Satura rādītājs
SELinux tas ir Linux kodola drošības modulis, tas nozīmē Uzlabota drošība Linux vai Linux ar uzlabotu drošību.Šis Linux drošības modulis, kas nodrošina dažādas drošības politikas, tostarp piekļuves kontroli, var tikt piemērots Unix līdzīgām sistēmām, piemēram, Linux un BSD.
Tas tiek aktivizēts CentOS un lielākajā daļā mūsdienu izplatījumu tas parasti ir iespējots serveros.
Mēs to neredzēsim kā darbvirsmas lietojumprogrammu, bet kā servera drošības sistēmu, tas, ko Selinux dara, ir visu laiku pārbaudīt, vai fails, kuram mēģināt piekļūt, ir derīgs un vai tam ir atļauja izmantot lietojumprogrammu, kas vēlas tas skrien.
Papildus failu kontrolei tas kontrolē arī portus. Kontroles gadījums ir, ja mēs mēģinām palaist FTP serveri, vispirms mums jāpiešķir tam atbilstošās atļaujas, lai serveris varētu klausīties portā, pretējā gadījumā tas nedarbosies, parasti šī konfigurācija tiek veikta instalēšanas laikā.
Mēs pieņemam, ka tas jau ir instalēts, un mēs to konfigurēsim
SELinux ir sava lietotāju datu bāze, kas ir saistīta ar parasto Linux lietotāju datu bāzi. Identitātes tiek izmantotas gan priekšmetos, gan objektos. Ir definēti tikai daži SELinux lietotāji: (var uzskaitīt ar komandu 'semanage user -l'):
Katalogs / etc / selinux ir visu politikas failu galvenā atrašanās vieta, kā arī galvenais konfigurācijas fails.
SELinux utilītas un programmas
Apskatīsim, kādas ir utilītas, kuras selinux izmanto visbiežāk
/ usr / bin / setenforce: maina selinux darbības veidu reālā laikā. izpildot komandu setenforce 1, selinux tiek ievietots nodokļu režīmā, tas ir, drošības noteikumi būs aktīvi. ja mēs palaižam setenforce 0, selinux tiek ievietots visatļautības režīmā.
lai atspējotu selinux, jums ir jākonfigurē parametrs mapē / etc / sysconfig / selinux vai jānodod parametrs
selinux = 0 kodolam vai, ja mēs to vēlamies no operētājsistēmas sāknēšanas, mēs pievienojam komandu /etc/grub.conf failam.
/ usr / bin / sestatus -v- Iegūstiet detalizētu sistēmas, kurā darbojas selinux, statusu. Zemāk redzamais piemērs parāda izvilkumu no sestatus izvades
# sestatus SELinux statuss: iespējots SELinuxfs mount: / selinux Pašreizējais režīms: izpildes režīms no konfigurācijas faila: izpildes politikas versija: 21 Politika no konfigurācijas faila: mērķēta
Selinux ir grafisks interfeiss, bet, tā kā to var pārvaldīt attālināti, izmantojot ssh, mēs izskaidrojam komandas.
getsebool -a | grep teksts
Teksts var būt pakalpojums vai programma, kuru mēs, piemēram, vēlamies
getsebool -a | grep ftp
Piemēram, no šīs komandas mēs varam iegūt ftp statusu
allow_ftpd_anon_write -> ieslēgts // Ļaut serverim ftp piekļuvi anonīmiem lietotājiem allow_ftpd_full_access -> ieslēgts // Atļaut failu lasīšanu un rakstīšanu ftp_home_dir -> ieslēgts // Ļaut lietotājam piekļūt mājas direktorijiem
Mums ir jāzina katrs mūsu servera pakalpojums, lai mēs varētu pārbaudīt, kādi ir Selinux kontrolētie noteikumi un kā tie ir konfigurēti.
