SELinux auf CentOS für Server

Inhaltsverzeichnis
SELinux es ist ein Linux-Kernel-Sicherheitsmodul, das bedeutet Sicherheitsoptimiertes Linux oder Linux mit erhöhter Sicherheit.
Dieses Linux-Sicherheitsmodul, das verschiedene Sicherheitsrichtlinien bereitstellt, einschließlich Zugriffskontrollen, kann auf Unix-ähnliche Systeme wie Linux und BSD angewendet werden.
Es kommt aktiviert in CentOS und in den meisten modernen Distributionen ist es im Allgemeinen auf Servern aktiviert.
Wir werden es nicht als Desktop-Anwendung sehen, sondern als Sicherheitssystem auf dem Server überprüft Selinux jederzeit, ob die Datei, auf die Sie zugreifen möchten, gültig ist und von der gewünschten Anwendung verwendet werden darf es läuft.
Neben der Steuerung von Dateien steuert es auch Ports. Ein Kontrollfall ist, wenn wir versuchen, einen FTP-Server zu starten, müssen wir ihm zuerst die entsprechenden Berechtigungen erteilen, damit der Server auf dem Port lauschen kann, sonst funktioniert es nicht, normalerweise wird diese Konfiguration während der Installation vorgenommen.
Wir gehen davon aus, dass es bereits installiert ist und werden es konfigurieren
SELinux verfügt über eine eigene Benutzerdatenbank, die der normalen Linux-Benutzerdatenbank zugeordnet ist. Identitäten werden sowohl in Subjekten als auch in Objekten verwendet. Es sind nur wenige SELinux-Benutzer definiert: (kann mit dem Befehl 'semanage user -l' aufgelistet werden):
Verzeichnis /etc/selinux ist der Hauptspeicherort für alle Richtliniendateien sowie die Hauptkonfigurationsdatei.
SELinux-Dienstprogramme und -Programme
Sehen wir uns an, welche Dienstprogramme von Selinux am häufigsten verwendet werden
/usr/bin/setenforce: ändert die Art und Weise, wie Selinux in Echtzeit ausgeführt wird. Beim Ausführen des Befehls setenforce 1 wird Selinux in den Steuermodus versetzt, dh die Sicherheitsregeln sind aktiv. wenn wir setenforce 0 ausführen, wird selinux in den permissiven Modus versetzt.
Um Selinux zu deaktivieren, müssen Sie den Parameter in /etc/sysconfig/selinux konfigurieren oder den Parameter übergeben
selinux = 0 an den Kernel, oder wenn wir es vom Betriebssystem-Boot wollen, fügen wir den Befehl der Datei /etc/grub.conf hinzu.
/usr/bin/sestatus -v- Rufen Sie den ausführlichen Status eines Systems ab, auf dem Selinux ausgeführt wird. Das folgende Beispiel zeigt einen Auszug aus der sestatus-Ausgabe
 # sestatus SELinux-Status: aktiviert SELinuxfs-Mount: / selinux Aktueller Modus: Erzwingen Modus aus Konfigurationsdatei: Erzwingen Richtlinienversion: 21 Richtlinie aus Konfigurationsdatei: gezielt 

Selinux hat eine grafische Oberfläche, aber da es mit ssh aus der Ferne verwaltet werden kann, erklären wir die Befehle.

Ein wichtiger Befehl ist getsebool, mit dem Sie die in SELinux definierten Richtlinien auflisten und bestimmen können, welche Regeln aktiv oder inaktiv sind. Aus dem Terminal schreiben wir den folgenden Befehl
getsebool -a | grep text
Der Text kann ein Dienst oder ein Programm sein, das wir zum Beispiel wollen
getsebool -a | grep ftp

Mit diesem Befehl können wir zum Beispiel den Status ftp . erhalten
 allow_ftpd_anon_write -> on // Zugriff anonymen Benutzern per FTP auf dem Server erlauben allow_ftpd_full_access -> on // Lesen und Schreiben von Dateien zulassen ftp_home_dir -> on // Benutzern den Zugriff auf ihre Home-Verzeichnisse erlauben 

Wir müssen jeden Dienst auf unserem Server kennen, um überprüfen zu können, was jede von Selinux kontrollierte Regel ist und wie sie konfiguriert ist.
wave wave wave wave wave