エクスプロイトや脆弱性がほぼ毎日明らかになり、サイバー犯罪の報告が増加しているため、セキュリティは誰もが関心を持っています。システムのセキュリティを向上させるには、さまざまな方法があります。 CentOS または Fedora サーバーを使用している (または使用する予定がある) 場合、SELinux は理想的な出発点です。 SELinux は、システム上のファイルやアプリケーションに対するユーザーとそのアクセス レベルを確認および制御するのに役立つ、高速かつ堅牢なセキュリティ プロトコルおよびアプリケーションです。この記事では、CentOS 7 で SELinux を有効にする方法を説明する前に、SELinux について簡単に紹介します。
SELinuxとは何ですか?
Security-Enhanced Linux (SELinux) は、Linux システム管理者がシステムにアクセスするユーザーをより詳細に制御できるように設計されたセキュリティ構造です。これは元々、Linux セキュリティ モジュール (LSM) を使用した Linux カーネルへの一連のパッチおよびアップグレードとして米国国家安全保障局 (NSA) によって開発されました。 SELinux は 2000 年にオープンソース ツールとしてリリースされ、2003 年に Linux カーネル全体と同期されました。
SELinux はどのように機能しますか?
SELinux は、システム上のすべてのファイル、プロセス、アプリケーションへのアクセスを制御します。 SELinux は、事前定義された一連のルールをセキュリティ ポリシーとして使用して、安全で価値のあるアクセス ポリシーを定義できます。 SELinux はシステムを保護し、リソースへの不正なアクセスの試みを防ぎます。このアプローチでは、いわゆる最小特権の原則は、プログラムのユーザーがファイル、ディレクトリ、ソケット、およびその他のサービスにアクセスするための許可を付与される必要があることを意味します。
アプリケーションまたはプロセス (「サブジェクト」と呼ばれる) がオブジェクトとしてファイルへのアクセスを要求すると、SELinux はアクセス ベクター キャッシュ (AVC) を使用してアクセスを評価します。このキャッシュには、サブジェクトとオブジェクト、つまりプロセスとアクセスしようとしているものに対するすべての権限キャッシュが保存されます。権限キャッシュが保存されていない場合、SELinux は何も決定できません。このような場合、SELinux は単にセキュリティ サーバーに接続し、アクセス要求を評価するための情報を要求します。セキュリティ サーバーは、アクセスを評価するために SELinux ポリシーを適用し、それに基づいてリクエストを許可または拒否します。いつでもメッセージ ログ (「/var/log.messages」) をチェックして、どのリクエストが受け入れられたか拒否されたかを確認できます。
SELinux モードとは何ですか?
SELinux では、管理者がその機能を次の 3 つのモードのいずれかに設定できます。各モードには異なるセキュリティ制限とその用途があります。
強制モード: これはデフォルトのモードで、ポリシー標準を満たさないアクションをブロックしてログに記録します。
許容モード: このモードでは、ログとイベントを詳細に操作できます。このモードは、SELinux 機能のテストに特に役立ちます。ここで、強制モードと許可モードの間で動作モードを変更する場合、システムを再起動する必要はありません。
無効モード: これにより、すべてのアクションを実行し、アクションをログに記録しなくても済みます。このモードに切り替えるには、システムを再起動する必要があります。
CentOS 7 で SElinux を有効にする方法
-
SELinux ステータスを確認します。
ステップ 1: SELinux のオン/オフ ステータスを確認する
SELinux を有効にする前に、SELinux がすでに無効になっているかどうかを確認する必要があります。
次のコマンドを入力して、端末の設定を確認します。
sestatus
出力には、システム上で SELinux が無効になっていることが示されています。
ステップ 2: SELinux を有効にするための要件を確認する
- sudo 権限を持つユーザー アカウント
- 端末/コンソールへのアクセス
- CentOS 7 のようなシステムベースの RHEL
- テキストエディタツールnano
Linux ホスティングの簡素化
Web サイトや Web アプリをホストするためのより良い方法が必要ですか?新しいものを開発していますか?単に Windows が気に入らないだけですか?そのため、Linux VPS を導入しています。
Linux VPS を入手する-
SELinux の起動:
ステップ 3: nano エディターを使用して構成ファイルを開きます
サービスの SELinux ステータスを設定します。それで、に行きます /etc/selinux/config ファイルを作成し、Nano などのテキスト エディタを使用します。
sudo nano /etc/selinux/config
ステップ 4: SELinux モードを変更する
これで、SELinux モードを次のいずれかに変更できます。 寛容な or 強制する.
ここで、マークされた行を必要なモードに変更できます。
ステップ 5: 変更を保存する
次に、 を押します CTRL + X 適用して保存します。その後、 を押します。 「はい」、 それから 入力 プロセス全体を確認するため
ステップ 6: サーバーを再起動する
ここでシステムを再起動する必要があります。これを行うには、以下のコマンドを入力して <Enter> を押します。
sudo reboot
ステップ 7: SELinux ステータスを再確認する
SELinuxの状態を確認したい場合は「ステータス」 もう一度コマンドラインで。
これで、システムで強制モードがすでに有効になっていることが結果で確認されます。
CentOS 7 で SELinux を無効にする方法
以下のコマンドに従って、SELinux モードをターゲットから許可に一時的に切り替えます。
sudo setenforce
ただし、この変更は現在のランタイム セッションにのみ適用されることに注意してください。
CentOS 7 システムで SELinux を永続的に無効にするには、次の手順に従います。
ステップ 1: SELinux モードを「無効」に設定する
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
ステップ 2: 変更を保存して再起動する
ファイルを保存した後、次のコマンドを使用して CentOS システムを再起動します。
sudo shutdown -r now
ステップ 3: SELinux ステータスを再確認する
システムが起動したら、次のコマンドを入力して変更を確認します。 状態 指示:
sestatus
変更方法 SELinux モードの変更
SELinux を完全に無効にする代わりに、SELinux のモードを許可に変更します。実行されたアクションはログ ファイルに痕跡を残します。
次の手順に従って、SELinux モードを 強制する to 寛容な タイプ:
sudo setenforce 0
ここで、 強制する モードがオンになっているので、次のコマンドを入力します。
sudo setenforce 1
これらの変更は、現在のセッションに対してのみ有効です。システムを再起動すると、デフォルト値に戻ります。これらの変更を永続的にするには、テキスト エディター ( ナノ、 例えば)。
Linux ホスティングの簡素化
Web サイトや Web アプリをホストするためのより良い方法が必要ですか?新しいものを開発していますか?単に Windows が気に入らないだけですか?そのため、Linux VPS を導入しています。
Linux VPS を入手するSELinux を超えて CentOS 7 サーバーを保護する
CentOS 7 に SELinux をインストールしたので、システムが以前よりも安全になったことを確認して安心してください。もちろん、システムが完全に安全であることを保証する方法はありません。やるべきことは常にあります。たとえば、この記事の項目を見てください。 Linux VPS を保護するためのガイド。実際、SELinux を使用しても、SELinux が提供する最も基本的なセキュリティ対策しか使用していません。さらに、サーバーのホスティングプロバイダーの安全性が十分でない場合、どのような安全策を確立しても意味がありません。そのため、Cloudzy では、ハードウェアおよび AI ベースのファイアウォール、スマート DDoS 保護、およびその他の独自の対策により、最高レベルのセキュリティを維持しています。お楽しみください CentOS VPS ソリューション そして真に安全なサーバーを実行します。
