Kako omogočiti ali onemogočiti logične vrednosti SELinux


Security-Enhanced Linux (SELinux) je varnostni mehanizem za obvezen nadzor dostopa (MAC), implementiran v jedru Linuxa. To je prilagodljiva operacija, namenjena povečanju splošne varnosti sistema: omogoča nadzor dostopa, uveden s politiko, naloženo v sistem, ki je ne morejo spremeniti običajni uporabniki ali programi, ki se ne obnašajo pravilno.

Naslednji članek jasno razlaga o SELinuxu in kako ga implementirati v sistem Linux.

  1. Izvajanje obveznega nadzora dostopa s SELinuxom ali AppArmorjem v Linuxu

V tem članku vam bomo pokazali, kako vklopiti ali izklopiti logične vrednosti SELinux v distribucijah CentOS, RHEL in Fedora Linux.

Če si želite ogledati vse logične vrednosti SELinux, uporabite ukaz getsebool skupaj z ukazom less.

Opomba: Če želite navesti vse logične vrednosti, mora biti SELinux v omogočenem stanju.

# getsebool -a | less

Če si želite ogledati vse logične vrednosti za določen program (ali demon), uporabite pripomoček grep, naslednji ukaz prikazuje vse logične vrednosti httpd.

# getsebool -a | grep httpd

Če želite vklopiti (1) ali izklopiti (0) SELinux booleans, lahko uporabite program setsebool, kot je opisano spodaj.

Omogoči ali onemogoči logične vrednosti SELinux

Če imate v sistemu nameščen spletni strežnik, lahko skriptam HTTPD dovolite pisanje datotek v imenikih z oznako public_content_rw_t , tako da omogočite allow_httpd_sys_script_anon_write boolean.

# getsebool allow_httpd_sys_script_anon_write 
# setsebool allow_httpd_sys_script_anon_write on
OR
# setsebool allow_httpd_sys_script_anon_write 1

Podobno za onemogočanje ali izklop nad logično vrednostjo SELinux zaženite naslednji ukaz.

# setsebool allow_httpd_sys_script_anon_write off
# setsebool allow_mount_anyfile off
OR
# setsebool allow_httpd_sys_script_anon_write  0
# setsebool allow_mount_anyfile  0

Pomen vseh logičnih logik SELinux najdete na https://wiki.centos.org/TipsAndTricks/SelinuxBooleans

Ne pozabite prebrati naslednjih člankov, povezanih z varnostjo.

  1. Kako začasno ali trajno onemogočiti SELinux v sistemu RHEL/CentOS
  2. Obvezne osnove nadzora dostopa z SELinux
  3. Mega vodnik po utrjevanju in varovanju CentOS 7

V tem članku smo razložili, kako omogočiti ali onemogočiti logične vrednosti SELinux v distribucijah CentOS, RHEL in Fedora. Če imate kakršna koli vprašanja, vprašajte v komentarju spodaj.