Съдържание
SELinux това е модул за защита на ядрото на Linux, това означава Подобрена защита на Linux или Linux с подобрена защита.Този модул за защита на Linux, който предоставя различни политики за сигурност, включително контрол на достъпа, може да бъде приложен към Unix-подобни системи като Linux и BSD.
Той се активира CentOS и в повечето съвременни дистрибуции обикновено се активира на сървъри.
Ще го разглеждаме не като настолно приложение, а като система за сигурност на сървъра, това, което Selinux прави, е да проверява по всяко време дали файлът, до който се опитвате да получите достъп, е валиден и има ли разрешение да се използва от приложението, което иска тя работи.
Освен че контролира файлове, той контролира и портове. Контролен случай е, ако се опитаме да стартираме FTP сървър, първо трябва да му дадем съответните разрешения, така че сървърът да може да слуша на порта, в противен случай няма да работи, обикновено тази конфигурация се извършва по време на инсталацията.
Предполагаме, че вече е инсталиран и ще го конфигурираме
SELinux има своя собствена потребителска база данни, която е свързана с нормалната потребителска база данни на Linux. Идентичността се използва както в субекти, така и в обекти. Дефинирани са само няколко потребители на SELinux: (могат да бъдат изброени чрез командата 'semanage user -l'):
Директория / etc / selinux е основното местоположение за всички файлове с правила, както и основният конфигурационен файл.
SELinux помощни програми и програми
Нека да видим кои са някои от помощните програми, използвани най -често от selinux
/ usr / bin / setenforce: променя начина, по който selinux работи в реално време. при изпълнение на командата setenforce 1 selinux се поставя в данъчен режим, тоест правилата за сигурност ще бъдат активни. ако стартираме setenforce 0, selinux се поставя в разрешителен режим.
за да деактивирате selinux, трябва да конфигурирате параметъра в / etc / sysconfig / selinux или да предадете параметъра
selinux = 0 към ядрото, или ако го искаме от зареждането на операционната система, добавяме командата към файла /etc/grub.conf.
/ usr / bin / sestatus -v- Вземете подробен статус на система, работеща с selinux. Примерът по -долу показва откъс от изхода на сестата
# sestatus SELinux състояние: активирано монтиране на SELinuxfs: / selinux Текущ режим: налагане на режим от конфигурационен файл: налагане на версия на политика: 21 политика от конфигурационен файл: насочен
Selinux има графичен интерфейс, но тъй като може да се управлява дистанционно с ssh, ние обясняваме командите.
Важна команда е getsebool и тя ви позволява да изброите правилата, дефинирани в SELinux, и да определите кои правила са активни или неактивни. От терминала пишем следната команда
getsebool -a | grep текст
Текстът може да бъде услуга или програма, които искаме например
getsebool -a | grep ftp
Например от тази команда можем да получим статус на ftp
allow_ftpd_anon_write -> on // Разрешаване на достъп до анонимни потребители чрез ftp на сървъра allow_ftpd_full_access -> on // Разрешаване на четене и писане на файлове ftp_home_dir -> on // Разрешаване на потребителя за достъп до домашните им директории
Трябва да знаем всяка услуга на нашия сървър, за да можем да проверим какво е всяко правило, което контролира Selinux и как е конфигурирано.