脆弱性が毎日のように報告され、サイバー犯罪も増加している時代です。システムのセキュリティ向上には様々な方法がありますが、CentOS または Fedora サーバーを使用している場合、SELinux が理想的な出発点になります。SELinux は高速なセキュリティプロトコルおよびアプリケーションで、ユーザーとそのアクセス権限をシステム上のファイルやアプリケーションに対して確認・管理できます。この記事では、SELinux の概要を説明してから、CentOS 7 で SELinux を有効にする方法をご紹介します。
SELinuxとは
Security-Enhanced Linux (SELinux) は、Linux システム管理者がシステムにアクセスするユーザーをより細かく制御できるセキュリティ構造です。もともと米国国防情報システムセキュリティセンター (NSA) が Linux Security Modules (LSM) を使用して Linux カーネルにパッチとアップグレードのシリーズとして開発しました。SELinux は 2000 年にオープンソースツールとしてリリースされ、2003 年に Linux Kernel 全体と統合されました。
SELinux の仕組み
SELinux はシステム上のすべてのファイル、プロセス、アプリケーションへのアクセスを制御します。あらかじめ定義されたセキュリティポリシーのルールセットを使用して、SELinux は安全で効果的なアクセスポリシーを定義できます。SELinux はシステムを保護し、リソースへの不正なアクセスを防ぎます。このアプローチでは、最小権限の原則に従い、プログラムのユーザーにはファイル、ディレクトリ、ソケット、その他のサービスへのアクセス許可を付与する必要があります。
アプリケーションやプロセス (「サブジェクト」と呼ばれます) がファイルとしてのオブジェクトへのアクセスをリクエストすると、SELinux はアクセスベクトルキャッシュ (AVC) を使用してアクセスを評価します。このキャッシュはサブジェクトとオブジェクトのすべてのアクセス許可キャッシュを保存します。つまり、プロセスとそれらがアクセスしようとしているものです。アクセス許可キャッシュが保存されていない場合、SELinux は決定を下せません。そのような場合、SELinux はセキュリティサーバーに連絡してアクセスリクエストを評価する情報を要求します。セキュリティサーバーは SELinux ポリシーを適用してアクセスを評価し、それに基づいてリクエストを許可または拒否します。メッセージログ (/var/log/messages) をいつでも確認して、どのリクエストが承認または拒否されたかを確認できます。
SELinux のモードについて
SELinux を使用すると、管理者は機能を次の 3 つのモードのいずれかに設定できます。各モード固有のセキュリティ制限と用途があります。
強制モード: これはデフォルトモードで、ポリシー基準を満たさないアクションをブロックしてログに記録します。
寛容モード このモードではログとイベントを詳細に確認できます。特に SELinux 機能のテストに役立ちます。ここでは強制モードと許可モード間の動作モード変更にシステム再起動が不要です。
無効化モード: このモードではすべてのアクションを実行でき、アクションはログに記録されません。このモードへの切り替えにはシステム再起動が必要です。
CentOS 7でSElinuxを有効にする方法
-
SELinux のステータスを確認:
ステップ 1: SELinux のオン/オフステータスを確認する
SELinux を有効にする前に、既に無効になっていないか確認してください。
ターミナルで以下のコマンドを入力して、設定を確認します。
sestatus
出力は、システム上で SELinux が無効化されたことを示しています。
ステップ 2: SELinux を有効にするための要件を確認する
- sudo 権限を持つユーザーアカウント
- ターミナル/コンソールへのアクセス
- RHEL ベースのシステム (CentOS 7)
- テキストエディタツール nano
Linuxホスティングをシンプルに
Webサイトやアプリをもっと良い方法でホストしたい? 何か新しいものを開発中? Windowsが苦手? そんな方のためのLinux VPSです。
Linux VPSを入手-
SELinux を開始中 :
ステップ 3: nano エディタを使用して設定ファイルを開く
サービスの SELinux ステータスを設定します。次のファイルに進みます。 /etc/selinux/config Nano などのテキストエディタを使用します。
sudo nano /etc/selinux/config
ステップ 4: SELinux モードを変更する
SELinux モードを次のいずれかに変更できます。 許可的 or enforcing.
マークされた行を必要なモードに変更できます。
ステップ 5: 変更を保存
その後、押してください CTRL + X を適用して保存します。その後、 y、その後 Enter プロセス全体を確認するため
ステップ 6: サーバーを再起動
システムを再起動する必要があります。以下のコマンドを入力して <Enter> を押してください。
sudo reboot
ステップ 7: SELinux のステータスを再確認
SELinuxのステータスを確認したい場合は、次のように入力してください。セストータス" コマンドラインでもう一度。
システムで強制モードが既に有効になっていることが確認されました。
CentOS 7 で SELinux を無効にする方法
下記のコマンドを実行して、SELinux モードを対象モードから許可モードに一時的に切り替えてください:
sudo setenforce
ただし、この変更は現在のランタイムセッションにのみ適用されることに注意してください。
CentOS 7 システムで SELinux を完全に無効にするには、次の手順に従ってください:
ステップ 1: SELinux モードを「disabled」に設定
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
ステップ 2: 変更を保存してシステムを再起動
ファイルを保存してから、以下のコマンドで CentOS システムを再起動してください。
sudo shutdown -r now
ステップ 3: SELinux のステータスを再確認
システムが起動したら、以下を実行して変更を確認してください sestatus この同じ文字列はアラビア語に「:」と翻訳されました。 つまり、翻訳可能であることはわかっていますよね。ブランド名ではありません。 Japanese語に翻訳してください。翻訳のみを返してください。引用符やコメントなしで:
sestatus
SELinux モードの変更方法
SELinuxを完全に無効にするのではなく、そのモードをpermissiveに変更します。実行されたアクションはログファイルに記録されます。
以下のステップに従って、SELinux モードを切り替えてください。 enforcing to 許可的 タイプ:
sudo setenforce 0
次は以下を有効にしてください enforcing モードをオンにして、以下のコマンドを実行してください:
sudo setenforce 1
これらの変更は現在のセッションのみで有効です。システム再起動後はデフォルト値に戻ります。変更を永続化するには、テキストエディタ( nano例えば)
Linuxホスティングをシンプルに
Webサイトやアプリをもっと良い方法でホストしたい? 何か新しいものを開発中? Windowsが苦手? そんな方のためのLinux VPSです。
Linux VPSを入手CentOS 7 サーバーのセキュリティを SELinux で強化する
CentOS 7 に SELinux をインストールしたので、システムがこれまでよりも安全になっていることを確認できます。もちろん、どのシステムも完全に安全であることを保証する方法はありません。常にやることはあります。たとえば、こちらの項目を確認してください Linux VPS のセキュリティ設定ガイド実は、SELinuxを使っていても、私たちはその基本的なセキュリティ機能しか利用していません。それ以上に、サーバーのホスティングプロバイダー自体がセキュアでなければ、どんなセキュリティ対策も意味がありません。だからこそ、Cloudzyでは最高レベルのセキュリティを維持しています。ハードウェアとAIベースのファイアウォール、スマートなDDoS保護、その他の独自セキュリティ対策を導入しています。ぜひ、私たちの CentOS VPS ソリューション そして、本当に安全なサーバーを実行できます。
