Eine Möglichkeit, die Sicherheit Ihres Linux -Systems zu verbessern, besteht darin, eine zusätzliche Sicherheitsebene mit Selinux hinzuzufügen. Mit der Sicherheitsverbesserung von Linux (SELinux) werden die Anwendungen auf Ihren Linux-Systemen voneinander isoliert, wodurch Ihr Hostsystem schützt. Standardmäßig verwendet Ubuntu die Apparmor, Ein obligatorisches Zugriffskontrollsystem, das die Sicherheit verbessert, aber Sie können den Selinux verwenden, um dasselbe zu erreichen.
Selinux ist von Vorteil und verhindert im Falle einer Sicherheitsverletzung in Ihrem System die Ausbreitung des Verstoßes zum Schutz Ihres Systems. Darüber hinaus schützt das Tool die Webserver je nach dem Modus, den Sie für den Selinux festgelegt haben. Dieser Leitfaden bietet ein praktisches Tutorial zum Deaktivieren des Apparmors, zum Installieren der Selinux, zum Aktivieren der verschiedenen Modi und deaktiviert Selinux.
Erste Schritte mit Selinux
Beachte. Verwenden Sie es also nur, wenn Sie und in einem solchen anwendbaren Fall müssen. Außerdem ist es immer sicherer, den Apparmor vor der Installation des Selinux zu deaktivieren.
Führen Sie den folgenden Befehl aus, um den Apparmor zu deaktivieren:
1 | $ sudo systemctl stop apparmor |
Sobald der Apparmor gestoppt ist, starten Sie Ihr System neu.
So installieren Sie Selinux auf Ubuntu
Sobald Sie den Apparmor deaktiviert oder entfernen, öffnen Sie Ihr Terminal und führen Sie den folgenden Befehl aus, um SELinux zu installieren.
1 2 3 | $ sudo APT Update |
Sobald die Installation erfolgreich ist, müssen Sie das Tool aktivieren. Sie können dies mit dem folgenden Befehl tun:
1 | $ sudo selinux-activate |
Aktivieren von Selinux -Modi auf Ubuntu
Es gibt drei verschiedene Modi, die Sie mit Selinux verwenden können. Der erste ist deaktiviert, was das Gleiche wie der Name tut. Es deaktiviert mit dem Selinux -Dienst. Wenn Selinux aktiviert ist, können Sie es auf einstellen zulässt oder erzwungen Modi. Im zulässigen Modus wird nur die Überwachung der Interaktion durchgeführt. Wenn Sie jedoch die Interaktion filtern und überwachen möchten, verwenden Sie den Durchsetzungsmodus.
Beginnen wir zunächst den Durchsetzungsmodus festlegen. Verwenden Sie den folgenden Befehl:
1 | $ sudo selinux-config-verstärkend |
Alternativ können Sie den Befehl setEnforce verwenden, um den Erwerbsmodus festzulegen. Der Befehl dafür ist wie folgt:
1 | $ setEnforce 1 |
Sobald Sie den Modus festgelegt haben, müssen Sie Ihr System neu starten, damit es wirksam wird.
1 | $ Neustart |
Beachten Sie, dass der Relabelling -Prozess während des Neustarts beginnt. Das System startet normalerweise neu, sobald es abgeschlossen ist. Während der Wiederverschreibung sollten Sie eine Warnmeldung wie im folgenden Bild beachten:
Nach einem erfolgreichen Neustart können Sie den folgenden Befehl ausführen, um den Selinux -Status zu überprüfen. Es sollte auf die Durchsetzung eingestellt werden.
1 | $ sestatus |
Der Durchsetzungsmodus ist die Standardeinstellung von Selinux. In diesem Zustand werden die meisten wenn nicht alle Anfragen blockiert. Die Lösung besteht darin, den zulässigen Modus auszuwählen, in dem alle verletzten Regeln protokolliert werden. Sie können die Protokolldatei für Details überprüfen.
Verwenden Sie den folgenden Befehl, um den zulässigen Modus festzulegen:
1 | $ setEnforce 0 |
Überprüfen Sie den Modus mit dem Modus SetStatus -Befehl oder verwenden Sie die Getenforce Befehl:
1 2 3 4 5 | $ setStatus |
Mit GetEnforce sehen Sie nur den Namen des aktuellen Modus, aber der SetStatus zeigt weitere Details zum aktuell festgelegten Modus an.
Beachten Sie, dass Sie das System neu starten müssen, um zwischen den beiden Modi zu wechseln. Außerdem können Sie die festgelegten Modi von der anzeigen /etc/sysconfig/selinux -Datei.
Wie wir bemerkt haben, ist der zulässige Modus flexibler und blockiert nicht unbedingt alle Anfragen. Stattdessen führt sie eine Protokolldatei, wenn die Regeln verletzt werden. Um auf die Protokolldatei zuzugreifen, können Sie den folgenden Befehl verwenden:
1 | $ grep selinux/var/log/prüfung/prüfung.Protokoll |
Verwenden Sie den folgenden Befehl, um den zulässigen Modus festzulegen:
1 | $ sudo setEnforce 0 |
So deaktivieren Sie Selinux
Wir haben gesehen, wie man die verschiedenen Selinux -Modi aktiviert und festlegt. Aber wie wäre es, es zu deaktivieren? Die beste Option besteht darin, es dauerhaft von den Konfigurationsdateien zu deaktivieren. Öffnen Sie die Datei mit einem Editor wie Nano. Ändern Sie dann den Modus von der Durchsetzung in deaktiviert, wie im folgenden Befehl gezeigt:
1 | $ sudo nano/etc/selinux/config |
Suchen Sie nach der Öffnung nach dem Selinux = Durchsetzung der Zeile und ändern Sie sie in Selinux = deaktiviert.
Abschluss
Der Apparmor ist die zusätzliche Sicherheitsebene in Ubuntu und anderen Linux -Systemen. Wenn Sie jedoch die Verwendung des Selinux bevorzugen, haben wir abgedeckt, wie Sie die verschiedenen Modi installieren, aktivieren und verwenden können. Stellen Sie vor der Installation des Selinux sicher, dass Sie den Apparmor deaktivieren und das System neu starten. Gehen Sie auch mit Vorsicht vor, wenn Sie den Selinux verwenden, um das Durcheinander mit Ihrem System zu vermeiden.