Obsah
SELinux to znamená bezpečnostní modul linuxového jádra Zabezpečení vylepšený Linux nebo Linux s vylepšeným zabezpečením.Tento modul zabezpečení Linuxu, který poskytuje různé zásady zabezpečení, včetně řízení přístupu, lze použít na unixové systémy, jako jsou Linux a BSD.
Přichází aktivovaný v CentOS a ve většině moderních distribucí je obecně povolen na serverech.
Uvidíme to nikoli jako desktopovou aplikaci, ale jako bezpečnostní systém na serveru Selinux neustále kontroluje, zda je soubor, ke kterému se pokoušíte získat přístup, platný a má oprávnění k použití aplikací, která chce běží to.
Kromě ovládání souborů také ovládá porty. Kontrolním případem je, že pokud se pokusíme spustit server FTP, musíme mu nejprve dát odpovídající oprávnění, aby server mohl naslouchat na portu, jinak to nebude fungovat, normálně se tato konfigurace provádí během instalace.
Předpokládáme, že je již nainstalován a chystáme se jej konfigurovat
SELinux má vlastní databázi uživatelů, která je spojena s normální databází uživatelů Linuxu. Identity se používají jak v předmětech, tak v předmětech. Je definováno pouze několik uživatelů SELinux: (lze je uvést pomocí příkazu 'semanage user -l'):
Adresář / etc / selinux je hlavní umístění pro všechny soubory zásad i hlavní konfigurační soubor.
Nástroje a programy SELinux
Podívejme se, jaké jsou některé z obslužných programů, které selinux používá nejčastěji
/ usr / bin / setenforce: upravuje způsob, jakým selinux běží v reálném čase. při provádění příkazu setenforce 1 je selinux uveden do daňového režimu, to znamená, že budou aktivní bezpečnostní pravidla. pokud spustíme setenforce 0, selinux se přepne do tolerantního režimu.
Chcete -li zakázat selinux, musíte konfigurovat parametr v / etc / sysconfig / selinux nebo předat parametr
selinux = 0 do jádra, nebo chceme -li to z bootování operačního systému, přidáme příkaz do souboru /etc/grub.conf.
/ usr / bin / sestatus -v- Získejte podrobný stav systému se systémem selinux. Níže uvedený příklad ukazuje výňatek z výstupu sestatus
# sestatus Stav SELinuxu: povoleno připojení SELinuxfs: / selinux Aktuální režim: vynucení Režim z konfiguračního souboru: vynucení Verze zásady: 21 Zásady z konfiguračního souboru: cílené
Selinux má grafické rozhraní, ale protože jej lze spravovat vzdáleně pomocí ssh, vysvětlíme příkazy.
Důležitým příkazem je getsebool a umožňuje vám vypsat zásady definované v SELinuxu a určit, která pravidla jsou aktivní nebo neaktivní. Z terminálu napíšeme následující příkaz
getsebool -a | grep text
Text může být například služba nebo program, který chceme
getsebool -a | grep ftp
Například z tohoto příkazu můžeme získat stav ftp
allow_ftpd_anon_write -> on // Povolit přístup anonymním uživatelům pomocí ftp na serveru allow_ftpd_full_access -> on // Povolit čtení a zápis souborů ftp_home_dir -> on // Povolit uživateli přístup do domovských adresářů
Musíme znát každou službu na našem serveru, abychom mohli ověřit, jaká jsou jednotlivá pravidla, která Selinux ovládá, a jak je nakonfigurována.