Ce este SELinux?
SELinux este un set de politici / module de securitate care se aplică pe un echipament pentru a îmbunătăți securitatea generală a mașinii. Acestea sunt module de securitate Linux (LSM) care sunt încărcate în kernel pentru a îmbunătăți securitatea accesării serviciilor / fișierelor. SELinux este o formă scurtă de la Security Enhanced Linux. SElinux este o caracteristică de securitate care a fost livrată odată cu RHEL5, și este mult mai sigură decât orice altă formă de securitate, cum ar fi PAM și Initd. Apparmor este uneori considerat elocvent pentru SELinux. Mai jos este prezentat modelul de securitate din Linux.
SELinux este setat în trei moduri.
Enforcing – Se aplică politica de securitate SELinux. Dacă acest mod este setat, SELinux este activ și va încerca să impună cu strictețe politicile SELinux
Permissive – SELinux afișează avertismente în loc să se impună. Această setare va da doar un avertisment atunci când este încălcată orice setare de politică SELinux
Disabled – Nu este încărcată nicio politică SELinux. Acest mod va dezactiva în totalitate politicile SELinux.
De asemenea SELinux poate fi setat în două nivele
Targeted – Procesele vizate sunt protejate,
Mls – Multi Level Security protection.
Afișarea status-ului SELinux
Exemplu1: Este SELinux activat sau nu pe echipamentul dvs.? Utilizați comanda de mai jos pentru a obține status-ul.
#getenforce
Va fi afișat „Enabled” sau „Disabled”
Exemplul 2: Pentru a vedea starea SELinux în mod simplificat, puteți folosi sestatus
#sestatus
Se afișează:
SElinux status : enabled
SELinux mount : /selinux
Current mode : enforcing
Mode from config file : enforcing
Policy version : 21
Policy from config file : targeted
Din ieșirea de mai sus putem vedea că SElinux este activat și ca acesta este setat în modul enforced.
Iar pentru a vedea starea detaliată puteți utiliza opțiunea -b. Aceasta va afișa care servicii SElinux sunt active și care dintre acestea sunt dezactivate.
Exemplul 3: Pentru a obține informații despre starea diferită a SELinux pe diferite servicii, utilizați opțiunea -b alături de sestatus
#sestatus -b
Se afișează:
# sestatus -b
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
Policy booleans:
abrt_anon_write off
allow_console_login on
allow_corosync_rw_tmpfs off
allow_cvs_read_shadow off
allow_daemons_dump_core on
allow_daemons_use_tty on
allow_domain_fd_use on
allow_execheap off
allow_execmem on
allow_execmod on
allow_execstack on
allow_ftpd_anon_write off
Dezactivarea SELinux
Exemplul 4: Cum să dezactivați SELinux
Putem efectua această operațiune în două moduri
1) Modul permanent: edit /etc/selinux/config
schimbați status-ul SELinux din enforcing în disabled
SELINUX=enforcing
în
SELINUX=disabled
Salvați și ieșiți din editorul de text.
2) Modul temporar: Rulați comanda de mai jos
echo 0> /selinux/enforce
sau
setenforce 0
Activarea SElinux
Exemplul 5: Cum să activați SELinux
1) Modul permanent: edit /etc/selinux/config
schimbați status-ul din disabled în enforcing
SELINUX=disabled
în
SELINUX-enforcing
Salvați și ieșiți din editorul de text.
2) Modul temporar: Rulați următoarea comandă
echo1> /selinux/enforce
sau
setenforce 1
Comentarii