Mỗi ngày có những lỗ hổng bảo mật được công bố, báo cáo về tội phạm mạng cũng tăng lên liên tục. An toàn hệ thống là mối quan tâm hàng đầu của mọi người. Có nhiều cách để nâng cao bảo mật hệ thống của bạn. Nếu bạn đang sử dụng (hoặc dự định sử dụng) máy chủ CentOS hoặc Fedora, SELinux là điểm khởi đầu lý tưởng. SELinux là một giao thức và ứng dụng bảo mật nhanh và mạnh mẽ giúp bạn kiểm tra và kiểm soát người dùng cũng như mức độ truy cập của họ vào các tệp và ứng dụng trên hệ thống. Trong bài viết này, tôi sẽ giới thiệu sơ lược về SELinux trước khi hướng dẫn bạn cách bật SELinux trên CentOS 7.
SELinux là gì?
Security-Enhanced Linux (SELinux) là một cơ cấu bảo mật được thiết kế để cung cấp cho quản trị viên hệ thống Linux quyền kiểm soát lớn hơn đối với người dùng truy cập hệ thống. Ban đầu nó được phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) dưới dạng một loạt bản vá và nâng cấp cho nhân Linux bằng cách sử dụng Linux Security Modules (LSM). SELinux được phát hành dưới dạng công cụ mã nguồn mở vào năm 2000 và sau đó được đồng bộ hóa với toàn bộ Kernel Linux vào năm 2003.
SELinux Hoạt Động Như Thế Nào?
SELinux kiểm soát quyền truy cập vào tất cả các tệp, quy trình và ứng dụng trên hệ thống của bạn. Sử dụng một bộ quy tắc được xác định trước làm chính sách bảo mật, SELinux có thể định nghĩa một chính sách truy cập an toàn và có giá trị. SELinux sẽ bảo vệ hệ thống và ngăn chặn các nỗ lực truy cập không được phép vào tài nguyên. Trong phương pháp này, nguyên tắc được gọi là ít quyền hạn nhất có nghĩa là người dùng của một chương trình cần được cấp phép để truy cập các tệp, thư mục, ổ cắm và các dịch vụ khác.
Khi một ứng dụng hoặc quy trình (được gọi là một "đối tượng yêu cầu") yêu cầu truy cập vào một tệp dưới dạng một đối tượng, SELinux sử dụng Access Vector Cache (AVC) để đánh giá quyền truy cập. Bộ nhớ cache này lưu trữ tất cả các bộ nhớ cache quyền cho các đối tượng yêu cầu và đối tượng, có nghĩa là các quy trình và những gì họ đang cố gắng truy cập. Nếu không có bộ nhớ cache quyền nào được lưu trữ, SELinux sẽ không thể đưa ra bất kỳ quyết định nào. Trong những trường hợp như vậy, SELinux chỉ cần liên hệ với máy chủ bảo mật và yêu cầu thông tin để đánh giá yêu cầu truy cập. Máy chủ bảo mật áp dụng chính sách SELinux để đánh giá quyền truy cập, sau đó cấp hoặc từ chối yêu cầu dựa trên đó. Bạn có thể luôn kiểm tra nhật ký tin nhắn (tại "/var/log.messages") để xem những yêu cầu nào đã được chấp nhận hoặc từ chối.
Các Chế Độ SELinux Là Gì?
SELinux cho phép quản trị viên đặt chức năng của nó thành một trong ba chế độ sau. Mỗi chế độ có những hạn chế bảo mật khác nhau và những cách sử dụng riêng của nó.
Chế độ thực thi: Đây là chế độ mặc định, chặn và ghi nhật ký các hành động không đáp ứng tiêu chuẩn chính sách.
Chế độ cho phép: Chế độ này cung cấp cho bạn khả năng làm việc với nhật ký và sự kiện chi tiết. Chế độ này đặc biệt hữu ích để kiểm tra tính năng SELinux. Ở đây, thay đổi chế độ hoạt động giữa bắt buộc và cho phép sẽ không yêu cầu khởi động lại hệ thống.
Chế độ bị vô hiệu hóa: Chế độ này cho phép bạn thực hiện tất cả các hành động và không ghi nhật ký hành động. Chuyển sang chế độ này yêu cầu khởi động lại hệ thống.
Cách Bật SELinux trên CentOS 7
-
Kiểm tra Trạng thái SELinux :
Bước 1: Kiểm tra Trạng thái Bật/Tắt SELinux của Bạn
Trước khi cố gắng bật SELinux, bạn nên kiểm tra xem nó đã bị tắt hay chưa.
Nhập lệnh sau để kiểm tra cài đặt trong terminal của bạn:
sestatus
Kết quả hiển thị rằng SELinux hiện đã bị tắt trên hệ thống của bạn.
Bước 2: Kiểm tra Yêu cầu của Bạn để Bật SELinux
- Tài khoản người dùng có quyền sudo
- Quyền truy cập vào terminal hoặc bảng điều khiển
- Hệ thống dựa trên RHEL như CentOS 7
- Công cụ trình soạn thảo văn bản nano
Hosting Linux Đơn Giản
Muốn tìm một cách tốt hơn để lưu trữ trang web và ứng dụng web của bạn? Đang phát triển điều gì đó mới? Hoặc đơn giản là bạn không thích Windows? Vì thế chúng tôi có Linux VPS.
Nhận Linux VPS của bạn-
Đang khởi động SELinux :
Bước 3: Sử dụng trình chỉnh sửa nano để mở Tệp Cấu hình
Đặt trạng thái SELinux của dịch vụ. Vì vậy hãy đi tới /etc/selinux/config tệp và sử dụng trình soạn thảo văn bản như Nano.
sudo nano /etc/selinux/config
Bước 4: Thay Đổi Chế Độ SELinux
Bây giờ, bạn có thể thay đổi chế độ SELinux thành cho phép or enforcing.
Ở đây bạn có thể thay đổi dòng được đánh dấu thành chế độ bạn cần.
Bước 5: Lưu các Thay Đổi
Sau đó nhấn CTRL + X để áp dụng và lưu. Sau đó, nhấn y, sau đó Enter để xác nhận toàn bộ quá trình
Bước 6: Khởi Động Lại Server
Bây giờ bạn cần khởi động lại hệ thống. Để làm điều đó, nhập lệnh dưới đây và nhấn <Enter>:
sudo reboot
Bước 7: Kiểm Tra Lại Trạng Thái SELinux
Nếu bạn muốn kiểm tra trạng thái của SELinux, hãy nhập "trạng thái hệ thống trong dòng lệnh một lần nữa.
Bây giờ, kết quả xác nhận rằng bạn đã bật chế độ enforcing trong hệ thống.
Cách tắt SELinux trên CentOS 7
Thực hiện lệnh dưới đây để chuyển chế độ SELinux tạm thời từ targeted sang permissive:
sudo setenforce
Nhưng lưu ý rằng thay đổi này chỉ áp dụng cho phiên runtime hiện tại.
Để vô hiệu hóa SELinux trên hệ thống CentOS 7 của bạn một cách vĩnh viễn, hãy thực hiện các bước sau:
Bước 1: Đặt chế độ SELinux thành "disabled"
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Bước 2: Lưu Thay Đổi và Khởi Động Lại
Bây giờ hãy lưu tệp và sau đó khởi động lại hệ thống CentOS của bạn bằng lệnh:
sudo shutdown -r now
Bước 3: Kiểm tra lại trạng thái SELinux
Khi hệ thống khởi động, xác nhận thay đổi bằng cách nhập sestatus lệnh:
sestatus
Cách Thay Đổi Chế Độ SELinux
Thay vì vô hiệu hóa hoàn toàn SELinux, bạn thay đổi chế độ của nó thành permissive. Các hành động đã được thực hiện để lại dấu vết trong tệp nhật ký.
Bây giờ hãy thực hiện các bước dưới đây để chuyển chế độ SELinux từ enforcing to cho phép Nhập:
sudo setenforce 0
Bây giờ bạn cần bật enforcing chế độ, vì vậy hãy nhập lệnh dưới đây:
sudo setenforce 1
Những thay đổi này chỉ có hiệu lực cho phiên hiện tại. Chúng sẽ trở lại giá trị mặc định sau khi khởi động lại hệ thống. Để làm cho những thay đổi đó vĩnh viễn, bạn nên chỉnh sửa tệp cấu hình bằng trình soạn thảo văn bản (như nano, ví dụ).
Hosting Linux Đơn Giản
Muốn tìm một cách tốt hơn để lưu trữ trang web và ứng dụng web của bạn? Đang phát triển điều gì đó mới? Hoặc đơn giản là bạn không thích Windows? Vì thế chúng tôi có Linux VPS.
Nhận Linux VPS của bạnBảo Mật Máy Chủ CentOS 7 Của Bạn Vượt Ra Ngoài SELinux
Bây giờ bạn đã cài đặt SELinux trên CentOS 7, bạn có thể yên tâm biết rằng hệ thống của bạn an toàn hơn trước. Tất nhiên, không có cách nào để đảm bảo rằng bất kỳ hệ thống nào cũng hoàn toàn an toàn. Luôn có nhiều điều cần làm hơn, chẳng hạn như xem các mục trong hướng dẫn bảo mật Linux VPS của bạn. Trên thực tế, ngay cả với SELinux, chúng tôi cũng chỉ sử dụng các biện pháp bảo mật cơ bản nhất mà nó cung cấp. Hơn thế nữa, bất kỳ biện pháp bảo vệ nào bạn thiết lập cũng sẽ vô ích nếu nhà cung cấp hosting cho server của bạn không đủ an toàn. Đó là lý do tại sao, tại Cloudzy, chúng tôi duy trì các tiêu chuẩn bảo mật cao nhất, với tường lửa dựa trên phần cứng và AI, bảo vệ DDoS thông minh và các biện pháp độc quyền khác. Hãy tận hưởng giải pháp CentOS VPS và chạy một server thực sự an toàn.
