Cara menggunakan SELinux untuk menjamin sistem CentOS

Cara menggunakan SELinux untuk melindungi keselamatan sistem CentOS

Pengenalan:
Dalam persekitaran Internet semasa, melindungi keselamatan sistem pengendalian telah menjadi semakin penting. CentOS, sebagai pengedaran Linux yang popular, menyediakan alat dan fungsi yang berkuasa untuk mengekalkan keselamatan sistem. Salah satu komponen penting ialah SELinux, iaitu sistem peningkatan keselamatan yang dibangunkan oleh Agensi Keselamatan Negara (NSA) AS, yang boleh mengurangkan risiko serangan berniat jahat dan akses tanpa kebenaran kepada sistem secara berkesan. Artikel ini akan memperkenalkan cara menggunakan SELinux untuk melindungi keselamatan sistem CentOS, dan disertakan dengan beberapa contoh kod praktikal.

1. Apakah itu SELinux:
SELinux ialah mekanisme keselamatan berdasarkan Kawalan Capaian Mandatori (MAC), yang menyediakan lapisan keselamatan tambahan untuk sistem Linux. Dengan mentakrifkan objek (seperti fail, direktori, proses), subjek (seperti pengguna, proses) dan operasi (seperti baca, tulis, laksana), SELinux mengehadkan tingkah laku akses dalam sistem. Dengan mengaitkan setiap sumber dan operasi dengan dasar keselamatan, SELinux boleh mengawal akses ini dengan berkesan dan menyediakan perlindungan keselamatan yang lebih terperinci.

2. Hidupkan SELinux:
Pada sistem CentOS, SELinux dilumpuhkan secara lalai. Untuk mendayakan SELinux, anda boleh mengikuti langkah-langkah di bawah:

1. Edit fail /etc/selinux/config:

   vi /etc/selinux/config

   Salin selepas log masuk

2. Cari baris berikut dan tukar kepada "menguatkuasakan":

   SELINUX=enforcing

   Salin selepas log masuk
fail, mulakan semula sistem ：

reboot

Setelah SELinux didayakan, anda boleh menggunakan arahan asas berikut untuk mengurus dan mengkonfigurasinya:
Dapatkan status SELinux
2. reee
   reee:
Ubah suai status sementara SELinux:

3. sestatus

   Salin selepas log masuk

Ubah suai konteks SELinux fail atau direktori:

setenforce 0     # 设置为permissive模式
setenforce 1     # 设置为enforcing模式

Sebagai tambahan kepada perintah asas, anda juga boleh menukar dasar untuk SELinux dan aplikasi anda persekitaran. Berikut ialah beberapa contoh konfigurasi SELinux yang biasa digunakan:
Modul dasar SELinux tersuai:

2. chcon -R -t httpd_sys_content_t /var/www/html   # 将/var/www/html目录的上下文设置为httpd_sys_content_t，以便Apache能够访问

   Salin selepas log masuk

Lihat konteks SELinux:

3. cat > myapp.te <<-EOF
   module myapp 1.0;
   
   require {
       type httpd_t;
       type myapp_t;
       class file { open read };
   }
   
   allow httpd_t myapp_t:file { open read };
   
   EOF
   
   checkmodule -M -m -o myapp.mod myapp.te
   semodule_package -o myapp.pp -m myapp.mod
   semodule -i myapp.pp

   Salin selepas log masuk

Ubah suai konteks lalai
4. SELinux Dasar pengecualian tom SELinux:

   ls -Z /path/to/file    # 显示指定文件的SELinux上下文

   Salin selepas log masuk

SELinux ialah alat yang berkuasa untuk melindungi keselamatan sistem pengendalian dalam sistem CentOS. Dengan mengehadkan akses kepada sumber dan operasi, SELinux boleh mengurangkan risiko serangan berniat jahat dan akses tanpa kebenaran kepada sistem dengan berkesan. Artikel ini menerangkan cara mendayakan SELinux, perintah SELinux asas dan beberapa contoh konfigurasi SELinux biasa. Saya harap artikel ini dapat memberi anda panduan tentang cara menggunakan SELinux untuk menjamin sistem CentOS anda dan membantu anda menguasai kemahiran yang berkaitan dalam amalan.

Red Hat, Inc. "Panduan Pengguna dan Pentadbir SELinux (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators)
• Projek CentOS. "Wiki CentOS." (https://wiki.centos.org/)

Atas ialah kandungan terperinci Cara menggunakan SELinux untuk menjamin sistem CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!