Sunucular için CentOS üzerinde SELinux

İçindekiler
SELinux bu bir linux çekirdek güvenlik modülüdür, yani Güvenlik Geliştirilmiş Linux veya Gelişmiş Güvenlikli Linux.
Erişim kontrolleri de dahil olmak üzere çeşitli güvenlik politikaları sağlayan bu Linux güvenlik modülü, Linux ve BSD gibi Unix benzeri sistemlere uygulanabilir.
içinde aktif hale gelir CentOS ve çoğu modern dağıtımda, genellikle sunucularda etkinleştirilir.
Bunu bir masaüstü uygulaması olarak değil, sunucu üzerinde bir güvenlik sistemi olarak göreceğiz, Selinux'un yaptığı şey, her zaman erişmeye çalıştığınız dosyanın geçerli olup olmadığını ve istediği uygulama tarafından kullanım iznine sahip olup olmadığını kontrol etmektir. koşuyor.
Dosyaları kontrol etmenin yanı sıra portları da kontrol eder. Bir kontrol durumu, bir FTP sunucusunu başlatmaya çalışırsak, önce sunucunun bağlantı noktasını dinleyebilmesi için ilgili izinleri vermeliyiz, aksi takdirde çalışmaz, normalde bu yapılandırma kurulum sırasında yapılır.
Zaten kurulu olduğunu varsayıyoruz ve onu yapılandıracağız.
SELinux, normal Linux kullanıcı veritabanıyla ilişkili kendi kullanıcı veritabanına sahiptir. Kimlikler hem öznelerde hem de nesnelerde kullanılır. Yalnızca birkaç SELinux kullanıcısı tanımlanmıştır: ('semanage user -l' komutuyla listelenebilir):
dizin / etc / selinux ana yapılandırma dosyasının yanı sıra tüm ilke dosyalarının ana konumudur.
SELinux Yardımcı Programları ve Programları
Bakalım selinux tarafından en sık kullanılan yardımcı programlardan bazıları nelerdir?
/ usr / bin / setenforce: selinux'un gerçek zamanlı çalışma şeklini değiştirir. setenforce 1 komutu yürütülürken selinux vergi moduna alınır yani güvenlik kuralları aktif olur. setenforce 0 çalıştırırsak, selinux izinli moda alınır.
selinux'u devre dışı bırakmak için / etc / sysconfig / selinux içindeki parametreyi yapılandırmanız veya parametreyi iletmeniz gerekir
çekirdeğe selinux = 0 veya işletim sistemi önyüklemesinden istiyorsak komutu /etc/grub.conf dosyasına ekliyoruz.
/ usr / bin / sesstatus -v- selinux çalıştıran bir sistemin ayrıntılı durumunu alın. Aşağıdaki örnek, sesstatus çıktısından bir alıntıyı göstermektedir
 # sesstatus SELinux durumu: etkin SELinuxfs bağlama: / selinux Geçerli mod: zorlama Yapılandırma dosyasından Mod: zorlama İlke sürümü: 21 Yapılandırma dosyasından ilke: hedef 

Selinux'un grafiksel bir arayüzü var ama ssh ile uzaktan yönetilebildiği için komutları açıklıyoruz.

Önemli bir komut getsebool'dur ve SELinux'ta tanımlanan politikaları listelemenizi ve hangi kuralların aktif veya pasif olduğunu belirlemenizi sağlar. Terminalden aşağıdaki komutu yazıyoruz
getsebool -a | grep metni
Metin, örneğin istediğimiz bir hizmet veya program olabilir.
getsebool -a | grep ftp

Örneğin bu komuttan bir ftp durumu elde edebiliriz.
 allow_ftpd_anon_write -> açık // Sunucuda ftp ile anonim kullanıcılara erişime izin ver allow_ftpd_full_access -> açık // Dosyaların okunmasına ve yazılmasına izin ver ftp_home_dir -> açık // Kullanıcının ev dizinlerine erişmesine izin ver 

Selinux'un kontrol ettiği her kuralın ne olduğunu ve nasıl yapılandırıldığını doğrulayabilmemiz için sunucumuzdaki her hizmeti bilmeliyiz.
wave wave wave wave wave