Comment utiliser SELinux pour sécuriser les systèmes CentOS

Comment utiliser SELinux pour protéger la sécurité du système CentOS

Introduction :
Dans l'environnement Internet actuel, la protection de la sécurité du système d'exploitation est devenue de plus en plus importante. CentOS, en tant que distribution Linux populaire, fournit des outils et des fonctions puissants pour maintenir la sécurité du système. L'un des composants importants est SELinux, un système d'amélioration de la sécurité développé par la National Security Agency (NSA) des États-Unis, qui peut réduire efficacement le risque d'attaques malveillantes et d'accès non autorisé au système. Cet article expliquera comment utiliser SELinux pour protéger la sécurité des systèmes CentOS et sera accompagné de quelques exemples de code pratiques.

1. Qu'est-ce que SELinux :
SELinux est un mécanisme de sécurité basé sur le contrôle d'accès obligatoire (MAC), qui fournit une couche de sécurité supplémentaire pour les systèmes Linux. En définissant des objets (tels que des fichiers, des répertoires, des processus), des sujets (tels que des utilisateurs, des processus) et des opérations (telles que lire, écrire, exécuter), SELinux limite le comportement d'accès au système. En associant chaque ressource et opération à une politique de sécurité, SELinux peut contrôler efficacement ces accès et fournir une protection de sécurité plus granulaire.

2. Activez SELinux :
Sur les systèmes CentOS, SELinux est désactivé par défaut. Pour activer SELinux, vous pouvez suivre les étapes ci-dessous :

1. Modifiez le fichier /etc/selinux/config :

   vi /etc/selinux/config

2. Recherchez la ligne suivante et remplacez-la par "enforcing" :

   SELINUX=enforcing

3. Enregistrez et fermez le fichier, redémarrez le système ：

   reboot

3. Commandes SELinux de base :
Une fois SELinux activé, vous pouvez utiliser les commandes de base suivantes pour le gérer et le configurer :

1. Obtenir le statut SELinux :

   sestatus

2. Modifier l'état temporaire de SELinux :

   setenforce 0     # 设置为permissive模式
   setenforce 1     # 设置为enforcing模式

3. Modifier le contexte SELinux d'un fichier ou d'un répertoire :

   chcon -R -t httpd_sys_content_t /var/www/html   # 将/var/www/html目录的上下文设置为httpd_sys_content_t，以便Apache能够访问

4. Configurer la politique SELinux :
En plus des commandes de base, vous pouvez également modifier la politique SELinux en fonction de votre application et environnement. Voici quelques exemples de configuration SELinux couramment utilisés :

1. Module de stratégie SELinux personnalisé :

   cat > myapp.te <<-EOF
   module myapp 1.0;
   
   require {
       type httpd_t;
       type myapp_t;
       class file { open read };
   }
   
   allow httpd_t myapp_t:file { open read };
   
   EOF
   
   checkmodule -M -m -o myapp.mod myapp.te
   semodule_package -o myapp.pp -m myapp.mod
   semodule -i myapp.pp

2. Afficher le contexte SELinux :

   ls -Z /path/to/file    # 显示指定文件的SELinux上下文

3. Modifier le fichier Contexte SELinux par défaut :

   semanage fcontext -a -t httpd_sys_content_t '/var/www/myapp(/.*)?'    # 将/var/www/myapp目录及其子目录的上下文设置为httpd_sys_content_t
   restorecon -Rv /var/www/myapp    # 应用上下文更改

4. Exception SELinux personnalisée politique :

   audit2allow -a    # 从审计日志生成异常策略

5. Conclusion :
SELinux est un outil puissant pour protéger la sécurité du système d'exploitation dans les systèmes CentOS. En restreignant l'accès aux ressources et aux opérations, SELinux peut réduire efficacement le risque d'attaques malveillantes et d'accès non autorisé au système. Cet article explique comment activer SELinux, les commandes SELinux de base et quelques exemples de configuration SELinux courants. J'espère que cet article pourra vous fournir des conseils sur la façon d'utiliser SELinux pour sécuriser votre système CentOS et vous aider à maîtriser les compétences pertinentes dans la pratique.

Ressources de référence :

• Red Hat, Inc. "Guide de l'utilisateur et de l'administrateur SELinux." (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index)
• Projet CentOS. « Wiki CentOS. » (https://wiki.centos.org/)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!