Maison > Opération et maintenance > exploitation et maintenance Linux > Comment utiliser SELinux pour sécuriser les systèmes CentOS

Comment utiliser SELinux pour sécuriser les systèmes CentOS

WBOY
Libérer: 2023-07-05 09:25:06
original
1023 Les gens l'ont consulté

Comment utiliser SELinux pour protéger la sécurité du système CentOS

Introduction :
Dans l'environnement Internet actuel, la protection de la sécurité du système d'exploitation est devenue de plus en plus importante. CentOS, en tant que distribution Linux populaire, fournit des outils et des fonctions puissants pour maintenir la sécurité du système. L'un des composants importants est SELinux, un système d'amélioration de la sécurité développé par la National Security Agency (NSA) des États-Unis, qui peut réduire efficacement le risque d'attaques malveillantes et d'accès non autorisé au système. Cet article expliquera comment utiliser SELinux pour protéger la sécurité des systèmes CentOS et sera accompagné de quelques exemples de code pratiques.

1. Qu'est-ce que SELinux :
SELinux est un mécanisme de sécurité basé sur le contrôle d'accès obligatoire (MAC), qui fournit une couche de sécurité supplémentaire pour les systèmes Linux. En définissant des objets (tels que des fichiers, des répertoires, des processus), des sujets (tels que des utilisateurs, des processus) et des opérations (telles que lire, écrire, exécuter), SELinux limite le comportement d'accès au système. En associant chaque ressource et opération à une politique de sécurité, SELinux peut contrôler efficacement ces accès et fournir une protection de sécurité plus granulaire.

2. Activez SELinux :
Sur les systèmes CentOS, SELinux est désactivé par défaut. Pour activer SELinux, vous pouvez suivre les étapes ci-dessous :

  1. Modifiez le fichier /etc/selinux/config :

    vi /etc/selinux/config
    Copier après la connexion
  2. Recherchez la ligne suivante et remplacez-la par "enforcing" :

    SELINUX=enforcing
    Copier après la connexion
  3. Enregistrez et fermez le fichier, redémarrez le système :

    reboot
    Copier après la connexion

3. Commandes SELinux de base :
Une fois SELinux activé, vous pouvez utiliser les commandes de base suivantes pour le gérer et le configurer :

  1. Obtenir le statut SELinux :

    sestatus
    Copier après la connexion
  2. Modifier l'état temporaire de SELinux :

    setenforce 0     # 设置为permissive模式
    setenforce 1     # 设置为enforcing模式
    Copier après la connexion
  3. Modifier le contexte SELinux d'un fichier ou d'un répertoire :

    chcon -R -t httpd_sys_content_t /var/www/html   # 将/var/www/html目录的上下文设置为httpd_sys_content_t,以便Apache能够访问
    Copier après la connexion

4. Configurer la politique SELinux :
En plus des commandes de base, vous pouvez également modifier la politique SELinux en fonction de votre application et environnement. Voici quelques exemples de configuration SELinux couramment utilisés :

  1. Module de stratégie SELinux personnalisé :

    cat > myapp.te <<-EOF
    module myapp 1.0;
    
    require {
        type httpd_t;
        type myapp_t;
        class file { open read };
    }
    
    allow httpd_t myapp_t:file { open read };
    
    EOF
    
    checkmodule -M -m -o myapp.mod myapp.te
    semodule_package -o myapp.pp -m myapp.mod
    semodule -i myapp.pp
    Copier après la connexion
  2. Afficher le contexte SELinux :

    ls -Z /path/to/file    # 显示指定文件的SELinux上下文
    Copier après la connexion
  3. Modifier le fichier Contexte SELinux par défaut :

    semanage fcontext -a -t httpd_sys_content_t '/var/www/myapp(/.*)?'    # 将/var/www/myapp目录及其子目录的上下文设置为httpd_sys_content_t
    restorecon -Rv /var/www/myapp    # 应用上下文更改
    Copier après la connexion
  4. Exception SELinux personnalisée politique :

    audit2allow -a    # 从审计日志生成异常策略
    Copier après la connexion

5. Conclusion :
SELinux est un outil puissant pour protéger la sécurité du système d'exploitation dans les systèmes CentOS. En restreignant l'accès aux ressources et aux opérations, SELinux peut réduire efficacement le risque d'attaques malveillantes et d'accès non autorisé au système. Cet article explique comment activer SELinux, les commandes SELinux de base et quelques exemples de configuration SELinux courants. J'espère que cet article pourra vous fournir des conseils sur la façon d'utiliser SELinux pour sécuriser votre système CentOS et vous aider à maîtriser les compétences pertinentes dans la pratique.

Ressources de référence :

  • Red Hat, Inc. "Guide de l'utilisateur et de l'administrateur SELinux." (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index)
  • Projet CentOS. « Wiki CentOS. » (https://wiki.centos.org/)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal