Kako omogočiti ali onemogočiti logične vrednosti SELinux
Security-Enhanced Linux (SELinux) je varnostni mehanizem za obvezen nadzor dostopa (MAC), implementiran v jedru Linuxa. To je prilagodljiva operacija, namenjena povečanju splošne varnosti sistema: omogoča nadzor dostopa, uveden s politiko, naloženo v sistem, ki je ne morejo spremeniti običajni uporabniki ali programi, ki se ne obnašajo pravilno.
Naslednji članek jasno razlaga o SELinuxu in kako ga implementirati v sistem Linux.
- Izvajanje obveznega nadzora dostopa s SELinuxom ali AppArmorjem v Linuxu
V tem članku vam bomo pokazali, kako vklopiti ali izklopiti logične vrednosti SELinux v distribucijah CentOS, RHEL in Fedora Linux.
Če si želite ogledati vse logične vrednosti SELinux, uporabite ukaz getsebool skupaj z ukazom less.
Opomba: Če želite navesti vse logične vrednosti, mora biti SELinux v omogočenem stanju.
# getsebool -a | less
Če si želite ogledati vse logične vrednosti za določen program (ali demon), uporabite pripomoček grep, naslednji ukaz prikazuje vse logične vrednosti httpd.
# getsebool -a | grep httpd
Če želite vklopiti (1)
ali izklopiti (0)
SELinux booleans, lahko uporabite program setsebool, kot je opisano spodaj.
Omogoči ali onemogoči logične vrednosti SELinux
Če imate v sistemu nameščen spletni strežnik, lahko skriptam HTTPD dovolite pisanje datotek v imenikih z oznako public_content_rw_t
, tako da omogočite allow_httpd_sys_script_anon_write
boolean.
# getsebool allow_httpd_sys_script_anon_write # setsebool allow_httpd_sys_script_anon_write on OR # setsebool allow_httpd_sys_script_anon_write 1
Podobno za onemogočanje ali izklop nad logično vrednostjo SELinux zaženite naslednji ukaz.
# setsebool allow_httpd_sys_script_anon_write off # setsebool allow_mount_anyfile off OR # setsebool allow_httpd_sys_script_anon_write 0 # setsebool allow_mount_anyfile 0
Pomen vseh logičnih logik SELinux najdete na https://wiki.centos.org/TipsAndTricks/SelinuxBooleans
Ne pozabite prebrati naslednjih člankov, povezanih z varnostjo.
- Kako začasno ali trajno onemogočiti SELinux v sistemu RHEL/CentOS
- Obvezne osnove nadzora dostopa z SELinux
- Mega vodnik po utrjevanju in varovanju CentOS 7
V tem članku smo razložili, kako omogočiti ali onemogočiti logične vrednosti SELinux v distribucijah CentOS, RHEL in Fedora. Če imate kakršna koli vprašanja, vprašajte v komentarju spodaj.