SELinux på CentOS for servere

Innholdsfortegnelse
SELinux det er en linux -kjernesikkerhetsmodul, betyr det Sikkerhetsforbedret Linux eller Linux med forbedret sikkerhet.
Denne Linux-sikkerhetsmodulen som gir forskjellige sikkerhetspolicyer, inkludert tilgangskontroller, kan brukes på Unix-lignende systemer som Linux og BSD.
Den kommer aktivert inn CentOS og i de fleste moderne distroer er den vanligvis aktivert på servere.
Vi kommer til å se det ikke som et skrivebordsprogram, men som et sikkerhetssystem på serveren, hva Selinux gjør er å sjekke hele tiden om filen du prøver å få tilgang til er gyldig og har tillatelse til å bli brukt av programmet som ønsker det går.
Bortsett fra å kontrollere filer, kontrollerer den også porter. Et kontrolltilfelle er hvis vi prøver å starte en FTP -server, må vi først gi den de tilsvarende tillatelsene slik at serveren kan lytte på porten, ellers fungerer det ikke, normalt blir denne konfigurasjonen utført under installasjonen.
Vi antar at den allerede er installert, og vi skal konfigurere den
SELinux har sin egen brukerdatabase som er knyttet til den vanlige Linux -brukerdatabasen. Identiteter brukes i både fag og objekter. Bare noen få SELinux -brukere er definert: (kan listes opp med kommandoen 'semanage user -l'):
Katalog / etc / selinux er hovedstedet for alle policyfiler samt hovedkonfigurasjonsfilen.
SELinux Utilities and Programs
La oss se hva som er noen av verktøyene som oftest brukes av selinux
/ usr / bin / setenforce: endrer måten selinux kjører på i sanntid. Når du utfører setenforce 1 -kommandoen, plasseres selinux i skattemodus, det vil si at sikkerhetsreglene vil være aktive. hvis vi kjører setenforce 0, blir selinux satt i permissiv modus.
For å deaktivere selinux, må du konfigurere parameteren i / etc / sysconfig / selinux eller sende parameteren
selinux = 0 til kjernen, eller hvis vi vil ha det fra operativsystemet, legger vi til kommandoen i filen /etc/grub.conf.
/ usr / bin / sestatus -v- Få den omfattende statusen til et system som kjører selinux. Eksempelet nedenfor viser et utdrag fra sestatus -utgangen
 # sestatus SELinux status: aktivert SELinuxfs mount: / selinux Gjeldende modus: håndhever modus fra konfigurasjonsfil: håndhever policyversjon: 21 Policy fra konfigurasjonsfil: målrettet 

Selinux har et grafisk grensesnitt, men siden det kan fjernstyres med ssh forklarer vi kommandoene.

En viktig kommando er getsebool, og den lar deg liste opp retningslinjene som er definert i SELinux og bestemme hvilke regler som er aktive eller inaktive. Fra terminalen skriver vi følgende kommando
getsebool -a | grep tekst
Teksten kan for eksempel være en tjeneste eller et program som vi ønsker
getsebool -a | grep ftp

For eksempel fra denne kommandoen kan vi få status som ftp
 allow_ftpd_anon_write -> on // Tillat tilgang til anonyme brukere av ftp på serveren allow_ftpd_full_access -> on // Tillat lesing og skriving av filer ftp_home_dir -> on // Tillat brukeren å få tilgang til hjemmekatalogene 

Vi må kjenne hver tjeneste på serveren vår for å kunne bekrefte hva hver regel som Selinux kontrollerer er og hvordan den er konfigurert.
wave wave wave wave wave