Exploity i luki w zabezpieczeniach pojawiają się niemal codziennie, a liczba cyberprzestępstw rośnie. Bezpieczeństwo to teraz priorytet dla wszystkich. Istnieje wiele sposobów na poprawę bezpieczeństwa systemu. Jeśli używasz (lub planujesz użyć) serwera CentOS lub Fedora, SELinux to doskonały punkt wyjścia. SELinux to szybki protokół i aplikacja bezpieczeństwa, która pomaga sprawdzać i kontrolować użytkowników oraz ich poziom dostępu do plików i aplikacji w systemie. W tym artykule pokażę Ci, jak włączyć SELinux na CentOS 7.
Co to jest SELinux?
Security-Enhanced Linux (SELinux) to struktura bezpieczeństwa zaprojektowana, aby dać administratorom systemu Linux większą kontrolę nad dostępem użytkowników. Został pierwotnie opracowany przez U.S. National Security Agency (NSA) jako seria poprawek i ulepszeń do jądra Linux przy użyciu Linux Security Modules (LSM). SELinux został wydany jako narzędzie open-source w 2000 roku, a następnie zsynchronizowany z całym jądrem Linux w 2003 roku.
Jak działa SELinux?
SELinux kontroluje dostęp do wszystkich plików, procesów i aplikacji w systemie. Korzystając z zestawu wstępnie zdefiniowanych reguł jako polityki bezpieczeństwa, SELinux może zdefiniować bezpieczną i wartościową politykę dostępu. SELinux chroni system i zapobiega nieautoryzowanym próbom dostępu do zasobów. W tym podejściu zasada najmniejszych uprawnień oznacza, że użytkownik aplikacji musi mieć uprawnienia do dostępu do plików, katalogów, gniazd i innych usług.
Kiedy aplikacja lub proces (zwany "subject") żąda dostępu do pliku jako obiektu, SELinux używa Access Vector Cache (AVC) do oceny dostępu. Ta pamięć przechowuje wszystkie cache'e uprawnień dla podmiotów i obiektów, czyli procesy i do czego próbują uzyskać dostęp. Bez przechowywanych cache'ów uprawnień SELinux nie mógłby podejmować decyzji. W takich przypadkach SELinux po prostu kontaktuje się z serwerem bezpieczeństwa i prosi o informacje do oceny żądania dostępu. Serwer bezpieczeństwa stosuje politykę SELinux do oceny dostępu, a następnie udziela lub odmawia dostępu na podstawie tej polityki. Zawsze możesz sprawdzić dzienniki komunikatów (w "/var/log.messages"), aby zobaczyć, które żądania zostały zaakceptowane lub odrzucone.
Jakie są tryby SELinux?
SELinux pozwala administratorom ustawić jego funkcjonalność w jeden z trzech poniższych trybów. Każdy tryb ma różne ograniczenia bezpieczeństwa i zastosowanie:
Tryb wymuszający: To tryb domyślny, który blokuje i rejestruje akcje, które nie spełniają standardów polityki.
Tryb permisywny: Ten tryb umożliwia pracę z dziennikami i zdarzeniami w szczegółach. Ten tryb szczególnie pomaga w testowaniu funkcji SELinux. Tutaj zmiana trybów pracy między wymuszonym a permisywnym nie wymaga ponownego uruchomienia systemu.
Tryb wyłączony: Pozwala na wykonywanie wszystkich akcji bez rejestrowania ich. Przełączenie się na ten tryb wymaga ponownego uruchomienia systemu.
Jak włączyć SElinux w CentOS 7
-
Sprawdź status SELinux:
Krok 1: Sprawdź status włączenia/wyłączenia SELinux
Przed włączeniem SELinux powinieneś sprawdzić, czy jest już wyłączony.
Wpisz poniższe polecenie, aby sprawdzić ustawienia w terminalu:
sestatus
Wynik pokazuje, że SELinux jest teraz wyłączony w systemie.
Krok 2: Sprawdź wymagania do włączenia SELinux
- Konto użytkownika z uprawnieniami sudo
- Dostęp do terminala/konsoli
- System oparty na RHEL, taki jak CentOS 7
- Narzędzie edytora tekstu nano
Hosting Linux bez komplikacji
Szukasz lepszego sposobu na hostowanie stron i aplikacji internetowych? Pracujesz nad nowym projektem? A może po prostu nie chcesz korzystać z Windows? Od tego właśnie mamy Linux VPS.
Zamów swój Linux VPS-
Uruchamianie SELinux :
Krok 3: Otwórz plik konfiguracyjny za pomocą edytora nano
Ustaw status SELinux usługi. Przejdź do /etc/selinux/config pliku i użyj edytora tekstu, takiego jak Nano.
sudo nano /etc/selinux/config
Krok 4: Zmień tryb SELinux
Teraz możesz zmienić tryb SELinux na jeden z poniższych permisywny or enforcing.
Tutaj możesz zmienić zaznaczoną linię na potrzebny Ci tryb.
Krok 5: Zapisz zmiany
Następnie naciśnij CTRL + X aby zastosować i zapisać. Następnie naciśnij y, następnie Enter aby potwierdzić cały proces
Krok 6: Uruchom ponownie serwer
Teraz powinieneś uruchomić system ponownie. Aby to zrobić, wpisz poniższą komendę i naciśnij <Enter>:
sudo reboot
Krok 7: Sprawdź ponownie status SELinux
Jeśli chcesz sprawdzić status SELinux, wpiszsestatus" w linii poleceń ponownie.
Teraz wynik potwierdza, że włączyłeś tryb enforcing w systemie.
Jak wyłączyć SELinux na CentOS 7
Wykonaj poniższą komendę, aby tymczasowo zmienić tryb SELinux z targeted na permissive:
sudo setenforce
Pamiętaj jednak, że ta zmiana dotyczy tylko bieżącej sesji.
Aby trwale wyłączyć SELinux w systemie CentOS 7, wykonaj poniższe kroki:
Krok 1: Ustaw tryb SELinux na "disabled"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Krok 2: Zapisz zmiany i uruchom ponownie
Teraz zapisz plik, a następnie uruchom system CentOS ponownie, używając komendy:
sudo shutdown -r now
Krok 3: Sprawdź ponownie status SELinux
Gdy system się uruchomi, potwierdź zmianę, podając sestatus Ten SAM string został przetłumaczony na arabski jako: ':' Więc wiesz, że JEST tłumaczalny, a nie nazwa marki. Przetłumacz na polski teraz. Zwróć TYLKO tłumaczenie, bez cudzysłowów, bez komentarza: polecenie:
sestatus
Jak zmienić tryb SELinux
Zamiast całkowicie wyłączać SELinux, zmienisz jego tryb na permissive. Wykonane działania pozostawiają ślad w pliku dziennika.
Wykonaj poniższe kroki, aby zmienić tryb SELinux z enforcing to permisywny wpisz:
sudo setenforce 0
Teraz powinieneś włączyć enforcing tryb, wpisz poniższą komendę:
sudo setenforce 1
Te zmiany obowiązują tylko w bieżącej sesji. Po ponownym uruchomieniu systemu powrócą do wartości domyślnych. Aby uczynić zmiany trwałymi, edytuj plik konfiguracyjny za pomocą edytora tekstu (na przykład nano, na przykład).
Hosting Linux bez komplikacji
Szukasz lepszego sposobu na hostowanie stron i aplikacji internetowych? Pracujesz nad nowym projektem? A może po prostu nie chcesz korzystać z Windows? Od tego właśnie mamy Linux VPS.
Zamów swój Linux VPSZabezpieczanie serwera CentOS 7 poza SELinux
Po zainstalowaniu SELinux na CentOS 7 możesz być pewny, że Twój system jest bezpieczniejszy niż wcześniej. Oczywiście nie ma sposobu, aby zagwarantować całkowitą bezpieczeństwo systemu. Zawsze jest coś więcej do zrobienia. Spójrz na przykład na pozycje w tym przewodniku do zabezpieczania Linux VPS. Faktycznie, nawet z SELinux, zastosowaliśmy tylko podstawowe środki bezpieczeństwa, które oferuje. Co więcej, niezależnie od tego, jakie zabezpieczenia wdrożysz, będą one bezwartościowe, jeśli dostawca hostingu Twojego serwera nie będzie wystarczająco bezpieczny. Dlatego w Cloudzy utrzymujemy najwyższe standardy bezpieczeństwa dzięki zapora sieciowa oparta na sprzęcie i sztucznej inteligencji, inteligentna ochrona DDoS i inne autorskie rozwiązania. Ciesz się naszymi rozwiązaniami CentOS VPS i uruchom naprawdę bezpieczny serwer.
