Phenquestions
W dzisiejszym artykule chcielibyśmy podzielić się z Wami sposobami ustawienia SELinuksa w tryb „Permissive” po zapoznaniu się z jego ważnymi szczegółami.
Co to jest tryb zezwalający SELinux??
Tryb „Permissive” jest również jednym z trzech trybów, w których działa SELinux, i.mi., „Wymuszanie”, „Tolerancja” i „Wyłączone”. Są to trzy szczególne kategorie trybów SELinux, podczas gdy ogólnie możemy powiedzieć, że w każdym konkretnym przypadku SELinux będzie albo „włączony” albo „wyłączony”. Oba tryby „Wymuszanie” i „Dopuszczalny” należą do kategorii „Włączone”. Innymi słowy oznacza to, że za każdym razem, gdy SELinux jest włączony, będzie działał w trybie „Wymuszanie” lub w trybie „Permissive”.
Dlatego większość użytkowników myli się między trybami „Wymuszanie” i „Dopuszczalny”, ponieważ w końcu oba należą do kategorii „Włączone”. Chcielibyśmy dokonać wyraźnego rozróżnienia między tymi dwoma, najpierw określając ich cele, a następnie przypisując to do przykładu. Tryb „Wymuszanie” działa poprzez implementację wszystkich reguł określonych w polityce bezpieczeństwa SELinux. Blokuje dostęp wszystkim użytkownikom, którzy nie mają dostępu do określonego obiektu w polityce bezpieczeństwa. Co więcej, ta aktywność jest również rejestrowana w pliku dziennika SELinux.
Z drugiej strony tryb „Permissive” nie blokuje niepożądanego dostępu, a raczej po prostu rejestruje wszystkie takie działania w pliku dziennika. Dlatego ten tryb jest używany głównie do śledzenia błędów, audytu i dodawania nowych zasad polityki bezpieczeństwa. Rozważmy teraz przykład użytkownika „A”, który chce uzyskać dostęp do katalogu o nazwie „ABC”. W polityce bezpieczeństwa SELinux wspomniano, że użytkownikowi „A” zawsze będzie odmówiony dostęp do katalogu „ABC”.
Teraz, jeśli Twój SELinux jest włączony i działa w trybie „Wymuszanie”, to za każdym razem, gdy użytkownik „A” będzie próbował uzyskać dostęp do katalogu „ABC”, dostęp zostanie odmówiony, a zdarzenie to zostanie zapisane w pliku dziennika. Z drugiej strony, jeśli Twój SELinux działa w trybie „Permissive”, to użytkownik „A” będzie miał dostęp do katalogu „ABC”, ale to zdarzenie zostanie zapisane w pliku dziennika, aby administrator może wiedzieć, gdzie doszło do naruszenia bezpieczeństwa.
Metody ustawiania SELinux w trybie zezwalającym na CentOS 8
Teraz, gdy w pełni zrozumieliśmy cel trybu „Permissive” SELinux, możemy z łatwością porozmawiać o metodach ustawienia SELinux w trybie „Permissive” w CentOS 8. Jednak przed przejściem do tych metod zawsze dobrze jest sprawdzić domyślny stan SELinux, uruchamiając w terminalu następujące polecenie:
$ status
Domyślny tryb SELinux jest podświetlony na poniższym obrazku:
Metoda tymczasowego ustawienia SELinux w trybie zezwalającym na CentOS 8
Przez tymczasowe ustawienie SELinux w trybie „Permissive” mamy na myśli, że ten tryb będzie włączony tylko dla bieżącej sesji i jak tylko zrestartujesz system, SELinux powróci do swojego domyślnego trybu działania, i.mi., tryb „Wymuszanie”. Aby tymczasowo ustawić SELinux w trybie „Permissive”, musisz uruchomić następujące polecenie na swoim terminalu CentOS 8:
$ sudo setenforce 0
Ustawiając wartość flagi „setenforce” na „0”, zasadniczo zmieniamy jej wartość na „Permissive” z „Enforcing”. Uruchomienie tego polecenia nie spowoduje wyświetlenia żadnych danych wyjściowych, co można zobaczyć na poniższym obrazku.
Teraz, aby sprawdzić, czy SELinux został ustawiony w trybie „Permissive” w CentOS 8, czy nie, uruchomimy następujące polecenie w terminalu:
$ getenforce
Uruchomienie tego polecenia zwróci bieżący tryb SELinux i będzie to „Permissive”, jak pokazano na poniższym obrazku. Jednak jak tylko zrestartujesz swój system, SELinux powróci do trybu „Wymuszania”.
Metoda trwałego ustawienia SELinux w trybie zezwalającym na CentOS 8
Stwierdziliśmy już w Metodzie nr 1, że zastosowanie powyższej metody tylko tymczasowo ustawi SELinux w trybie „Permissive”. Jeśli jednak chcesz, aby te zmiany były widoczne nawet po ponownym uruchomieniu systemu, musisz uzyskać dostęp do pliku konfiguracyjnego SELinux w następujący sposób:
$ sudo nano /etc/selinux/config
Plik konfiguracyjny SELinux jest pokazany na poniższym obrazku:
Teraz musisz ustawić wartość zmiennej „SELinux” na „permissive”, jak zaznaczono na poniższym obrazku, po czym możesz zapisać i zamknąć plik.
Teraz musisz ponownie sprawdzić stan SELinux, aby dowiedzieć się, czy jego tryb został zmieniony na „Permissive” czy nie. Możesz to zrobić, uruchamiając w terminalu następujące polecenie:
$ status
Na podświetlonej części obrazu pokazanego poniżej widać, że w tej chwili tylko tryb z pliku konfiguracyjnego jest zmieniany na „Tolerancyjny”, podczas gdy bieżący tryb to nadal „Wymuszanie”.
Teraz, aby nasze zmiany zaczęły obowiązywać, ponownie uruchomimy nasz system CentOS 8, uruchamiając w terminalu następujące polecenie:
$ sudo zamknięcie -r teraz
Po ponownym uruchomieniu systemu, gdy ponownie sprawdzisz stan SELinux za pomocą polecenia „sestatus”, zauważysz, że bieżący tryb również został ustawiony na „Permissive”.
Wniosek:
W tym artykule dowiedzieliśmy się, jaka jest różnica między trybami „Enforcing” i „Permissive” SELinux. Następnie podzieliliśmy się z Wami dwoma metodami ustawienia SELinux w trybie „Permissive” w CentOS 8. Pierwsza metoda służy do tymczasowej zmiany trybu, natomiast druga metoda do trwałej zmiany trybu na „Permissive”. Możesz użyć dowolnej z dwóch metod zgodnie z własnymi wymaganiami.
