Sadržaj
SELinux to je sigurnosni modul jezgre linux -a, znači Sigurnost poboljšani Linux ili Linux s poboljšanom sigurnošću.Ovaj sigurnosni modul Linuxa koji pruža različite sigurnosne politike, uključujući kontrole pristupa, može se primijeniti na sustave slične Unixu, kao što su Linux i BSD.
Dolazi aktivirano CentOS a u većini modernih distribucija općenito je omogućen na poslužiteljima.
Vidjet ćemo ga ne kao aplikaciju za stolna računala, već kao sigurnosni sustav na poslužitelju, ono što radi Selinux je da u svakom trenutku provjerava je li datoteka kojoj pokušavate pristupiti valjana i ima li dopuštenje da je koristi aplikacija koja želi to radi.
Osim što kontrolira datoteke, kontrolira i portove. Kontrolni slučaj je ako pokušamo pokrenuti FTP poslužitelj, prvo mu moramo dati odgovarajuća dopuštenja kako bi poslužitelj mogao slušati na portu, inače neće raditi, obično se ova konfiguracija vrši tijekom instalacije.
Pretpostavljamo da je već instaliran i idemo ga konfigurirati
SELinux ima svoju korisničku bazu podataka koja je povezana s normalnom korisničkom bazom Linuxa. Identiteti se koriste i u subjektima i u objektima. Definirano je samo nekoliko SELinux korisnika: (može se navesti naredbom 'semanage user -l'):
Imenik / etc / selinux je glavno mjesto za sve datoteke pravila, kao i glavna konfiguracijska datoteka.
SELinux pomoćni programi i programi
Pogledajmo koje pomoćne programe najčešće koristi selinux
/ usr / bin / setenforce: mijenja način rada selinux -a u stvarnom vremenu. pri izvršavanju naredbe setenforce 1 selinux se stavlja u porezni način rada, odnosno bit će aktivna sigurnosna pravila. ako pokrenemo setenforce 0, selinux se stavlja u dopušteni način rada.
da biste onemogućili selinux, morate konfigurirati parametar u / etc / sysconfig / selinux ili proslijediti parametar
selinux = 0 jezgri, ili ako to želimo od pokretanja operacijskog sustava, dodajemo naredbu u datoteku /etc/grub.conf.
/ usr / bin / sestatus -v- Dobijte opširni status sustava koji pokreće selinux. Primjer u nastavku prikazuje izvadak iz zapisa stanja
# sestatus SELinux status: omogućen SELinuxfs mount: / selinux Trenutni način: provođenje Mode iz konfiguracijske datoteke: provođenje Verzija politike: 21 Pravilo iz konfiguracijske datoteke: ciljano
Selinux ima grafičko sučelje, ali budući da se njime može upravljati daljinski pomoću ssh -a, objašnjavamo naredbe.
getsebool -a | grep tekst
Tekst može biti usluga ili program koji želimo na primjer
getsebool -a | grep ftp
Na primjer, iz ove naredbe možemo dobiti status ftp
allow_ftpd_anon_write -> on // Dopusti pristup anonimnim korisnicima putem ftp -a na poslužitelju allow_ftpd_full_access -> on // Dopusti čitanje i pisanje datoteka ftp_home_dir -> on // Dopusti korisniku pristup njihovim kućnim direktorijima
Moramo poznavati svaku uslugu na našem poslužitelju kako bismo mogli provjeriti koje je pravilo koje Selinux kontrolira i kako je konfigurirano.
