SELinux pe CentOS pentru servere

Cuprins
SELinux este un modul de securitate kernel linux, înseamnă Linux îmbunătățit de securitate sau Linux cu securitate îmbunătățită.
Acest modul de securitate Linux care oferă diverse politici de securitate, inclusiv controale de acces, poate fi aplicat sistemelor de tip Unix, cum ar fi Linux și BSD.
Vine activat în CentOS iar în majoritatea distribuțiilor moderne, este în general activat pe servere.
Nu o vom vedea ca pe o aplicație desktop, ci ca pe un sistem de securitate de pe server, ceea ce face Selinux este să verifice în permanență dacă fișierul pe care încercați să îl accesați este valid și are permisiunea de a fi utilizat de aplicația care dorește. a fugit.
În afară de controlul fișierelor, controlează și porturile. Un caz de control este dacă încercăm să pornim un server FTP, trebuie mai întâi să îi acordăm permisiunile corespunzătoare, astfel încât serverul să poată asculta pe port, altfel nu va funcționa, în mod normal această configurație se face în timpul instalării.
Presupunem că este deja instalat și îl vom configura
SELinux are propria bază de date a utilizatorilor care este asociată cu baza de date normală a utilizatorilor Linux. Identitățile sunt folosite atât la subiecte, cât și la obiecte. Sunt definiți doar câțiva utilizatori SELinux: (pot fi listați prin comanda „semanage user -l”):
Director / etc / selinux este locația principală pentru toate fișierele de politici, precum și fișierul de configurare principal.
Utilități și programe SELinux
Să vedem care sunt unele dintre programele utilitare utilizate cel mai des de selinux
/ usr / bin / setenforce: modifică modul în care selinux rulează în timp real. la executarea comenzii setenforce 1, selinux este plasat în modul fiscal, adică regulile de securitate vor fi active. dacă rulăm setenforce 0, selinux este pus în modul permisiv.
pentru a dezactiva selinux, trebuie să configurați parametrul în / etc / sysconfig / selinux sau să treceți parametrul
selinux = 0 la nucleu, sau dacă îl dorim din boot-ul sistemului de operare adăugăm comanda în fișierul /etc/grub.conf.
/ usr / bin / sestatus -v- Obțineți starea detaliată a unui sistem care rulează selinux. Exemplul de mai jos prezintă un extras din ieșirea sestatus
 # sestatus Stare SELinux: activat SELinuxfs mount: / selinux Mod curent: aplicarea Modului din fișierul de configurare: aplicarea Versiunii politicii: 21 Politica din fișierul de configurare: vizat 

Selinux are o interfață grafică, dar din moment ce poate fi gestionat de la distanță cu ssh explicăm comenzile.

O comandă importantă este getsebool și vă permite să enumerați politicile definite în SELinux și să determinați ce reguli sunt active sau inactive. De la terminal scriem următoarea comandă
getsebool -a | grep text
Textul poate fi un serviciu sau un program pe care îl dorim de exemplu
getsebool -a | grep ftp

De exemplu, din această comandă putem obține o stare de ftp
 allow_ftpd_anon_write -> pe // Permite accesul utilizatorilor anonimi prin ftp pe server allow_ftpd_full_access -> pe // Permite citirea și scrierea fișierelor ftp_home_dir -> pe // Permite utilizatorului să acceseze directoriile de acasă 

Trebuie să cunoaștem fiecare serviciu de pe serverul nostru pentru a putea verifica care este fiecare regulă pe care Selinux o controlează și cum este configurată.
wave wave wave wave wave