[1] SELinux – Tryby pracy

14 marca 2022 Wyłączono przez Adam [zicherka] Nogły

To jest podstawowe użycie i konfiguracja dla SELinux (Linuks z ulepszonymi zabezpieczeniami).

Możliwe jest użycie funkcji MAC (Mandatory Access Control) w CentOS dla różnych zasobów przez SELinux.

[1] Potwierdź aktualny stan SELinux w następujący sposób. (tryb domyślny to [Enforcing])

# pokaż aktualny stan
[root@vlsr01 ~]# getenforce
Enforcing

# enforcing – SELinux jest włączony
# permissive – MAC nie jest włączony, ale rejestruje tylko logi audytu zgodnie z zasadami
# disabled – SELinux jest wyłączony

# możliwe również do wyświetlenia za pomocą poniższego polecenia (linia [Current mode])
[root@vlsr01 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

[2] Możliwe jest przełączanie bieżącego trybu między [permissive] <-> [enforcing] za pomocą polecenia [setenforce].

Ale jeśli system CentOS zostanie ponownie uruchomiony, tryb powraca do ustawień domyślnych.

[root@vlsr01 ~]# getenforce
Enforcing

# przełącz na [Permissive] za pomocą [setenforce 0]
[root@vlsr01 ~]# setenforce 0
[root@vlsr01 ~]# getenforce
Permissive

# przełącz na [Enforcing] za pomocą [setenforce 1]
[root@vlsr01 ~]# setenforce 1
[root@vlsr01 ~]# getenforce
Enforcing

[3] Jeśli chcesz zmienić tryb pracy na stałe, zmień wartość w pliku konfiguracyjnym.

[root@vlsr01 ~]# mcedit /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
# zmień na wartość, którą chcesz ustawić
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# zrestartuj aby zastosować zmiany
[root@vlsr01 ~]# reboot

[4] Jeśli zmienisz tryb pracy z [Disabled] na [Enforcing/Permissive], konieczne będzie ponowne oznaczenie systemu plików za pomocą kontekstów SELinux. Ponieważ gdy niektóre pliki lub katalogi są tworzone w trybie [Disabled], nie są one oznaczone za pomocą kontekstów SELinux, należy je również oznaczyć.

# ustaw ponowne etykietowanie jak poniżej, zostanie ono ustawione przy następnym uruchomieniu systemu
[root@vlsr01 ~]# touch /.autorelabel
[root@vlsr01 ~]# reboot