Innehållsförteckning
SELinux det är en Linux -kärnsäkerhetsmodul, betyder det Säkerhetsförbättrad Linux eller Linux med förbättrad säkerhet.Denna Linux-säkerhetsmodul som tillhandahåller olika säkerhetspolicyer, inklusive åtkomstkontroller, kan tillämpas på Unix-liknande system som Linux och BSD.
Den kommer aktiverad i CentOS och i de flesta moderna distros är det i allmänhet aktiverat på servrar.
Vi kommer inte att se det som en stationär applikation utan som ett säkerhetssystem på servern, vad Selinux gör är att alltid kontrollera om filen du försöker komma åt är giltig och har behörighet att användas av det program som vill det kör.
Förutom att styra filer styr den också portar. Ett kontrollfall är om vi försöker starta en FTP -server, måste vi först ge den motsvarande behörigheter så att servern kan lyssna på porten, annars fungerar det inte, normalt görs denna konfiguration under installationen.
Vi antar att den redan är installerad och vi kommer att konfigurera den
SELinux har en egen användardatabas som är associerad med den vanliga Linux -användardatabasen. Identiteter används i både ämnen och objekt. Endast ett fåtal SELinux -användare definieras: (kan listas med kommandot 'semanage user -l'):
Katalog / etc / selinux är huvudplatsen för alla policyfiler samt huvudkonfigurationsfilen.
SELinux -verktyg och -program
Låt oss se vad som är några av de verktygsprogram som oftast används av selinux
/ usr / bin / setenforce: ändrar hur selinux körs i realtid. vid körning av setenforce 1 -kommandot placeras selinux i skatteläge, det vill säga säkerhetsreglerna kommer att vara aktiva. om vi kör setenforce 0 sätts selinux i tillåtande läge.
för att inaktivera selinux måste du konfigurera parametern i / etc / sysconfig / selinux eller skicka parametern
selinux = 0 till kärnan, eller om vi vill ha det från operativsystemets uppstart lägger vi till kommandot i filen /etc/grub.conf.
/ usr / bin / sestatus -v- Få den generösa statusen för ett system som kör selinux. Exempel nedan visar ett utdrag från sestatusutmatningen
# sestatus SELinux status: aktiverad SELinuxfs mount: / selinux Nuvarande läge: genomdrivningsläge från konfigurationsfil: verkställande Policyversion: 21 Policy från konfigurationsfil: riktad
Selinux har ett grafiskt gränssnitt men eftersom det kan hanteras på distans med ssh förklarar vi kommandona.
Ett viktigt kommando är getsebool och det låter dig lista de principer som definieras i SELinux och avgöra vilka regler som är aktiva eller inaktiva. Från terminalen skriver vi följande kommando
getsebool -a | grep text
Texten kan vara en tjänst eller ett program som vi vill ha till exempel
getsebool -a | grep ftp
Till exempel från detta kommando kan vi få en status på ftp
allow_ftpd_anon_write -> on // Tillåt åtkomst till anonyma användare av ftp på servern allow_ftpd_full_access -> on // Tillåt läsning och skrivning av filer ftp_home_dir -> on // Tillåt användaren att komma åt sina hemkataloger
Vi måste känna till varje tjänst på vår server för att kunna verifiera vad varje regel som Selinux kontrollerar är och hur den är konfigurerad.