W obliczu niemal codziennie ujawnianych exploitów i luk w zabezpieczeniach oraz rosnącej liczby raportów o cyberprzestępstwach, wszyscy myślą o bezpieczeństwie. Istnieją różne sposoby poprawy bezpieczeństwa systemu. Jeśli używasz (lub planujesz używać) serwera CentOS lub Fedora, SELinux jest idealnym punktem wyjścia. SELinux to szybki i solidny protokół bezpieczeństwa oraz aplikacja, która pomaga sprawdzać i kontrolować użytkowników oraz poziom ich dostępu do plików i aplikacji w systemie. W tym artykule przedstawię krótkie wprowadzenie do SELinux, zanim pokażę, jak włączyć SELinux w CentOS 7.
Co to jest SELinux?
Linux o zwiększonych zabezpieczeniach (SELinux) to struktura zabezpieczeń zaprojektowana w celu zapewnienia administratorom systemu Linux większej kontroli nad użytkownikami uzyskującymi dostęp do systemu. Został pierwotnie opracowany przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA) jako seria poprawek i uaktualnień jądra Linuksa przy użyciu modułów zabezpieczających Linuksa (LSM). SELinux został wydany jako narzędzie open source w 2000 roku, a następnie zsynchronizowany z całym jądrem Linuksa w 2003 roku.
Jak działa SELinux?
SELinux kontroluje dostęp do wszystkich plików, procesów i aplikacji w Twoim systemie. Używając zestawu predefiniowanych reguł jako polityk bezpieczeństwa, SELinux może zdefiniować bezpieczną i wartościową politykę dostępu. SELinux ochroni system i zapobiegnie nieautoryzowanym próbom dostępu do zasobu. W tym podejściu tak zwana zasada najmniejszych uprawnień oznacza, że użytkownik programu musi otrzymać pozwolenie na dostęp do plików, katalogów, gniazd i innych usług.
Kiedy aplikacja lub proces (zwany „podmiotem”) żąda dostępu do pliku jako obiektu, SELinux używa pamięci podręcznej wektorów dostępu (AVC) do oceny dostępu. Ta pamięć podręczna przechowuje wszystkie pamięci podręczne uprawnień dla podmiotów i obiektów, co oznacza procesy i to, do czego próbują uzyskać dostęp. Bez zapisanych pamięci podręcznych uprawnień SELinux nie byłby w stanie podejmować żadnych decyzji. W takich przypadkach SELinux po prostu kontaktuje się z serwerem bezpieczeństwa i prosi o informacje umożliwiające ocenę żądania dostępu. Serwer bezpieczeństwa stosuje politykę SELinux do oceny dostępu, a następnie na tej podstawie przyznaje lub odrzuca żądanie. Zawsze możesz sprawdzić dzienniki wiadomości (w „/var/log.messages”), aby zobaczyć, które żądania zostały zaakceptowane, a które odrzucone.
Jakie są tryby SELinux?
SELinux pozwala administratorom ustawić jego funkcjonalność na jeden z trzech poniższych trybów. Każdy tryb ma inne ograniczenia bezpieczeństwa i jego zastosowania:
Tryb wymuszania: Jest to tryb domyślny, który blokuje i rejestruje działania niespełniające standardów polityki.
Tryb zezwalający: Ten tryb umożliwia szczegółową pracę nad dziennikami i zdarzeniami. Ten tryb szczególnie pomaga przetestować funkcję SELinux. W tym przypadku zmiana trybów działania z wymuszonego na zezwalający nie będzie wymagała ponownego uruchomienia systemu.
Tryb wyłączony: Dzięki temu możesz wykonywać wszystkie akcje i nie rejestrować akcji. Przełączenie do tego trybu wymaga ponownego uruchomienia systemu.
Jak włączyć SElinux w CentOS 7
-
Sprawdź status SELinux:
Krok 1: Sprawdź status włączenia/wyłączenia SELinux
Zanim spróbujesz włączyć SELinux, powinieneś sprawdzić, czy nie jest już wyłączony.
Wpisz następujące polecenie, sprawdź ustawienia w terminalu:
sestatus
Dane wyjściowe pokazują, że SELinux jest teraz wyłączony w twoim systemie.
Krok 2: Sprawdź swoje wymagania dotyczące włączenia SELinux
- Konto użytkownika z uprawnieniami sudo
- Dostęp do terminala/konsoli
- Systemowy RHEL, taki jak CentOS 7
- Narzędzie do edycji tekstu nano
Uproszczony hosting w systemie Linux
Szukasz lepszego sposobu na hostowanie witryn i aplikacji internetowych? Opracowujesz coś nowego? Po prostu nie lubisz systemu Windows? Dlatego mamy Linux VPS.
Zdobądź swój Linux VPS-
Uruchamianie SELinuksa:
Krok 3: Użyj edytora nano, aby otworzyć plik konfiguracyjny
Ustaw status usługi SELinux. Więc idź do /etc/selinux/config plik i użyj edytora tekstu, takiego jak Nano.
sudo nano /etc/selinux/config
Krok 4: Zmień tryb SELinux
Teraz możesz zmienić tryb SELinux na dowolny dozwalający or egzekwowanie.
Tutaj możesz zmienić zaznaczoną linię na żądany tryb.
Krok 5: Zapisz zmiany
Następnie naciśnij CTRL + X zastosować i zapisać. Następnie naciśnij „y”, Następnie Wchodzić aby potwierdzić cały proces
Krok 6: Uruchom ponownie serwer
Teraz powinieneś zrestartować system. W tym celu wpisz poniższe polecenie i naciśnij klawisz <Enter>:
sudo reboot
Krok 7: Sprawdź ponownie status SELinux
Jeśli chcesz sprawdzić status SELinuksa, wpisz „sestatus” ponownie w wierszu poleceń.
Wynik potwierdza, że w systemie został już włączony tryb wymuszania.
Jak wyłączyć SELinux w CentOS 7
Wykonaj poniższe polecenie, aby tymczasowo przełączyć tryb SELinux z docelowego na zezwalający:
sudo setenforce
Należy jednak zauważyć, że ta zmiana dotyczy tylko bieżącej sesji środowiska wykonawczego.
Aby trwale wyłączyć SELinux w systemie CentOS 7, wykonaj następujące kroki:
Krok 1: Ustaw tryb SELinux na „wyłączony”
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Krok 2: Zapisz zmiany i uruchom ponownie
Teraz zapisz plik, a następnie uruchom ponownie system CentOS za pomocą polecenia:
sudo shutdown -r now
Krok 3: Sprawdź ponownie status SELinux
Po uruchomieniu systemu potwierdź zmianę, podając klawisz sestatus rozkaz:
sestatus
Jak zmienić tryb SELinux
Zamiast całkowicie wyłączać SELinux, zmieniasz jego tryb na zezwalający. Wykonane czynności pozostawiają ślad w pliku dziennika.
Teraz wykonaj poniższe kroki, aby przełączyć się z trybu SELinux egzekwowanie to dozwalający typ:
sudo setenforce 0
Teraz powinieneś obrócić egzekwowanie tryb włączony, więc wpisz poniższe polecenie:
sudo setenforce 1
Zmiany te obowiązują tylko w przypadku bieżącej sesji. Powrócą do wartości domyślnych po ponownym uruchomieniu systemu. Aby zmiany te były trwałe, należy edytować plik konfiguracyjny za pomocą edytora tekstu (np nano, Na przykład).
Uproszczony hosting w systemie Linux
Szukasz lepszego sposobu na hostowanie witryn i aplikacji internetowych? Opracowujesz coś nowego? Po prostu nie lubisz systemu Windows? Dlatego mamy Linux VPS.
Zdobądź swój Linux VPSZabezpieczanie serwera CentOS 7 poza SELinux
Teraz, gdy zainstalowałeś SELinux na swoim CentOS 7, możesz spać spokojnie, wiedząc, że Twój system jest bezpieczniejszy niż wcześniej. Oczywiście nie ma sposobu, aby zapewnić, że jakikolwiek system jest całkowicie bezpieczny. Zawsze jest więcej do zrobienia — spójrz na przykład na elementy w tym artykule przewodnik po zabezpieczeniu Linux VPS. Tak naprawdę nawet w przypadku SELinuksa zastosowaliśmy jedynie najbardziej podstawowe środki bezpieczeństwa, jakie ma do zaoferowania. Co więcej, wszelkie zabezpieczenia, które ustanowisz, nie będą się liczyły, jeśli dostawca usług hostingowych dla Twojego serwera nie będzie wystarczająco bezpieczny. Dlatego w Cloudzy utrzymujemy najwyższy poziom bezpieczeństwa, stosując zapory sprzętowe i oparte na sztucznej inteligencji, inteligentną ochronę przed DDoS i inne zastrzeżone środki. Ciesz się naszym Rozwiązania CentOS VPS i uruchom naprawdę bezpieczny serwer.
