Met exploits en kwetsbaarheden die bijna dagelijks aan het licht komen en toenemende meldingen van cybercriminaliteit, staat beveiliging bij iedereen op de agenda. Er zijn verschillende manieren om de beveiliging van je systeem te verbeteren. Gebruik je een CentOS- of Fedora-server, of ben je van plan dat te doen, dan is SELinux een uitstekend startpunt. SELinux is een snel en krachtig beveiligingsprotocol en -pakket waarmee je gebruikers en hun toegang tot bestanden en applicaties op het systeem kunt beheren. In dit artikel geef ik een korte introductie op SELinux en laat ik zien hoe je SELinux inschakelt op CentOS 7.
Wat is SELinux?
Security-Enhanced Linux (SELinux) is een beveiligingsarchitectuur die Linux-systeembeheerders meer controle geeft over wie toegang heeft tot het systeem. Het werd oorspronkelijk ontwikkeld door het Amerikaanse National Security Agency (NSA) als een reeks patches en uitbreidingen voor de Linux-kernel via de Linux Security Modules (LSM). SELinux werd in 2000 uitgebracht als open-sourcetool en in 2003 geïntegreerd in de volledige Linux-kernel.
Hoe werkt SELinux?
SELinux beheert de toegang tot alle bestanden, processen en applicaties op je systeem. Met een set vooraf gedefinieerde regels als beveiligingsbeleid kan SELinux een gedegen toegangsbeleid opstellen. SELinux beschermt het systeem en blokkeert ongeautoriseerde toegangspogingen tot een resource. Binnen deze aanpak geldt het principe van minimale rechten: een gebruiker of programma krijgt alleen toegang tot de bestanden, mappen, sockets en andere services waarvoor expliciet toestemming is verleend.
Wanneer een applicatie of proces (het zogeheten "subject") toegang vraagt tot een bestand als object, gebruikt SELinux de Access Vector Cache (AVC) om die aanvraag te beoordelen. Deze cache slaat alle toegangsrechten op voor subjects en objecten, dat wil zeggen processen en waartoe ze proberen toegang te krijgen. Zonder opgeslagen toegangsrechten kan SELinux geen beslissingen nemen. In dat geval raadpleegt SELinux de beveiligingsserver voor de informatie die nodig is om de aanvraag te beoordelen. De beveiligingsserver past het SELinux-beleid toe en verleent of weigert de aanvraag op basis daarvan. Je kunt de berichtenlogs altijd raadplegen (via "/var/log.messages") om te zien welke aanvragen zijn geaccepteerd of geweigerd.
Wat zijn de SELinux-modi?
SELinux biedt beheerders drie modi om de functionaliteit in te stellen. Elke modus heeft andere beveiligingsbeperkingen en toepassingen:
Afdwingingsmodus: Dit is de standaardmodus. Acties die niet voldoen aan het beveiligingsbeleid worden geblokkeerd en geregistreerd.
Permissieve modus In deze modus kun je logs en gebeurtenissen gedetailleerd bekijken en analyseren. Deze modus is vooral handig voor het testen van SELinux. Schakelen tussen de verplichte en de permissieve modus vereist hier geen herstart van het systeem.
Uitgeschakelde modus: In deze modus kun je alle acties uitvoeren zonder dat ze worden geregistreerd. Overschakelen naar deze modus vereist een herstart van het systeem.
SELinux inschakelen op CentOS 7
-
Controleer de SELinux-status:
Stap 1: Controleer de aan/uit-status van SELinux
Controleer eerst of SELinux al dan niet is uitgeschakeld voordat je het probeert in te schakelen.
Voer de volgende opdracht in je terminal in om de instellingen te controleren:
sestatus
De uitvoer laat zien dat SELinux momenteel is uitgeschakeld op je systeem.
Stap 2: Controleer de vereisten voor het inschakelen van SELinux
- Een gebruikersaccount met sudo-rechten
- Toegang tot een terminal/console
- Een op RHEL gebaseerd systeem zoals CentOS 7
- Een teksteditor genaamd nano
Linux Hosting Eenvoudig Gemaakt
Op zoek naar een betere manier om je websites en webapps te hosten? Iets nieuws aan het bouwen? Of gewoon niet blij met Windows? Daarom hebben wij Linux VPS.
Haal je Linux VPS-
SELinux wordt gestart :
Stap 3: Open het configuratiebestand met de nano-editor
Stel de SELinux-status van de service in. Ga vervolgens naar /etc/selinux/config bestand en gebruik een teksteditor zoals Nano.
sudo nano /etc/selinux/config
Stap 4: Wijzig SELinux-modus
Nu kun je de SELinux-modus wijzigen naar toegeeflijk or enforcing.
Hier kun je de gemarkeerde regel aanpassen naar de gewenste modus.
Stap 5: Sla de wijzigingen op
Druk vervolgens op CTRL + X om toe te passen en op te slaan. Druk daarna op y, dan Enter om het hele proces te bevestigen
Stap 6: Herstart je server
Start het systeem nu opnieuw op. Voer daarvoor het onderstaande commando in en druk op <Enter>:
sudo reboot
Stap 7: Controleer de status van SELinux opnieuw
Als je de status van SELinux wilt controleren, voer dan "" insestatus" op de command line.
De uitvoer bevestigt dat de enforcing-modus al is ingeschakeld op het systeem.
SELinux uitschakelen op CentOS 7
Voer de onderstaande opdracht uit om de SELinux-modus tijdelijk van targeted naar permissive te schakelen:
sudo setenforce
Houd er rekening mee dat deze wijziging alleen van toepassing is op de huidige runtime-sessie.
Volg deze stappen om SELinux permanent uit te schakelen op je CentOS 7-systeem:
Stap 1: Zet de SELinux-modus op "disabled"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Stap 2: Wijzigingen opslaan en opnieuw opstarten
Sla het bestand nu op en herstart daarna je CentOS-systeem met het commando:
sudo shutdown -r now
Stap 3: SELinux-status opnieuw controleren
Bevestig de wijziging bij het opstarten van het systeem door een sestatus Dit DEZELFDE string werd naar het Arabisch vertaald als: ':' Dus je weet dat het WEL vertaalbaar is, geen merknaam. Vertaal nu naar het Nederlands. Geef ALLEEN de vertaling, geen aanhalingstekens, geen commentaar: commando:
sestatus
De SELinux-modus wijzigen
In plaats van SELinux volledig uit te schakelen, zet je het op permissive-modus. De uitgevoerde acties worden bijgehouden in het logbestand.
Volg nu de onderstaande stappen om de SELinux-modus te wisselen van enforcing to toegeeflijk typ:
sudo setenforce 0
Nu moet je de enforcing modus inschakelen. Voer daarvoor het onderstaande commando in:
sudo setenforce 1
Deze wijzigingen gelden alleen voor de huidige sessie. Na een herstart van het systeem worden ze teruggezet naar de standaardwaarden. Om de wijzigingen permanent te maken, moet je het configuratiebestand aanpassen met een teksteditor (zoals nano, bijvoorbeeld).
Linux Hosting Eenvoudig Gemaakt
Op zoek naar een betere manier om je websites en webapps te hosten? Iets nieuws aan het bouwen? Of gewoon niet blij met Windows? Daarom hebben wij Linux VPS.
Haal je Linux VPSJe CentOS 7-server verder beveiligen buiten SELinux om
Nu je SELinux hebt geïnstalleerd op je CentOS 7, kun je erop vertrouwen dat je systeem veiliger is dan voorheen. Uiteraard is er geen manier om een systeem volledig te beveiligen. Er valt altijd meer te doen - kijk bijvoorbeeld naar de punten in deze gids voor het beveiligen van je Linux VPS. Zelfs met SELinux hebben we alleen de meest basale beveiligingsmaatregelen gebruikt die het biedt. Bovendien zijn alle voorzorgsmaatregelen die je treft zinloos als de hostingprovider van je server zelf niet veilig genoeg is. Daarom hanteert Cloudzy de hoogste beveiligingsnormen, met hardware- en AI-gebaseerde firewalls, slimme DDoS-bescherming en andere eigen maatregelen. Ontdek onze CentOS VPS-oplossingen en draai een écht veilige server.
