Turinys
SELinux tai yra „Linux“ branduolio saugos modulis, tai reiškia Patobulintas saugumas „Linux“ arba „Linux“ su patobulinta apsauga.Šis „Linux“ saugos modulis, kuriame pateikiama įvairi saugumo politika, įskaitant prieigos valdymą, gali būti pritaikytas „Unix“ tipo sistemoms, tokioms kaip „Linux“ ir BSD.
Jis įjungiamas „CentOS“ ir daugelyje šiuolaikinių distribucijų jis paprastai įjungiamas serveriuose.
Mes tai matysime ne kaip darbalaukio programą, bet kaip serverio apsaugos sistemą, tai, ką „Selinux“ daro, yra visada tikrinti, ar failas, kurį bandote pasiekti, yra galiojantis ir ar leidžiama jį naudoti norimai programai tai bėga.
Be failų valdymo, jis taip pat valdo prievadus. Kontrolinis atvejis yra, jei bandome paleisti FTP serverį, pirmiausia turime suteikti jam atitinkamus leidimus, kad serveris galėtų klausytis prievado, kitaip jis neveiks, paprastai ši konfigūracija atliekama diegimo metu.
Manome, kad jis jau įdiegtas ir ketiname jį sukonfigūruoti
„SELinux“ turi savo vartotojų duomenų bazę, susietą su įprasta „Linux“ vartotojų duomenų baze. Tapatybės naudojamos tiek dalykuose, tiek objektuose. Apibrėžti tik keli SELinux vartotojai: (gali būti išvardyti pagal komandą „semanage user -l“):
Katalogas / etc / selinux yra pagrindinė visų politikos failų vieta ir pagrindinis konfigūracijos failas.
„SELinux“ programos ir programos
Pažiūrėkime, kokias naudingumo programas dažniausiai naudoja „selinux“
/ usr / bin / setenforce: pakeičia „selinux“ veikimo būdą realiuoju laiku. vykdant „setenforce 1“ komandą, „selinux“ įjungiamas mokesčių režimu, tai yra, saugos taisyklės bus aktyvios. jei paleisime „setenforce 0“, „selinux“ bus įjungtas į leistiną režimą.
Norėdami išjungti selinux, turite sukonfigūruoti parametrą / etc / sysconfig / selinux arba perduoti parametrą
selinux = 0 į branduolį, arba jei norime, kad jis būtų paleistas iš operacinės sistemos, pridedame komandą prie failo /etc/grub.conf.
/ usr / bin / sestatus -v- Gaukite aiškią sistemos, kurioje veikia „selinux“, būseną. Žemiau pateiktas pavyzdys rodo ištrauką iš sestatus išvesties
# sestatus SELinux būsena: įjungta SELinuxfs mount: / selinux Dabartinis režimas: vykdymo režimas iš konfigūracijos failo: vykdymas Politikos versija: 21 Politika iš konfigūracijos failo: nukreipta
„Selinux“ turi grafinę sąsają, tačiau kadangi ją galima valdyti nuotoliniu būdu naudojant ssh, mes paaiškiname komandas.
getsebool -a | grep tekstas
Tekstas gali būti paslauga ar programa, kurios, pavyzdžiui, norime
getsebool -a | grep ftp
Pavyzdžiui, iš šios komandos galime gauti ftp būseną
allow_ftpd_anon_write -> on // Leisti prieigą prie anoniminių vartotojų ftp serveryje allow_ftpd_full_access -> on // Leisti skaityti ir rašyti failus ftp_home_dir -> on // Leisti vartotojui pasiekti savo namų katalogus
Turime žinoti kiekvieną savo serverio paslaugą, kad galėtume patikrinti, kas yra kiekviena „Selinux“ valdoma taisyklė ir kaip ji sukonfigūruota.
