Con exploit e vulnerabilità scoperti quasi quotidianamente e rapporti di crimini informatici in aumento, la sicurezza è in cima alle priorità di tutti. Esistono diversi modi per migliorare la sicurezza del tuo sistema. Se utilizzi (o prevedi di utilizzare) un server CentOS o Fedora, SELinux è un punto di partenza ideale. SELinux è un protocollo e un'applicazione di sicurezza veloce e affidabile che ti aiuta a verificare e controllare gli utenti e il loro livello di accesso ai file e alle applicazioni sul sistema. In questo articolo fornirò una breve introduzione a SELinux prima di mostrarti come abilitare SELinux su CentOS 7.
Cos'è SELinux?
SELinux (Security-Enhanced Linux) è una struttura di sicurezza progettata per dare agli amministratori di sistema Linux un controllo più granulare sull'accesso degli utenti. È stato sviluppato dalla National Security Agency (NSA) statunitense come serie di patch e upgrade al kernel Linux tramite i Security Modules Linux (LSM). SELinux è stato rilasciato come strumento open-source nel 2000 e successivamente integrato nel kernel Linux nel 2003.
Come funziona SELinux?
SELinux controlla l'accesso a tutti i file, processi e applicazioni del sistema. Utilizzando un insieme di regole predefinite come politiche di sicurezza, SELinux consente di definire una politica di accesso sicura ed efficace. SELinux protegge il sistema e impedisce tentativi non autorizzati di accedere alle risorse. Questo approccio si basa sul principio del privilegio minimo: un utente o un programma riceve solo i permessi necessari per accedere a file, directory, socket e altri servizi.
Quando un'applicazione o un processo (detto "soggetto") richiede l'accesso a un file (detto "oggetto"), SELinux utilizza l'Access Vector Cache (AVC) per valutare l'accesso. Questa cache conserva i permessi in memoria per soggetti e oggetti, ovvero per i processi e le risorse che tentano di accedere. Senza permessi memorizzati nella cache, SELinux non potrebbe prendere decisioni. In questi casi, SELinux contatta il server di sicurezza per ottenere le informazioni necessarie a valutare la richiesta. Il server di sicurezza applica la politica SELinux, quindi concede o nega l'accesso. Puoi sempre controllare i log dei messaggi (in "/var/log.messages") per vedere quali richieste sono state accettate o rifiutate.
Quali sono le modalità SELinux?
SELinux consente agli amministratori di configurare la propria funzionalità in una di tre modalità. Ogni modalità ha diversi livelli di restrizione di sicurezza e usi specifici:
Modalità di applicazione: Questa è la modalità predefinita, che blocca e registra le azioni che non rispettano gli standard della politica.
Modalità permissiva: Questa modalità ti consente di analizzare i log e gli eventi in dettaglio. È particolarmente utile per testare la funzionalità SELinux. In questa modalità, il passaggio tra modalità forzata e permissiva non richiede il riavvio del sistema.
Modalità disabilitata: Questa modalità ti permette di eseguire tutte le azioni senza registrarle. Il passaggio a questa modalità richiede il riavvio del sistema.
Come abilitare SElinux in CentOS 7
-
Verifica lo stato SELinux:
Passaggio 1: controlla lo stato di attivazione di SELinux
Prima di abilitare SELinux, verifica se è già disabilitato.
Inserisci il seguente comando per controllare le impostazioni nel tuo terminale:
sestatus
L'output mostra che SELinux è ora disabilitato sul tuo sistema.
Passaggio 2: verifica i requisiti per abilitare SELinux
- Un account utente con privilegi sudo
- Accesso a un terminale o console
- Un sistema basato su RHEL come CentOS 7
- Un editor di testo come nano
Hosting Linux semplificato
Vuoi un modo migliore per ospitare i tuoi siti e le tue web app? Stai sviluppando qualcosa di nuovo? Semplicemente non ti piace Windows? Per questo abbiamo Linux VPS.
Ottieni la tua Linux VPS-
Avvio di SELinux :
Passaggio 3: usa l'editor nano per aprire il file di configurazione
Imposta lo stato SELinux del servizio. Vai a /etc/selinux/config e utilizza un editor di testo come nano.
sudo nano /etc/selinux/config
Passaggio 4: cambia la modalità SELinux
Ora puoi cambiare la modalità SELinux a permissivo or enforcing.
Qui puoi modificare la riga evidenziata secondo la modalità desiderata.
Passaggio 5: Salva le Modifiche
Poi premi CTRL + X per applicare e salvare. Dopodiché, premi y, allora Enter per confermare l'intero processo
Passaggio 6: Riavvia il Server
Ora devi riavviare il sistema. Per farlo, inserisci il comando qui sotto e premi <Enter>:
sudo reboot
Passaggio 7: Verifica di Nuovo lo Stato di SELinux
Se vuoi controllare lo stato di SELinux, inseriscisestatus" nella riga di comando di nuovo.
Ora il risultato conferma che hai già abilitato la modalità enforcing nel sistema.
Come disabilitare SELinux su CentOS 7
Segui il comando qui sotto per passare la modalità SELinux temporaneamente da targeted a permissive:
sudo setenforce
Ma nota che questa modifica si applica solo alla sessione runtime corrente.
Per disabilitare SELinux sul tuo sistema CentOS 7 in modo permanente, segui questi passaggi:
Passaggio 1: imposta la modalità SELinux su "disabilitato"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Passaggio 2: salva le modifiche e riavvia
Ora salva il file e dopodiché riavvia il tuo sistema CentOS con il comando:
sudo shutdown -r now
Passaggio 3: verifica nuovamente lo stato SELinux
Quando il sistema si avvia, conferma la modifica fornendo un sestatus comando:
sestatus
Come cambiare la modalità SELinux
Invece di disabilitare completamente SELinux, ne cambi la modalità a permissive. Le azioni che sono state eseguite lasciano una traccia nel file di log.
Ora segui i passaggi qui sotto per passare la modalità SELinux da enforcing to permissivo scrivi:
sudo setenforce 0
Ora devi attivare la modalità enforcing , quindi inserisci il comando qui sotto:
sudo setenforce 1
Queste modifiche sono valide solo per la sessione corrente. Torneranno ai loro valori predefiniti dopo un riavvio del sistema. Per rendere permanenti queste modifiche, devi modificare il file di configurazione usando un editor di testo (come nano, ad esempio).
Hosting Linux semplificato
Vuoi un modo migliore per ospitare i tuoi siti e le tue web app? Stai sviluppando qualcosa di nuovo? Semplicemente non ti piace Windows? Per questo abbiamo Linux VPS.
Ottieni la tua Linux VPSProteggere il server CentOS 7 oltre SELinux
Ora che hai installato SELinux su CentOS 7, puoi stare tranquillo sapendo che il tuo sistema è più sicuro di prima. Naturalmente, non c'è modo di garantire che un sistema sia completamente sicuro. C'è sempre qualcosa in più da fare; guarda, ad esempio, gli elementi in questa guida per proteggere il tuo Linux VPS. In effetti, anche con SELinux, abbiamo utilizzato solo le misure di sicurezza più basilari che offre. Inoltre, qualsiasi salvaguardia che stabilisci non varrà nulla se il provider di hosting per il tuo server non è sufficientemente sicuro. Per questo motivo, presso Cloudzy, manteniamo i più alti livelli di sicurezza, con firewall basati su hardware e intelligenza artificiale, protezione intelligente DDoS e altre misure proprietarie. Goditi le nostre soluzioni CentOS VPS e gestisci un server veramente sicuro.
