Cara menggunakan SELinux untuk menjamin sistem CentOS

WBOY
Lepaskan: 2023-07-05 09:25:06
asal
993 orang telah melayarinya

Cara menggunakan SELinux untuk melindungi keselamatan sistem CentOS

Pengenalan:
Dalam persekitaran Internet semasa, melindungi keselamatan sistem pengendalian telah menjadi semakin penting. CentOS, sebagai pengedaran Linux yang popular, menyediakan alat dan fungsi yang berkuasa untuk mengekalkan keselamatan sistem. Salah satu komponen penting ialah SELinux, iaitu sistem peningkatan keselamatan yang dibangunkan oleh Agensi Keselamatan Negara (NSA) AS, yang boleh mengurangkan risiko serangan berniat jahat dan akses tanpa kebenaran kepada sistem secara berkesan. Artikel ini akan memperkenalkan cara menggunakan SELinux untuk melindungi keselamatan sistem CentOS, dan disertakan dengan beberapa contoh kod praktikal.

1. Apakah itu SELinux:
SELinux ialah mekanisme keselamatan berdasarkan Kawalan Capaian Mandatori (MAC), yang menyediakan lapisan keselamatan tambahan untuk sistem Linux. Dengan mentakrifkan objek (seperti fail, direktori, proses), subjek (seperti pengguna, proses) dan operasi (seperti baca, tulis, laksana), SELinux mengehadkan tingkah laku akses dalam sistem. Dengan mengaitkan setiap sumber dan operasi dengan dasar keselamatan, SELinux boleh mengawal akses ini dengan berkesan dan menyediakan perlindungan keselamatan yang lebih terperinci.

2. Hidupkan SELinux:
Pada sistem CentOS, SELinux dilumpuhkan secara lalai. Untuk mendayakan SELinux, anda boleh mengikuti langkah-langkah di bawah:

  1. Edit fail /etc/selinux/config:

    vi /etc/selinux/config
    Salin selepas log masuk
  2. Cari baris berikut dan tukar kepada "menguatkuasakan":

    SELINUX=enforcing
    Salin selepas log masuk
  3. fail, mulakan semula sistem :
reboot
Salin selepas log masuk


3. Arahan asas SELinux:
    Setelah SELinux didayakan, anda boleh menggunakan arahan asas berikut untuk mengurus dan mengkonfigurasinya:
  1. Dapatkan status SELinux
  2. reee

    reee:
  3. Ubah suai status sementara SELinux:
  4. sestatus
    Salin selepas log masuk

  5. Ubah suai konteks SELinux fail atau direktori:
setenforce 0     # 设置为permissive模式
setenforce 1     # 设置为enforcing模式
Salin selepas log masuk


4. Konfigurasikan dasar SELinux:
    Sebagai tambahan kepada perintah asas, anda juga boleh menukar dasar untuk SELinux dan aplikasi anda persekitaran. Berikut ialah beberapa contoh konfigurasi SELinux yang biasa digunakan:
  1. Modul dasar SELinux tersuai:
  2. chcon -R -t httpd_sys_content_t /var/www/html   # 将/var/www/html目录的上下文设置为httpd_sys_content_t,以便Apache能够访问
    Salin selepas log masuk

  3. Lihat konteks SELinux:
  4. cat > myapp.te <<-EOF
    module myapp 1.0;
    
    require {
        type httpd_t;
        type myapp_t;
        class file { open read };
    }
    
    allow httpd_t myapp_t:file { open read };
    
    EOF
    
    checkmodule -M -m -o myapp.mod myapp.te
    semodule_package -o myapp.pp -m myapp.mod
    semodule -i myapp.pp
    Salin selepas log masuk

  5. Ubah suai konteks lalai
  6. SELinux Dasar pengecualian tom SELinux:

    ls -Z /path/to/file    # 显示指定文件的SELinux上下文
    Salin selepas log masuk
5. Kesimpulan:

SELinux ialah alat yang berkuasa untuk melindungi keselamatan sistem pengendalian dalam sistem CentOS. Dengan mengehadkan akses kepada sumber dan operasi, SELinux boleh mengurangkan risiko serangan berniat jahat dan akses tanpa kebenaran kepada sistem dengan berkesan. Artikel ini menerangkan cara mendayakan SELinux, perintah SELinux asas dan beberapa contoh konfigurasi SELinux biasa. Saya harap artikel ini dapat memberi anda panduan tentang cara menggunakan SELinux untuk menjamin sistem CentOS anda dan membantu anda menguasai kemahiran yang berkaitan dalam amalan.

Sumber rujukan:

    Red Hat, Inc. "Panduan Pengguna dan Pentadbir SELinux (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators)
  • Projek CentOS. "Wiki CentOS." (https://wiki.centos.org/)

Atas ialah kandungan terperinci Cara menggunakan SELinux untuk menjamin sistem CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan