Hardening Docker with SELinux on CentOS 8
Innholdsfortegnelse:
- Forutsetninger
- Kontrollerer SELinux-modus
- Endre SELinux Mode til Permissive
- Deaktiverer SELinux
- Konklusjon
Security Enhanced Linux eller SELinux er en sikkerhetsmekanisme innebygd i Linux-kjernen som brukes av RHEL-baserte distribusjoner.
SELinux legger til et ekstra lag med sikkerhet ved å la administratorer og brukere kontrollere tilgangen til objekter basert på policy-regler.
SELinux policy regler spesifiserer hvordan prosesser og brukere interagerer med hverandre, samt hvordan prosesser og brukere interagerer med filer. Når det ikke er noen regel eksplisitt som gir tilgang til et objekt, for eksempel for en prosess som åpner en fil, nektes tilgang.
SELinux har tre driftsformer:
- Håndheving: SELinux tillater tilgang basert på SELinux-policy regler. Bekreftende: SELinux logger bare handlinger som ville blitt nektet hvis de kjøres i håndhevingsmodus. Denne modusen er nyttig for feilsøking og oppretting av nye policy-regler. Deaktivert: Ingen SELinux-policyer er lastet, og ingen meldinger blir logget.
Som standard er SELinux i CentOS 8 aktivert og i håndhevingsmodus. Det anbefales sterkt å holde SELinux i håndhevingsmodus. Noen ganger kan det imidlertid forstyrre funksjonen til en applikasjon, og du må stille den i den tillatte modusen eller deaktivere den fullstendig.
I denne opplæringen vil vi forklare å deaktivere SELinux på CentOS 8.
Forutsetninger
Bare rotbrukeren eller en bruker med sudo-rettigheter kan endre SELinux-modus.
Kontrollerer SELinux-modus
Bruk
sestatus
kommandoen til å sjekke status og modus der SELinux kjører:
sestatus
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 31
Utgangen over viser at SELinux er aktivert og satt til håndhevingsmodus.
Endre SELinux Mode til Permissive
Når den er aktivert, kan SELinux være enten i håndhevende eller tillatende modus. Du kan endre modus midlertidig fra målrettet til tillatende med følgende kommando:
sudo setenforce 0
Denne endringen er imidlertid bare gyldig for den nåværende runtime-økten og vedvarer ikke mellom omstarter.
Følg trinnene nedenfor for å stille SELinux-modus permanent til tillatelse:
-
Åpne filen
/etc/selinux/configog settSELINUXmod til åSELINUX:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targetedLagre filen og kjør
setenforce 0kommandoen for å endre SELinux-modus for den nåværende økten:sudo shutdown -r now
Deaktiverer SELinux
I stedet for å deaktivere SELinux, anbefales det på det sterkeste å endre modus til tillatende. Deaktiver SELinux bare når det er nødvendig for at applikasjonen skal fungere ordentlig.
Utfør trinnene nedenfor for å deaktivere SELinux på CentOS 8-systemet ditt permanent:
-
Åpne filen
/ Etc / SELinux / konfig/etc/selinux/configog endreSELINUXverdien tildisabled:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targetedLagre filen og start systemet på nytt:
sudo shutdown -r nowNår systemet er startet, bruker du
sestatuskommandoen for å bekrefte at SELinux er deaktivert:sestatusUtgangen skal se slik ut:
SELinux status: disabled
Konklusjon
SELinux er en mekanisme for å sikre et system ved å implementere obligatorisk tilgangskontroll (MAC). SELinux er aktivert som standard på CentOS 8-systemer, men det kan deaktiveres ved å redigere konfigurasjonsfilen og starte systemet på nytt.
Hvis du vil lære mer om de kraftige funksjonene i SELinux, kan du gå til CentOS SELinux-guiden.
Hvis du har spørsmål eller tilbakemeldinger, vennligst legg igjen en kommentar nedenfor.
sikkerhetssentreMicrosoft begynner snart å trykke på Windows 10-appvarsler til bedrifter, og oppfordrer dem til å oppgradere til Windows. Hvis organisasjonen din ikke er klar for det, eller hvis du ikke vil oppgradere til Windows 10 av en eller annen grunn, kan du deaktivere deaktivere Få meldinger fra Windows 10-appen ved hjelp av gruppepolicy. Vi har allerede sett hvordan du fjerner Windows 10 App-ikonet ved hjelp av Registerredigering, nå la oss se hvordan du blokkerer automatisk Windows 10 Upgrade
Ved hjelp av GPO eller Register.
Hvorfor og hvordan deaktivere SMB1 på Windows 10/8/7
Fra et sikkerhetssynspunkt er det viktig at deaktiver SMBv1 eller Server Message Block v1-protokollen. Se hvorfor og hvordan du gjør det på en Windows-datamaskin.
Hvordan deaktivere selinux på centos 7
SELinux er en Linux-kjernesikkerhetsmodul som gir administratorer og brukere mer kontroll over tilgangskontroller. I denne opplæringen vil vi vise deg hvordan du deaktiverer SELinux på CentOS 7-systemer.