenőrizze a SELinux be/ki állapotát
Mielőtt megpróbálná engedélyezni a SELinuxot, ellenőrizze, hogy az már le van-e tiltva.
Adja meg a következő parancsot, ellenőrizze a beállításokat a terminálon:
sestatus
A kimenet azt mutatja, hogy a SELinux le van tiltva a rendszeren.
2. lépés: Ellenőrizze a SELinux engedélyezésének követelményeit
- Egy felhasználói fiók sudo jogosultságokkal
- Hozzáférés egy terminálhoz/konzolhoz
- Rendszeralapú RHEL, mint a CentOS 7
- A nano szövegszerkesztő eszköz
Linux hosting egyszerűsített
Jobban szeretné tárolni webhelyeit és webes alkalmazásait? Valami újat fejleszteni? Egyszerűen nem tetszik a Windows? Ezért van Linux VPS-ünk.
Szerezze be Linux VPS-jét-
SELinux indítása:
3. lépés: Használja a nano szerkesztőt a konfigurációs fájl megnyitásához
Állítsa be a szolgáltatás SELinux állapotát. Szóval menj ide /etc/selinux/config fájlt, és használjon szövegszerkesztőt, például a Nano-t.
sudo nano /etc/selinux/config
4. lépés: Változtassa meg a SELinux módot
Most bármelyikre módosíthatja a SELinux módot megengedő or érvényesítése.
Itt módosíthatja a megjelölt sort a kívánt módra.
5. lépés: Mentse el a változtatásokat
Ezután nyomja meg CTRL + X alkalmazni és menteni. Ezt követően nyomja meg 'i', akkor Enter hogy megerősítse az egész folyamatot
6. lépés: Indítsa újra a szervert
Most újra kell indítania a rendszert. Ehhez írja be az alábbi parancsot, és nyomja meg az <Enter> billentyűt:
sudo reboot
7. lépés: Ellenőrizze újra a SELinux állapotát
Ha ellenőrizni szeretné a SELinux állapotát, írja be a „sestatus” ismét a parancssorban.
Most az eredmény megerősíti, hogy már engedélyezte a kényszerítő módot a rendszerben.
A SELinux letiltása a CentOS 7 rendszeren
Kövesse az alábbi parancsot, hogy a SELinux módot ideiglenesen célzottról megengedőre váltsa::
sudo setenforce
De vegye figyelembe, hogy ez a változás csak az aktuális futásidejű munkamenetre vonatkozik.
A SELinux végleges letiltásához CentOS 7 rendszerén kövesse az alábbi lépéseket:
1. lépés: Állítsa a SELinux módot „letiltásra”
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
2. lépés: Mentse el a változtatásokat és indítsa újra
Most mentse a fájlt, majd indítsa újra a CentOS rendszert a következő paranccsal:
sudo shutdown -r now
3. lépés: Ellenőrizze újra a SELinux állapotát
Amikor a rendszer elindul, erősítse meg a módosítást az a sestatus parancs:
sestatus
A SELinux mód megváltoztatása
A SELinux teljes letiltása helyett a módot megengedőre módosítja. A végrehajtott műveletek nyomot hagynak a naplófájlban.
Most kövesse az alábbi lépéseket a SELinux mód közötti váltáshoz érvényesítése to megengedő típus:
sudo setenforce 0
Most meg kell fordítania a érvényesítése mód bekapcsolva, ezért írja be az alábbi parancsot:
sudo setenforce 1
Ezek a változtatások csak az aktuális munkamenetre érvényesek. A rendszer újraindítása után visszaállnak az alapértelmezett értékekre. A változtatások véglegessé tételéhez módosítsa a konfigurációs fájlt egy szövegszerkesztővel (pl nanopéldául).
Linux hosting egyszerűsített
Jobban szeretné tárolni webhelyeit és webes alkalmazásait? Valami újat fejleszteni? Egyszerűen nem tetszik a Windows? Ezért van Linux VPS-ünk.
Szerezze be Linux VPS-jétA CentOS 7 szerver biztonsága a SELinuxon túl
Most, hogy telepítette a SELinuxot CentOS 7-re, megnyugodhat, tudhatja, hogy rendszere biztonságosabb, mint korábban. Természetesen nincs mód annak biztosítására, hogy bármely rendszer teljesen biztonságos legyen. Mindig van még tennivaló – nézze meg például az ebben szereplő elemeket útmutató a Linux VPS biztosításához. Valójában még a SELinux esetében is csak az általunk kínált legalapvetőbb biztonsági intézkedéseket alkalmaztuk. Ezen túlmenően, bármilyen biztosítékot is beállít, nem számít semmit, ha a szerver tárhelyszolgáltatója nem elég biztonságos. Ezért a Cloudzy-nál a legmagasabb szintű biztonságot tartjuk fenn hardveres és mesterséges intelligencia alapú tűzfalakkal, intelligens DDoS védelemmel és egyéb szabadalmaztatott intézkedésekkel. Élvezze a mi CentOS VPS megoldások és egy igazán biztonságos szervert üzemeltet.
