Índice
SELinux é um módulo de segurança do kernel do Linux, isso significa Linux com segurança aprimorada ou Linux com segurança aprimorada.Este módulo de segurança Linux que fornece várias políticas de segurança, incluindo controles de acesso, pode ser aplicado a sistemas do tipo Unix, como Linux e BSD.
Vem ativado em CentOS e na maioria das distros modernas, geralmente é habilitado em servidores.
Vamos vê-lo não como um aplicativo desktop mas, como um sistema de segurança no servidor, o que Selinux faz é verificar a todo momento se o arquivo que você está tentando acessar é válido e tem permissão para ser usado pelo aplicativo que deseja ele corre.
Além de controlar arquivos, ele também controla portas. Um caso de controle é se tentarmos iniciar um servidor FTP, devemos primeiro dar a ele as permissões correspondentes para que o servidor possa escutar na porta, caso contrário não funcionará, normalmente esta configuração é feita durante a instalação.
Assumimos que já está instalado e vamos configurá-lo
O SELinux tem seu próprio banco de dados de usuário que está associado ao banco de dados de usuário normal do Linux. As identidades são usadas tanto em assuntos quanto em objetos. Apenas alguns usuários SELinux são definidos: (podem ser listados pelo comando 'semanage user -l'):
Diretório / etc / selinux é o local principal para todos os arquivos de política, bem como o arquivo de configuração principal.
Utilitários e programas do SELinux
Vamos ver quais são alguns dos programas utilitários usados com mais frequência pelo selinux
/ usr / bin / setenforce: modifica a forma como o selinux é executado em tempo real. ao executar o comando setenforce 1, o selinux é colocado em modo tax, ou seja, as regras de segurança estarão ativas. se executarmos setenforce 0, selinux é colocado no modo permissivo.
para desabilitar o selinux, você precisa configurar o parâmetro em / etc / sysconfig / selinux ou passar o parâmetro
selinux = 0 para o kernel, ou se quisermos da inicialização do sistema operacional, adicionamos o comando ao arquivo /etc/grub.conf.
/ usr / bin / sestatus -v- Obtenha o status detalhado de um sistema executando o selinux. O exemplo abaixo mostra um trecho da saída sestatus
# sestatus SELinux status: habilitado SELinuxfs mount: / selinux Modo atual: enforcing Modo do arquivo de configuração: enforcing Versão da política: 21 Política do arquivo de configuração: direcionado
O Selinux tem uma interface gráfica, mas como pode ser gerenciado remotamente com o ssh, explicamos os comandos.
Um comando importante é getsebool e permite listar as políticas definidas no SELinux e determinar quais regras estão ativas ou inativas. No terminal, escrevemos o seguinte comando
getsebool -a | grep text
O texto pode ser um serviço ou programa que desejamos, por exemplo
getsebool -a | grep ftp
Por exemplo, a partir deste comando podemos obter um status de ftp
allow_ftpd_anon_write -> on // Permitir acesso a usuários anônimos por ftp no servidor allow_ftpd_full_access -> on // Permitir leitura e gravação de arquivos ftp_home_dir -> on // Permitir que o usuário acesse seus diretórios pessoais
Devemos conhecer cada serviço em nosso servidor para poder verificar o que é cada regra que o Selinux controla e como está configurada.