Phenquestions
Uwaga: Wszystkie poniższe polecenia zostały wykonane w CentOS 8. Jeśli jednak chcesz użyć dowolnej innej dystrybucji Linuksa, możesz to zrobić również bardzo wygodnie.
Podstawowe polecenia SELinux
Istnieje kilka podstawowych poleceń, które są bardzo często używane w SELinux. W kolejnych sekcjach najpierw przedstawimy każde polecenie, a następnie przedstawimy przykłady, aby pokazać, jak używać każdego polecenia.
Sprawdzanie statusu SELinux
Po uruchomieniu terminala w CentOS 8, załóżmy, że chcielibyśmy zbadać stan SELinux, i.mi., chcielibyśmy ustalić, czy SELinux jest włączony w CentOS 8. Możemy wyświetlić stan SELinux w CentOS 8, wykonując w terminalu następujące polecenie:
$ status
Uruchomienie tego polecenia powie nam, czy SELinux jest włączony w CentOS 8. SELinux jest włączony w naszym systemie i możesz zobaczyć ten status podświetlony na poniższym obrazku:
Zmiana statusu SELinux
SELinux jest zawsze domyślnie włączony w systemach opartych na systemie Linux. Jeśli jednak masz ochotę wyłączyć lub wyłączyć SELinux, możesz to zrobić, dostosowując plik konfiguracyjny SELinux w następujący sposób:
$ sudo nano /etc/selinux/config
Po wykonaniu tego polecenia plik konfiguracyjny SELinux otworzy się w edytorze nano, jak pokazano na poniższym obrazku:
Teraz musisz znaleźć zmienną SELinux w tym pliku i zmienić jej wartość z „Enforcing” na „Disabled”. Następnie naciśnij Ctrl + X, aby zapisać plik konfiguracyjny SELinux i wrócić do terminala.
Po ponownym sprawdzeniu stanu SELinux, uruchamiając powyższe polecenie „sestatus”, stan w pliku konfiguracyjnym zmieni się na „Wyłączony”, podczas gdy obecny stan będzie nadal „Włączony”, jak pokazano na poniższym obrazku:
Dlatego, aby wprowadzić zmiany w pełni, będziesz musiał ponownie uruchomić system CentOS 8, uruchamiając następujące polecenie:
$ sudo zamknięcie -r teraz
Po ponownym uruchomieniu systemu, gdy ponownie sprawdzisz stan SELinux, SELinux zostanie wyłączony.
Sprawdzanie trybu działania SELinux
SELinux jest domyślnie włączony i działa w trybie „Wymuszania”, który jest jego trybem domyślnym. Możesz to ustalić, uruchamiając polecenie „sestatus” lub otwierając plik konfiguracyjny SELinux. Można to również zweryfikować, uruchamiając poniższe polecenie:
$ getenforce
Po wykonaniu powyższego polecenia zobaczysz, że SELinux działa w trybie „Wymuszanie”:
Zmiana trybu działania SELinux
Zawsze możesz zmienić domyślny tryb działania SELinux z „Enforcing” na „Permissive”.Aby to zrobić, musisz użyć polecenia „setenforce” w następujący sposób:
$ sudo setenforce 0
W przypadku użycia z poleceniem „setenforce”, flaga „0” zmienia tryb SELinux z „Enforcing” na „Permissive”.” Możesz sprawdzić, czy domyślny tryb został zmieniony, uruchamiając ponownie polecenie „getenforce”, a zobaczysz, że tryb SELinux został ustawiony na „Permissive”, jak pokazano na poniższym obrazku:
Przeglądanie modułów polityki SELinux
Możesz również wyświetlić moduły polityki SELinux, które są obecnie uruchomione w systemie CentOS 8. Moduły polityki SELinux można wyświetlić, uruchamiając w terminalu następujące polecenie:
$ sudo semoduł -l
Wykonanie tego polecenia spowoduje wyświetlenie wszystkich aktualnie uruchomionych modułów zasad SELinux w twoim terminalu, jak pokazano na poniższym obrazku. Aby uzyskać dostęp do całej listy, możesz przewijać w górę lub w dół.
Generowanie raportu dziennika audytu SELinux
W dowolnym momencie możesz wygenerować raport ze swoich dzienników audytu SELinux. Ten raport będzie zawierał wszystkie informacje dotyczące każdego potencjalnego zdarzenia, które zostało zablokowane przez SELinux, a także w jaki sposób możesz zezwolić na zablokowane zdarzenie(a) w razie potrzeby. Ten raport można wygenerować, uruchamiając w terminalu następujące polecenie:
$ sudo sealert -a /var/log/audit/audit.log
W naszym przypadku, ponieważ nie miała miejsca żadna podejrzana aktywność, dlatego nasz raport był bardzo precyzyjny i nie generował żadnych alertów, co widać na poniższym obrazku:
Przeglądanie i zmiana wartości logicznych SELinux
Istnieją pewne zmienne SELinux, których wartość może być „on” lub „off”.” Takie zmienne są znane jako SELinux Boolean. Aby wyświetlić wszystkie zmienne logiczne SELinux, użyj polecenia „getsebool” w następujący sposób:
$ sudo getsebool -a
Wykonanie tego polecenia spowoduje wyświetlenie długiej listy wszystkich zmiennych SELinux, których wartość może być „on” lub „off”, jak pokazano na poniższym obrazku:
Najlepszą rzeczą w SELinux Boolean jest to, że nawet po zmianie wartości tych zmiennych nie musisz restartować mechanizmu SELinux; raczej zmiany te zaczną obowiązywać natychmiast i automatycznie.
Teraz chcielibyśmy pokazać sposób zmiany wartości dowolnej zmiennej logicznej SELinux. Wybraliśmy już zmienną, jak zaznaczono na powyższym obrazku, której wartość jest obecnie „wyłączona”.” Możemy przełączyć tę wartość na „wł.”, uruchamiając następujące polecenie w naszym terminalu:
$ sudo setsebool -P xen_use_nfs ONTutaj możesz zastąpić xen_use_nfs dowolną wartością logiczną SELinux, której wartość chcesz zmienić.
Po uruchomieniu powyższego polecenia, po ponownym uruchomieniu polecenia „getsebool”, aby wyświetlić wszystkie zmienne logiczne SELinux, zobaczysz, że wartość xen_use_nfs została ustawiona na „on”, jak pokazano na poniższym obrazku:
Wniosek
W tym artykule omówiliśmy wszystkie podstawowe polecenia SELinux w CentOS 8. Polecenia te są często używane podczas interakcji z mechanizmem bezpieczeństwa SELinux. Dlatego te polecenia są uważane za niezwykle pomocne.
