随着漏洞利用和漏洞几乎每天都会被曝光,网络犯罪报告也不断增加,安全问题已成为每个人关注的焦点。您可以采用不同的方法来提高系统安全性。如果您使用(或计划使用)CentOS 或 Fedora 服务器,SELinux 是一个理想的起点。 SELinux 是一种快速且强大的安全协议和应用程序,可帮助您检查和控制用户及其对系统上的文件和应用程序的访问级别。在本文中,我将简要介绍 SELinux,然后向您展示如何在 CentOS 7 上启用 SELinux。
什么是 SELinux?
安全增强型 Linux (SELinux) 是一种安全结构,旨在为 Linux 系统管理员提供对访问系统的用户的更多控制。它最初由美国国家安全局 (NSA) 开发,作为使用 Linux 安全模块 (LSM) 对 Linux 内核的一系列补丁和升级。 SELinux 于 2000 年作为开源工具发布,并于 2003 年与整个 Linux 内核同步。
SELinux 是如何工作的?
SELinux 控制对系统上所有文件、进程和应用程序的访问。使用一组预定义的规则作为安全策略,SELinux 可以定义安全且有价值的访问策略。 SELinux 将保护系统并防止未经授权的尝试访问资源。在这种方法中,所谓的最小权限原则意味着程序的用户需要被授予访问文件、目录、套接字和其他服务的权限。
当应用程序或进程(称为“主体”)请求将文件作为对象进行访问时,SELinux 使用访问向量缓存 (AVC) 来评估访问。该缓存存储主体和客体的所有权限缓存,这意味着进程及其尝试访问的内容。如果没有存储任何权限缓存,SELinux 将无法做出任何决定。在这种情况下,SELinux 只需联系安全服务器并请求信息来评估访问请求。安全服务器应用 SELinux 策略来评估访问,然后根据该策略授予或拒绝请求。您可以随时查看消息日志(位于“/var/log.messages”)以查看哪些请求已被接受或拒绝。
SELinux 模式有哪些?
SELinux 允许管理员将其功能设置为以下三种模式之一。每种模式都有不同的安全限制及其用途:
执行方式: 这是默认模式,它会阻止并记录不符合策略标准的操作。
宽容模式: 此模式使您能够详细处理日志和事件。此模式特别有助于测试 SELinux 功能。在这里,在强制和许可之间更改操作模式不需要重新启动系统。
禁用模式: 这允许您执行所有操作并且不记录该操作。切换到此模式需要重新启动系统。
如何在 CentOS 7 中启用 SElinux
-
检查 SELinux 状态:
第 1 步:检查 SELinux 开/关状态
在尝试启用 SELinux 之前,您应该检查它是否已被禁用。
输入以下命令检查终端中的设置:
sestatus
输出显示 SELinux 现已在您的系统上禁用。
第 2 步:检查启用 SELinux 的要求
- 具有 sudo 权限的用户帐户
- 访问终端/控制台
- 基于 RHEL 的系统,例如 CentOS 7
- 文本编辑器工具 nano
Linux 托管简化
想要更好的方式来托管您的网站和网络应用程序吗?开发新东西?就是不喜欢 Windows?这就是我们拥有 Linux VPS 的原因。
获取您的 Linux VPS-
启动 SELinux :
步骤3:使用nano编辑器打开Config文件
设置服务的 SELinux 状态。所以去 /etc/selinux/config 文件并使用 Nano 等文本编辑器。
sudo nano /etc/selinux/config
步骤 4:更改 SELinux 模式
现在,您可以将 SELinux 模式更改为 宽容的 or 执行.
在这里您可以将标记行更改为您需要的模式。
第 5 步:保存更改
然后按 CTRL + X 申请并保存。之后,按 ‘是’, 然后 进入 确认整个过程
第 6 步:重新启动服务器
现在您应该重新启动系统。为此,请输入以下命令并按 <Enter> 键:
sudo reboot
第 7 步:重新检查 SELinux 状态
如果要检查 SELinux 的状态,请输入“状态” 再次在命令行中。
现在,结果确认您已经在系统中启用了强制模式。
如何在 CentOS 7 上禁用 SELinux
按照以下命令将 SELinux 模式暂时从目标模式切换为宽容模式:
sudo setenforce
但请注意,此更改仅适用于当前运行时会话。
要在 CentOS 7 系统上永久禁用 SELinux,请按照以下步骤操作:
第 1 步:将 SELinux 模式设置为“禁用”
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
第 2 步:保存更改并重新启动
现在保存文件,然后使用以下命令重新启动 CentOS 系统:
sudo shutdown -r now
步骤 3:重新检查 SELinux 状态
当系统启动时,通过给出一个确认更改 状态 命令:
sestatus
如何更改 SELinux 模式
您不必完全禁用 SELinux,而是将其模式更改为宽松模式。已执行的操作会在日志文件中留下痕迹。
现在按照以下步骤切换 SELinux 模式 执行 to 宽容的 类型:
sudo setenforce 0
现在你应该转动 执行 模式打开,因此输入以下命令:
sudo setenforce 1
这些更改仅对当前会话有效。系统重新启动后,它们将恢复为默认值。要使这些更改永久生效,您应该使用文本编辑器编辑配置文件(例如 纳米, 例如)。
Linux 托管简化
想要更好的方式来托管您的网站和网络应用程序吗?开发新东西?就是不喜欢 Windows?这就是我们拥有 Linux VPS 的原因。
获取您的 Linux VPS除了 SELinux 之外保护您的 CentOS 7 服务器
现在您已经在 CentOS 7 上安装了 SELinux,您可以放心,您的系统比以前更安全。当然,没有办法确保任何系统完全安全。总是有更多的事情要做——例如,看看这个中的项目 保护 Linux VPS 的指南。事实上,即使有了 SELinux,我们也只使用了它提供的最基本的安全措施。更重要的是,如果您的服务器的托管提供商不够安全,您建立的任何保护措施都将毫无意义。这就是为什么在 Cloudzy,我们通过基于硬件和人工智能的防火墙、智能 DDoS 防护和其他专有措施来保持最高级别的安全性。享受我们的 CentOS VPS 解决方案 并运行真正安全的服务器。
