Експлойти та вразливості виявляються майже щодня, а про кіберзлочини повідомляють все частіше. Безпека турбує кожного. Є різні способи підвищити безпеку вашої системи. Якщо ви використовуєте (або плануєте використовувати) сервер CentOS або Fedora, SELinux — це відмінна відправна точка. SELinux — це швидкий та надійний протокол безпеки та додаток, який допомагає перевірити й контролювати користувачів та їх рівень доступу до файлів та програм у системі. У цій статті я дам короткий огляд SELinux, а потім покажу вам, як увімкнути SELinux на CentOS 7.
Що таке SELinux?
Security-Enhanced Linux (SELinux) — це архітектура безпеки, призначена для надання адміністраторам Linux системи більшого контролю над користувачами, які отримують доступ до системи. Спочатку вона була розроблена Агентством національної безпеки США (NSA) як набір патчів та оновлень ядра Linux за допомогою модулів безпеки Linux (LSM). SELinux було випущено як інструмент з відкритим кодом у 2000 році, а потім синхронізовано з усім ядром Linux у 2003 році.
Як працює SELinux?
SELinux контролює доступ до всіх файлів, процесів та програм у вашій системі. Використовуючи набір попередньо визначених правил як політик безпеки, SELinux може визначити безпечну та важливу політику доступу. SELinux захистить систему і запобігне несанкціонованим спробам доступу до ресурсу. У цьому підході так звана принцип найменших привілеїв означає, що користувачу програми необхідно надати дозвіл на доступ до файлів, каталогів, сокетів та інших служб.
Коли програма або процес (називається "суб'єктом") запитує доступ до файлу як об'єкта, SELinux використовує Access Vector Cache (AVC) для оцінки доступу. Цей кеш зберігає всі кеши дозволів для суб'єктів та об'єктів, тобто процесів і того, до чого вони намагаються отримати доступ. Без збережених кешів дозволів SELinux не зміг би приймати рішення. У таких випадках SELinux просто зв'язується з сервером безпеки та запитує інформацію для оцінки запиту доступу. Сервер безпеки застосовує політику SELinux для оцінки доступу, а потім дозволяє або відмовляє у запиті на основі цієї політики. Ви завжди можете перевірити логи повідомлень (на "/var/log.messages"), щоб побачити, які запити були прийняті або відхилені.
Які режими SELinux?
SELinux дозволяє адміністраторам встановити його функціональність в один з трьох наступних режимів. Кожен режим має різні обмеження безпеки та своє призначення:
Режим примусу: Це режим за замовчуванням, який блокує та записує дії, які не відповідають стандартам політики.
Режим з дозволами: Цей режим дозволяє вам деталізовано працювати з логами та подіями. Цей режим особливо корисний при тестуванні функції SELinux. Тут зміна режимів роботи між примусовим та дозволяючим режимом не потребує перезавантаження системи.
Вимкнений режим: Це дозволяє вам виконувати всі дії та не записувати дію. Перехід у цей режим потребує перезавантаження системи.
Як увімкнути SELinux на CentOS 7
-
Перевірте статус SELinux:
Крок 1: перевірте статус SELinux (увімкнено/вимкнено)
Перед тим як намагатися увімкнути SELinux, переконайтеся, що він уже не вимкнений.
Введіть наступну команду, щоб перевірити параметри в терміналі:
sestatus
Результат показує, що SELinux наразі вимкнений у вашій системі.
Крок 2: перевірте ваші вимоги для увімкнення SELinux
- Обліковий запис користувача з привілеями sudo
- Доступ до терміналу/консолі
- Система на базі RHEL, наприклад CentOS 7
- Текстовий редактор nano
Хостинг на Linux без зайвих складнощів
Хочете зручніший спосіб розмістити свої сайти та вебзастосунки? Розробляєте щось нове? Просто не подобається Windows? Саме для цього в нас є Linux VPS.
Отримати Linux VPS-
Запуск SELinux :
Крок 3: Відкрийте файл конфігурації за допомогою nano
Встановіть статус SELinux служби. Тоді перейдіть до /etc/selinux/config файлу та використайте текстовий редактор, як-от Nano.
sudo nano /etc/selinux/config
Крок 4: Змініть режим SELinux
Тепер ви можете змінити режим SELinux на один із цих: дозвільний or enforcing.
Тут ви можете змінити позначену лінію на необхідний вам режим.
Крок 5: Збережіть зміни
Потім натисніть CTRL + X для застосування та збереження. Потім натисніть y, потім Enter щоб підтвердити весь процес
Крок 6: Перезавантажте сервер
Тепер вам потрібно перезавантажити систему. Для цього введіть команду нижче та натисніть <Enter>:
sudo reboot
Крок 7: Перевірте статус SELinux повторно
Якщо ви хочете перевірити статус SELinux, введітьsestatus" в командному рядку ще раз.
Тепер результат підтверджує, що ви вже увімкнули режим enforcing у системі.
Як вимкнути SELinux на CentOS 7
Виконайте команду нижче, щоб тимчасово змінити режим SELinux з targeted на permissive:
sudo setenforce
Але майте на увазі, що ця зміна діятиме тільки в поточному сеансі виконання.
Щоб постійно вимкнути SELinux у системі CentOS 7, виконайте такі кроки:
Крок 1: встановіть режим SELinux на "вимкнено"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Крок 2: збережіть зміни й перезавантажте систему
Тепер збережіть файл, а потім перезавантажте вашу систему CentOS командою:
sudo shutdown -r now
Крок 3: перевірте статус SELinux ще раз
Коли система завантажиться, підтвердіть змяну, дав sestatus команда:
sestatus
Як змінити режим SELinux
Замість повного вимикання SELinux змініть його режим на дозволяючий. Усі виконані дії записуються в лог-файл.
Щоб переключити SELinux на інший режим, виконайте кроки нижче: enforcing to дозвільний введіть:
sudo setenforce 0
Тепер активуйте enforcing режим, введіть команду:
sudo setenforce 1
Ці зміни дійсні тільки для поточної сесії. Після перезавантаження системи вони повернуться до значень за умовчанням. Щоб зробити ці зміни постійними, відредагуйте файл конфігурації за допомогою текстового редактора (наприклад, nano, наприклад).
Хостинг на Linux без зайвих складнощів
Хочете зручніший спосіб розмістити свої сайти та вебзастосунки? Розробляєте щось нове? Просто не подобається Windows? Саме для цього в нас є Linux VPS.
Отримати Linux VPSЗахист вашого сервера CentOS 7 за межами SELinux
Тепер, коли ви встановили SELinux на CentOS 7, можете бути впевнені, що ваша система захищена краще, ніж раніше. Звичайно, неможливо абсолютно гарантувати безпеку будь-якої системи. Завжди є місце для вдосконалень — подивіться, наприклад, на пункти в цьому посібнику з безпеки вашого Linux VPS. Більше того, навіть з SELinux ми використовуємо тільки найбільш базові функції безпеки. І це ще не все — жоден захід не буде ефективним, якщо провайдер хостингу вашого сервера недостатньо захищений. Саме тому в Cloudzy ми дотримуємося найвищих стандартів безпеки завдяки апаратним та AI-заснованим брандмауерам, смартного DDoS захисту та іншим власним технологіям. Користуйтеся нашими безпечними рішеннями CentOS VPS та запустіть дійсно захищений сервер.
