Với các hoạt động khai thác và lỗ hổng được tiết lộ gần như hàng ngày cũng như các báo cáo về tội phạm mạng ngày càng gia tăng, mọi người đều quan tâm đến vấn đề bảo mật. Có nhiều cách khác nhau mà bạn có thể thực hiện để cải thiện bảo mật hệ thống của mình. Nếu bạn sử dụng (hoặc dự định sử dụng) máy chủ CentOS hoặc Fedora, SELinux là điểm khởi đầu lý tưởng. SELinux là một giao thức và ứng dụng bảo mật nhanh và mạnh mẽ giúp bạn kiểm tra và kiểm soát người dùng cũng như mức độ truy cập của họ vào các tệp và ứng dụng trên hệ thống. Trong bài viết này, tôi sẽ giới thiệu ngắn gọn về SELinux trước khi chỉ cho bạn cách bật SELinux trên CentOS 7.
SELinux là gì?
Linux được tăng cường bảo mật (SELinux) là một cấu trúc bảo mật được thiết kế để cung cấp cho quản trị viên hệ thống Linux nhiều quyền kiểm soát hơn đối với người dùng truy cập hệ thống. Ban đầu nó được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển dưới dạng một loạt các bản vá và nâng cấp cho nhân Linux bằng Mô-đun bảo mật Linux (LSM). SELinux được phát hành dưới dạng công cụ nguồn mở vào năm 2000 và sau đó được đồng bộ hóa với toàn bộ nhân Linux vào năm 2003.
SELinux hoạt động như thế nào?
SELinux kiểm soát quyền truy cập vào tất cả các tệp, quy trình và ứng dụng trên hệ thống của bạn. Sử dụng một bộ quy tắc được xác định trước làm chính sách bảo mật, SELinux có thể xác định chính sách truy cập an toàn và có giá trị. SELinux, sẽ bảo vệ hệ thống và ngăn chặn các nỗ lực truy cập trái phép vào tài nguyên. Theo cách tiếp cận này, cái gọi là nguyên tắc đặc quyền tối thiểu có nghĩa là người dùng chương trình cần được cấp quyền truy cập các tệp, thư mục, ổ cắm và các dịch vụ khác.
Khi một ứng dụng hoặc quy trình (được gọi là “chủ đề”) yêu cầu truy cập vào tệp dưới dạng đối tượng, SELinux sử dụng Access Vector Cache (AVC) để đánh giá quyền truy cập. Bộ nhớ đệm này lưu trữ tất cả các bộ nhớ đệm cấp phép cho chủ thể và đối tượng, nghĩa là các tiến trình và nội dung chúng đang cố truy cập. Nếu không có bất kỳ bộ đệm quyền nào được lưu trữ, SELinux sẽ không thể đưa ra bất kỳ quyết định nào. Trong những trường hợp như vậy, SELinux chỉ cần liên hệ với máy chủ bảo mật và yêu cầu thông tin để đánh giá yêu cầu truy cập. Máy chủ bảo mật áp dụng chính sách SELinux để đánh giá quyền truy cập, sau đó cấp hoặc từ chối yêu cầu dựa trên đó. Bạn luôn có thể kiểm tra nhật ký tin nhắn (tại “/var/log.messages”) để xem yêu cầu nào đã được chấp nhận hoặc từ chối.
Các chế độ SELinux là gì?
SELinux cho phép quản trị viên đặt chức năng của nó thành một trong ba chế độ sau. Mỗi chế độ có những hạn chế bảo mật khác nhau và cách sử dụng của nó:
Chế độ thực thi: Đây là chế độ mặc định, chặn và ghi lại các hành động không đáp ứng các tiêu chuẩn chính sách.
Chế độ cho phép: Chế độ này cung cấp cho bạn khả năng làm việc chi tiết trên nhật ký và sự kiện. Chế độ này đặc biệt giúp kiểm tra tính năng SELinux. Ở đây, việc thay đổi chế độ hoạt động giữa bắt buộc và cho phép sẽ không yêu cầu khởi động lại hệ thống.
Chế độ bị vô hiệu hóa: Điều này cho phép bạn thực hiện tất cả các hành động và không ghi lại hành động đó. Chuyển sang chế độ này yêu cầu khởi động lại hệ thống.
Cách kích hoạt SElinux trong CentOS 7
-
Kiểm tra trạng thái SELinux:
Bước 1: Kiểm tra trạng thái bật/tắt SELinux của bạn
Trước khi thử kích hoạt SELinux, bạn nên kiểm tra xem nó đã bị tắt chưa.
Nhập lệnh sau để kiểm tra cài đặt trong thiết bị đầu cuối của bạn:
sestatus
Kết quả đầu ra cho thấy SELinux hiện đã bị vô hiệu hóa trên hệ thống của bạn.
Bước 2: Kiểm tra các yêu cầu của bạn để kích hoạt SELinux
- Tài khoản người dùng có đặc quyền sudo
- Truy cập vào thiết bị đầu cuối/bảng điều khiển
- RHEL dựa trên hệ thống như CentOS 7
- Công cụ soạn thảo văn bản nano
Dịch vụ lưu trữ Linux được đơn giản hóa
Bạn muốn có một cách tốt hơn để lưu trữ trang web và ứng dụng web của mình? Phát triển một cái gì đó mới? Đơn giản là không thích Windows? Đó là lý do tại sao chúng tôi có VPS Linux.
Nhận VPS Linux của bạn-
Khởi động SELinux:
Bước 3: Sử dụng nano editor để mở file Config
Đặt trạng thái SELinux của dịch vụ. Vì vậy hãy đi đến /etc/selinux/config tập tin và sử dụng trình soạn thảo văn bản như Nano.
sudo nano /etc/selinux/config
Bước 4: Thay đổi chế độ SELinux
Bây giờ, bạn có thể thay đổi chế độ SELinux thành dễ dãi or thực thi.
Tại đây bạn có thể thay đổi dòng được đánh dấu sang chế độ bạn cần.
Bước 5: Lưu thay đổi
Sau đó nhấn CTRL + X để áp dụng và lưu lại. Sau đó, nhấn 'y', sau đó Đi vào để xác nhận toàn bộ quá trình
Bước 6: Khởi động lại máy chủ của bạn
Bây giờ bạn nên khởi động lại hệ thống. Để làm như vậy, hãy nhập lệnh bên dưới và nhấn <Enter>:
sudo reboot
Bước 7: Kiểm tra lại trạng thái SELinux
Nếu bạn muốn kiểm tra trạng thái của SELinux, hãy nhập “trạng thái” trong dòng lệnh một lần nữa.
Bây giờ, kết quả xác nhận rằng bạn đã kích hoạt chế độ thực thi trong hệ thống.
Cách tắt SELinux trên CentOS 7
Thực hiện theo lệnh bên dưới để tạm thời chuyển chế độ SELinux từ nhắm mục tiêu sang cho phép::
sudo setenforce
Nhưng lưu ý rằng thay đổi này chỉ áp dụng cho phiên chạy hiện tại.
Để tắt vĩnh viễn SELinux trên hệ thống CentOS 7 của bạn, hãy làm theo các bước sau:
Bước 1: Đặt chế độ SELinux thành “bị vô hiệu hóa”
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Bước 2: Lưu thay đổi và khởi động lại
Bây giờ hãy lưu tệp và sau đó, khởi động lại hệ thống CentOS của bạn bằng lệnh:
sudo shutdown -r now
Bước 3: Kiểm tra lại trạng thái SELinux
Khi hệ thống khởi động, hãy xác nhận thay đổi bằng cách đưa ra trạng thái yêu cầu:
sestatus
Cách thay đổi Thay đổi chế độ SELinux
Thay vì tắt hoàn toàn SELinux, bạn thay đổi chế độ của nó thành cho phép. Các hành động đã được thực hiện để lại dấu vết trong tệp nhật ký.
Bây giờ hãy làm theo các bước bên dưới để chuyển chế độ SELinux từ thực thi to dễ dãi kiểu:
sudo setenforce 0
Bây giờ bạn nên bật thực thi bật chế độ, vì vậy hãy nhập lệnh bên dưới:
sudo setenforce 1
Những thay đổi này chỉ có hiệu lực cho phiên hiện tại. Chúng sẽ trở về giá trị mặc định sau khi khởi động lại hệ thống. Để thực hiện những thay đổi đó vĩnh viễn, bạn nên chỉnh sửa tệp cấu hình bằng trình soạn thảo văn bản (như nano, Ví dụ).
Dịch vụ lưu trữ Linux được đơn giản hóa
Bạn muốn có một cách tốt hơn để lưu trữ trang web và ứng dụng web của mình? Phát triển một cái gì đó mới? Đơn giản là không thích Windows? Đó là lý do tại sao chúng tôi có VPS Linux.
Nhận VPS Linux của bạnBảo mật máy chủ CentOS 7 của bạn ngoài SELinux
Bây giờ bạn đã cài đặt SELinux trên CentOS 7, bạn có thể yên tâm khi biết hệ thống của mình an toàn hơn trước. Tất nhiên, không có cách nào để đảm bảo rằng mọi hệ thống đều an toàn tuyệt đối. Luôn luôn có nhiều việc phải làm - ví dụ, hãy xem các mục trong phần này hướng dẫn bảo mật VPS Linux của bạn. Trên thực tế, ngay cả với SELinux, chúng tôi cũng chỉ sử dụng các biện pháp bảo mật cơ bản nhất mà nó cung cấp. Hơn thế nữa, bất kỳ biện pháp bảo vệ nào bạn thiết lập sẽ không có giá trị gì nếu nhà cung cấp dịch vụ lưu trữ cho máy chủ của bạn không đủ an toàn. Đó là lý do tại sao tại Cloudzy, chúng tôi duy trì mức độ bảo mật cao nhất, với tường lửa dựa trên phần cứng và AI, bảo vệ DDoS thông minh và các biện pháp độc quyền khác. Tận hưởng của chúng tôi Giải pháp VPS CentOS và chạy một máy chủ thực sự an toàn.
