[1] SELinux – Tryby pracy
14 marca 2022To jest podstawowe użycie i konfiguracja dla SELinux (Linuks z ulepszonymi zabezpieczeniami).
Możliwe jest użycie funkcji MAC (Mandatory Access Control) w CentOS dla różnych zasobów przez SELinux.
[1] Potwierdź aktualny stan SELinux w następujący sposób. (tryb domyślny to [Enforcing])
# pokaż aktualny stan [root@vlsr01 ~]# getenforce Enforcing # enforcing – SELinux jest włączony # permissive – MAC nie jest włączony, ale rejestruje tylko logi audytu zgodnie z zasadami # disabled – SELinux jest wyłączony # możliwe również do wyświetlenia za pomocą poniższego polecenia (linia [Current mode]) [root@vlsr01 ~]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
[2] Możliwe jest przełączanie bieżącego trybu między [permissive] <-> [enforcing] za pomocą polecenia [setenforce].
Ale jeśli system CentOS zostanie ponownie uruchomiony, tryb powraca do ustawień domyślnych.
[root@vlsr01 ~]# getenforce Enforcing # przełącz na [Permissive] za pomocą [setenforce 0] [root@vlsr01 ~]# setenforce 0 [root@vlsr01 ~]# getenforce Permissive # przełącz na [Enforcing] za pomocą [setenforce 1] [root@vlsr01 ~]# setenforce 1 [root@vlsr01 ~]# getenforce Enforcing
[3] Jeśli chcesz zmienić tryb pracy na stałe, zmień wartość w pliku konfiguracyjnym.
[root@vlsr01 ~]# mcedit /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. # zmień na wartość, którą chcesz ustawić SELINUX=enforcing # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted # zrestartuj aby zastosować zmiany [root@vlsr01 ~]# reboot
[4] Jeśli zmienisz tryb pracy z [Disabled] na [Enforcing/Permissive], konieczne będzie ponowne oznaczenie systemu plików za pomocą kontekstów SELinux. Ponieważ gdy niektóre pliki lub katalogi są tworzone w trybie [Disabled], nie są one oznaczone za pomocą kontekstów SELinux, należy je również oznaczyć.
# ustaw ponowne etykietowanie jak poniżej, zostanie ono ustawione przy następnym uruchomieniu systemu [root@vlsr01 ~]# touch /.autorelabel [root@vlsr01 ~]# reboot