Inhoudsopgave
SELinux het is een linux-kernelbeveiligingsmodule, het betekent: Beveiliging Verbeterde Linux of Linux met verbeterde beveiliging.Deze Linux-beveiligingsmodule die verschillende beveiligingsbeleidsregels biedt, inclusief toegangscontrole, kan worden toegepast op Unix-achtige systemen zoals Linux en BSD.
Het wordt geactiveerd in CentOS en in de meeste moderne distributies is het over het algemeen ingeschakeld op servers.
We gaan het niet zien als een desktoptoepassing, maar als een beveiligingssysteem op de server, wat Selinux doet, is te allen tijde controleren of het bestand dat u probeert te openen geldig is en toestemming heeft om te worden gebruikt door de toepassing die het loopt.
Naast het beheren van bestanden, controleert het ook poorten. Een controlegeval is dat als we een FTP-server proberen te starten, we deze eerst de bijbehorende machtigingen moeten geven zodat de server op de poort kan luisteren, anders werkt het niet, normaal gesproken wordt deze configuratie tijdens de installatie gedaan.
We gaan ervan uit dat het al is geïnstalleerd en we gaan het configureren
SELinux heeft zijn eigen gebruikersdatabase die is gekoppeld aan de normale Linux-gebruikersdatabase. Identiteiten worden gebruikt in zowel onderwerpen als objecten. Er zijn slechts een paar SELinux-gebruikers gedefinieerd: (kan worden weergegeven met het commando 'semanage user -l'):
Directory / etc / selinux is de hoofdlocatie voor alle beleidsbestanden en het hoofdconfiguratiebestand.
SELinux hulpprogramma's en programma's
Laten we eens kijken welke hulpprogramma's het meest worden gebruikt door selinux
/ usr / bin / setenforce: wijzigt de manier waarop selinux in realtime draait. bij het uitvoeren van het setenforce 1-commando wordt selinux in de belastingmodus geplaatst, dat wil zeggen dat de beveiligingsregels actief zijn. als we setenforce 0 uitvoeren, wordt selinux in de permissieve modus gezet.
om selinux uit te schakelen, moet je de parameter configureren in / etc / sysconfig / selinux of de parameter doorgeven
selinux = 0 naar de kernel, of als we het willen vanaf het opstarten van het besturingssysteem, voegen we het commando toe aan het /etc/grub.conf bestand.
/ usr / bin / sestatus -v- Verkrijg de uitgebreide status van een systeem waarop selinux draait. Voorbeeld hieronder toont een fragment uit de sestatus-uitvoer
# sestatus SELinux status: ingeschakeld SELinuxfs mount: / selinux Huidige modus: afdwingen Mode van configuratiebestand: afdwingen Beleidsversie: 21 Beleid van configuratiebestand: gericht
Selinux heeft een grafische interface, maar aangezien het op afstand kan worden beheerd met ssh, leggen we de commando's uit.
Een belangrijk commando is getebool en het stelt je in staat om de beleidsregels op te sommen die in SELinux zijn gedefinieerd en om te bepalen welke regels actief of inactief zijn. Vanaf de terminal schrijven we het volgende commando:
krijgtebool -a | grep tekst
De tekst kan een dienst of programma zijn dat we bijvoorbeeld willen
krijgtebool -a | grep ftp
Met dit commando kunnen we bijvoorbeeld de status ftp . verkrijgen
allow_ftpd_anon_write -> aan // Toegang toestaan aan anonieme gebruikers via ftp op de server allow_ftpd_full_access -> aan // Lezen en schrijven van bestanden toestaan ftp_home_dir -> aan // Gebruikers toegang geven tot hun homedirectory's
We moeten elke service op onze server kennen om te kunnen verifiëren wat elke regel is die Selinux controleert en hoe deze is geconfigureerd.