Nu exploits en kwetsbaarheden bijna dagelijks aan het licht komen en het aantal meldingen van cybercriminaliteit toeneemt, is veiligheid een prioriteit voor iedereen. Er zijn verschillende manieren waarop u uw systeembeveiliging kunt verbeteren. Als je een CentOS- of Fedora-server gebruikt (of van plan bent te gebruiken), is SELinux een ideaal startpunt. SELinux is een snel en robuust beveiligingsprotocol en een applicatie waarmee u de gebruikers en hun toegangsniveau tot de bestanden en applicaties op het systeem kunt controleren en controleren. In dit artikel geef ik een korte introductie tot SELinux voordat ik je laat zien hoe je SELinux op CentOS 7 kunt inschakelen.
Wat is SELinux?
De Security-Enhanced Linux (SELinux) is een beveiligingsstructuur die is ontworpen om Linux-systeembeheerders meer controle te geven over gebruikers die toegang krijgen tot het systeem. Het werd oorspronkelijk ontwikkeld door de Amerikaanse National Security Agency (NSA) als een reeks patches en upgrades voor de Linux-kernel met behulp van de Linux Security Modules (LSM). SELinux werd in 2000 uitgebracht als een open-source tool en vervolgens in 2003 gesynchroniseerd met de hele Linux-kernel.
Hoe werkt SELinux?
SELinux beheert de toegang tot alle bestanden, processen en applicaties op uw systeem. Door gebruik te maken van een set vooraf gedefinieerde regels als beveiligingsbeleid, kan SELinux een veilig en waardevol toegangsbeleid definiëren. SELinux zal het systeem beschermen en ongeoorloofde pogingen om toegang te krijgen tot een bron voorkomen. In deze benadering betekent het zogenaamde principe van least privilege dat de gebruiker van een programma toestemming moet krijgen voor toegang tot bestanden, mappen, sockets en andere diensten.
Wanneer een applicatie of proces (een “subject” genoemd) vraagt om toegang te krijgen tot een bestand als object, gebruikt SELinux de Access Vector Cache (AVC) om de toegang te evalueren. Deze cache slaat alle toestemmingscaches op voor onderwerpen en objecten, wat betekent de processen en waartoe ze toegang proberen te krijgen. Zonder enige opgeslagen toestemmingscaches zou SELinux geen enkele beslissing kunnen nemen. In dergelijke gevallen neemt SELinux eenvoudigweg contact op met de beveiligingsserver en vraagt om informatie om het toegangsverzoek te evalueren. De beveiligingsserver past het SELinux-beleid toe voor het evalueren van de toegang, en verleent of weigert vervolgens op basis daarvan het verzoek. U kunt altijd de berichtenlogboeken bekijken (op “/var/log.messages”) om te zien welke verzoeken zijn geaccepteerd of geweigerd.
Wat zijn de SELinux-modi?
SELinux staat beheerders toe om de functionaliteit ervan in te stellen op één van de drie volgende modi. Elke modus heeft verschillende beveiligingsbeperkingen en het gebruik ervan:
Handhavingsmodus: Dit is de standaardmodus, die de acties blokkeert en registreert die niet aan de beleidsnormen voldoen.
Permissieve modus: Deze modus biedt u de mogelijkheid om gedetailleerd aan logboeken en gebeurtenissen te werken. Deze modus helpt vooral bij het testen van de SELinux-functie. Hier zal het veranderen van de werkingsmodus tussen geforceerd en permissief geen herstart van het systeem vereisen.
Uitgeschakelde modus: Hierdoor kun je alle acties uitvoeren en de actie niet loggen. Als u naar deze modus overschakelt, moet het systeem opnieuw worden opgestart.
Hoe SElinux in CentOS 7 in te schakelen
-
Controleer de SELinux-status:
Stap 1: Controleer uw SELinux aan/uit-status
Voordat u SELinux probeert in te schakelen, moet u controleren of het al is uitgeschakeld.
Voer de volgende opdracht in en controleer de instellingen in uw terminal:
sestatus
De uitvoer laat zien dat SELinux nu is uitgeschakeld op uw systeem.
Stap 2: Controleer uw vereisten voor het inschakelen van SELinux
- Een gebruikersaccount met de sudo-rechten
- Toegang tot een terminal/console
- Een systeemgebaseerde RHEL zoals CentOS 7
- Een teksteditor-tool nano
Linux-hosting vereenvoudigd
Wilt u een betere manier om uw websites en webapps te hosten? Iets nieuws ontwikkelen? Houd je gewoon niet van Windows? Daarom hebben we Linux VPS.
Koop uw Linux VPS-
SELinux starten:
Stap 3: Gebruik de nano-editor om het configuratiebestand te openen
Stel de SELinux-status van de service in. Dus ga naar /etc/selinux/config bestand en gebruik een teksteditor zoals Nano.
sudo nano /etc/selinux/config
Stap 4: Verander de SELinux-modus
Nu kun je de SELinux-modus naar een van beide veranderen tolerant or afdwingen.
Hier kunt u de gemarkeerde lijn wijzigen in de gewenste modus.
Stap 5: Sla de wijzigingen op
Druk vervolgens op CTRL+X toepassen en opslaan. Druk daarna op ‘j’, Dan Binnenkomen om het hele proces te bevestigen
Stap 6: Start uw server opnieuw op
Nu moet u het systeem opnieuw opstarten. Voer hiervoor het onderstaande commando in en druk op <Enter>:
sudo reboot
Stap 7: Controleer de SELinux-status opnieuw
Als je de status van SELinux wilt controleren, voer dan “sestatus” opnieuw op de opdrachtregel.
Het resultaat bevestigt nu dat u de afdwingingsmodus in het systeem al hebt ingeschakeld.
Hoe SELinux op CentOS 7 uit te schakelen
Volg het onderstaande commando om de SELinux-modus tijdelijk van gericht naar tolerant te veranderen::
sudo setenforce
Maar merk op dat deze wijziging alleen van toepassing is op de huidige runtimesessie.
Om SELinux permanent op uw CentOS 7-systeem uit te schakelen, volgt u deze stappen:
Stap 1: Zet de SELinux-modus op “disabled”
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Stap 2: Wijzigingen opslaan en opnieuw opstarten
Sla het bestand nu op en start daarna uw CentOS-systeem opnieuw op met de opdracht:
sudo shutdown -r now
Stap 3: Controleer de SELinux-status opnieuw
Wanneer het systeem opstart, bevestigt u de wijziging door een sestatus commando:
sestatus
Hoe te veranderen Wijzig de SELinux-modus
In plaats van SELinux volledig uit te schakelen, verander je de modus naar permissief. De uitgevoerde acties laten een spoor achter in het logbestand.
Volg nu de onderstaande stappen om van de SELinux-modus te wisselen afdwingen to tolerant type:
sudo setenforce 0
Nu moet u de knop omdraaien afdwingen modus aan, dus voer de onderstaande opdracht in:
sudo setenforce 1
Deze wijzigingen zijn alleen geldig voor de huidige sessie. Ze keren terug naar hun standaardwaarden nadat het systeem opnieuw is opgestart. Om deze wijzigingen permanent te maken, moet u het configuratiebestand bewerken met een teksteditor (zoals nano, Bijvoorbeeld).
Linux-hosting vereenvoudigd
Wilt u een betere manier om uw websites en webapps te hosten? Iets nieuws ontwikkelen? Houd je gewoon niet van Windows? Daarom hebben we Linux VPS.
Koop uw Linux VPSUw CentOS 7-server beveiligen verder dan SELinux
Nu je SELinux op je CentOS 7 hebt geïnstalleerd, kun je erop vertrouwen dat je systeem veiliger is dan voorheen. Natuurlijk is er geen manier om ervoor te zorgen dat welk systeem dan ook volledig veilig is. Er is altijd meer te doen; kijk bijvoorbeeld eens naar de items hierin gids voor het beveiligen van uw Linux VPS. In feite hebben we zelfs met SELinux alleen de meest elementaire beveiligingsmaatregelen gebruikt die het te bieden heeft. Sterker nog, welke veiligheidsmaatregelen u ook neemt, tellen voor niets als de hostingprovider voor uw server niet veilig genoeg is. Daarom handhaven we bij Cloudzy het hoogste beveiligingsniveau, met hardware- en AI-gebaseerde firewalls, slimme DDoS-bescherming en andere eigen maatregelen. Geniet van onze CentOS VPS-oplossingen en een echt veilige server draaien.
