Podstawowe polecenia SELINUX

Istnieją pewne polecenia, o których warto wspomnieć, które mogą pomóc w łatwej interakcji z Selinux. W tym artykule omówimy niektóre z najbardziej podstawowych poleceń Selinux.

Uwaga: Wszystkie poniższe polecenia zostały wykonane w Centos 8. Jeśli jednak chcesz użyć innego dystrybucji Linuksa, możesz to również zrobić bardzo wygodnie.

Podstawowe polecenia SELINUX

Istnieje kilka podstawowych poleceń, które są bardzo często używane z Selinux. W poniższych sekcjach najpierw przedstawimy każde polecenie, wówczas podamy przykłady, aby pokazać, jak użyć każdego polecenia.

Sprawdzanie statusu SELINUX

Po uruchomieniu terminala w Centos 8, załóżmy, że chcielibyśmy zbadać status Selinux, i.mi., Chcielibyśmy ustalić, czy Selinux jest włączony w Centos 8. Możemy wyświetlić status Selinux w Centos 8, wykonując następujące polecenie w terminalu:

$ sestatus

Uruchomienie tego polecenia powie nam, czy Selinux jest włączony w Centos 8. Selinux jest włączony w naszym systemie i możesz zobaczyć ten status podświetlony na poniższym obrazku:

Zmiana statusu Selinux

SELINUX jest zawsze domyślnie włączony w systemach opartych na systemie Linux. Jeśli jednak masz ochotę wyłączyć Selinux lub wyłączyć go, możesz to zrobić, poprawiając plik konfiguracyjny Selinux w następujący sposób:

$ sudo nano/etc/selinux/config

Po wykonaniu tego polecenia plik konfiguracyjny Selinux otworzy się z nano edytorem, jak pokazano na poniższym obrazku:

Teraz musisz znaleźć zmienną Selinux w tym pliku i zmienić jej wartość z „egzekwowania” na „wyłączone”, naciśnij Ctrl+ X, aby zapisać plik konfiguracyjny Selinux i wróć do terminalu.

Po ponownym sprawdzeniu statusu Selinux, uruchamiając polecenie „SESTATUS” powyżej, status w pliku konfiguracyjnym zmieni się na „wyłączony”, podczas gdy bieżący status będzie nadal „włączony”, jak wyróżniono na poniższym obrazku:

Dlatego, aby wprowadzić swoje zmiany w pełnym efekcie, musisz ponownie uruchomić system CentOS 8, uruchamiając następujące polecenie:

$ sudo shutdown -r teraz

Po ponownym uruchomieniu systemu, kiedy ponownie sprawdzisz status Selinux, Selinux będzie wyłączony.

Sprawdzanie trybu działania Selinux

SELINUX jest domyślnie włączony i działa w trybie „egzekwowania”, który jest jego domyślnym trybem. Możesz to określić, uruchamiając polecenie „sestatus” lub otwierając plik konfiguracyjny Selinux. Można to również zweryfikować, uruchamiając poniższe polecenie:

$ getenforce

Po wykonaniu powyższego polecenia zobaczysz, że Selinux działa w trybie „egzekwowania”:

Zmiana trybu działania Selinux

Zawsze możesz zmienić domyślny tryb działania Selinux z „egzekwowania” na „dopuszczalny.„Aby to zrobić, musisz użyć polecenia„ setenforce ”w następujący sposób:

$ sudo setenforce 0

Gdy używana z poleceniem „setenforce” flaga „0” zmienia tryb SELINUX z „egzekwowania” na „dopuszczalny.„Możesz sprawdzić, czy tryb domyślny został zmieniony, ponownie uruchamiając polecenie„ getenforce ”i zobaczysz, że tryb Selinux został ustawiony na„ Permissive ”, jak podkreślono na poniższym obrazku:

Przeglądanie modułów zasad Selinux

Możesz także wyświetlić moduły zasad Selinux, które obecnie działają w systemie CentOS 8. Moduły zasad Selinux można przeglądać, uruchamiając następujące polecenie w terminalu:

$ sudo semodule -l

Wykonanie tego polecenia wyświetli wszystkie aktualnie uruchomione moduły zasad Selinux w terminalu, jak pokazano na poniższym obrazku. Aby uzyskać dostęp do całej listy, możesz przewinąć w górę lub w dół.

Generowanie raportu dziennika audytu Selinux

W dowolnym momencie możesz wygenerować raport z dzienników audytu Selinux. Ten raport będzie zawierał wszystkie informacje dotyczące każdego potencjalnego zdarzenia, które zostało zablokowane przez SELINUX, a także w jaki sposób możesz zezwolić na zablokowane zdarzenia (w razie potrzeby. Ten raport można wygenerować, uruchamiając następujące polecenie w terminalu:

$ sudo uszczelnienie -a/var/log/audyt/audyt.dziennik

W naszym przypadku, ponieważ nie nastąpiła podejrzana aktywność, dlatego nasz raport był bardzo precyzyjny i nie generował żadnych powiadomień, jak pokazano na poniższym obrazku:

Przeglądanie i zmiana linii boolean

Istnieją pewne zmienne Selinux, których wartość może być „włączona” lub „wyłączona.„Takie zmienne są znane jako Selinux Boolean. Aby wyświetlić wszystkie zmienne logiczne Selinux, użyj polecenia „Getsebool” w następujący sposób:

$ sudo getsebool -a

Wykonanie tego polecenia wyświetli długą listę wszystkich zmiennych Selinux, których wartość może być „włączona” lub „wyłączona”, jak pokazano na poniższym obrazku:

Najlepszą rzeczą w Selinux Boolean jest to, że nawet po zmianie wartości tych zmiennych nie musisz ponownie uruchomić mechanizmu Selinux; Raczej zmiany te pojawiają się natychmiast i automatycznie.

Teraz chcielibyśmy pokazać metodę zmiany wartości dowolnej zmiennej logicznej Selinux. Wybraliśmy już zmienną, jak podkreślono na obrazie pokazanym powyżej, którego wartość jest obecnie „wyłączona.„Możemy przełączyć tę wartość na„ włączone ”, uruchamiając następujące polecenie w naszym terminalu:

$ sudo setsebool -p xen_use_nfs on

Tutaj możesz zastąpić xen_use_nfs dowolnym wybranym przez siebie wyborem Selinux, którego wartość chcesz zmienić.

Po uruchomieniu powyższego polecenia, kiedy ponownie uruchomisz polecenie „getsebool”, aby wyświetlić wszystkie zmienne boolean selinux, będziesz mógł zobaczyć, że wartość xen_use_nfs została ustawiona na „ON”, jak wyróżniono na poniższym obrazku:

Wniosek

W tym artykule omówiliśmy wszystkie podstawowe polecenia Selinux w Centos 8. Polecenia te są używane dość często podczas interakcji z tym mechanizmem bezpieczeństwa Selinux. Dlatego polecenia te są uważane za niezwykle pomocne.