Jak ustawić Selinux w tryb dopuszczalny?

SELINUX lub LINUX z wzmocnionym bezpieczeństwem, i.mi., Mechanizm bezpieczeństwa systemów opartych na systemie Linux działa domyślnie na obowiązkową kontrolę dostępu (MAC). Aby wdrożyć ten model kontroli dostępu, Selinux wykorzystuje zasady bezpieczeństwa, w których wyraźnie określono wszystkie zasady dotyczące kontroli dostępu. Na podstawie tych zasad Selinux podejmuje decyzje dotyczące przyznania lub odmowy dostępu do dowolnego obiektu użytkownikowi.

W dzisiejszym artykule chcielibyśmy podzielić się z Wami metodami ustawiania Selinux w trybie „dopuszczalnym” po przejściu przez jego ważne szczegóły.

Co to jest tryb dopuszczalny Selinux?

Tryb „dopuszczalny” jest również jednym z trzech trybów, w których działa Selinux, i.mi., „Egzekwowanie”, „Permissive” i „niepełnosprawne”. Są to trzy konkretne kategorie trybów Selinux, podczas gdy ogólnie możemy powiedzieć, że w dowolnym przypadku Selinux będzie albo „włączony” lub „wyłączony”. Oba tryby „egzekwowania” i „permisive” należą do kategorii „Włączona”. Innymi słowy, oznacza to, że za każdym razem, gdy Selinux będzie włączony, będzie działał w trybie „egzekwowanie” lub w trybie „dopuszczalnym”.

Właśnie dlatego większość użytkowników jest zdezorientowana między trybami „egzekwowania” i „dopuszczalnym”, ponieważ w końcu oboje podlegają kategorii „włączona”. Chcielibyśmy narysować wyraźne rozróżnienie między nimi, najpierw definiując ich cele, a następnie odwzorowując ją na przykład. Tryb „egzekwowania” działa poprzez wdrożenie wszystkich zasad określonych w Polityce bezpieczeństwa Selinux. Blokuje dostęp wszystkich użytkowników, którzy są niedozwolone w celu uzyskania dostępu do określonego obiektu w zasadach bezpieczeństwa. Ponadto działanie to jest również rejestrowane w pliku dziennika Selinux.

Z drugiej strony tryb „dopuszczalny” nie blokuje niechcianego dostępu, a raczej rejestruje wszystkie takie działania w pliku dziennika. Dlatego ten tryb służy głównie do śledzenia błędów, kontroli i dodawania nowych zasad zasad bezpieczeństwa. Teraz rozważ przykład użytkownika „A”, który chce uzyskać dostęp do katalogu o nazwie „ABC”. W Polityce bezpieczeństwa Selinux wspomniano, że użytkownikowi „A” zawsze otrzyma dostęp do katalogu „ABC”.

Teraz, jeśli twój SELINUX jest włączony i działa w trybie „egzekwowanie”, to za każdym razem, gdy użytkownik „A” będzie próbował uzyskać dostęp do katalogu „ABC”, dostęp zostanie odrzucony, a to zdarzenie zostanie zapisane w pliku dziennika. Z drugiej strony, jeśli Selinux działa w trybie „dopuszczalnym”, wówczas użytkownik „A” będzie mógł uzyskać dostęp do katalogu „ABC”, ale nadal to zdarzenie zostanie zapisane w pliku dziennika, aby administrator Może wiedzieć, gdzie nastąpiło naruszenie bezpieczeństwa.

Metody ustawiania SELINUX w tryb dopuszczalny na CentOS 8

Teraz, gdy w pełni zrozumieliśmy cel „dopuszczalnego”. Jednak przed przejściem do tych metod zawsze dobrze jest sprawdzić domyślny status Selinux, uruchamiając następujące polecenie w terminalu:

$ sestatus

Domyślny tryb SELINUX jest podświetlony na obrazie pokazanym poniżej:

Metoda tymczasowego ustawiania SELINUX do trybu dopuszczalnego na CentOS 8

Tymczasowe ustawianie SELINUX w trybie „Permissive”, mamy na myśli, że ten tryb zostanie włączony tylko dla bieżącej sesji i, gdy tylko ponownie uruchomisz system, Selinux wznowi domyślny tryb działania, i.mi., tryb „egzekwowania”. Aby tymczasowe ustawienie SELINUX w trybie „Permissive” musisz uruchomić następujące polecenie na terminalu CentOS 8:

$ sudo setenforce 0

Ustawiając wartość flagi „SetenForce” na „0”, zasadniczo zmieniamy jej wartość na „dopuszczalne” z „egzekwowania”. Uruchamianie tego polecenia nie wyświetli żadnego wyjścia, ponieważ można wyświetlić z obrazu dołączonego poniżej.

Teraz, aby sprawdzić, czy Selinux został ustawiony na tryb „dopuszczalny” w CentOS 8, czy nie, uruchomimy następujące polecenie w terminalu:

$ getenforce

Uruchomienie tego polecenia zwróci bieżący tryb SELINUX, który będzie „dopuszczalny”, jak podkreślono na obrazie pokazanym poniżej. Jednak gdy tylko ponownie uruchomisz swój system, Selinux wróci do trybu „egzekwowania”.

Metoda trwałego ustawiania SELINUX na tryb dopuszczalny na CentOS 8

W metodzie nr 1 stwierdziliśmy już, że przestrzeganie powyższej metody tylko tymczasowo ustawi Selinux w trybie „dopuszczalny”. Jeśli jednak chcesz, aby te zmiany były tam nawet po ponownym uruchomieniu systemu, musisz uzyskać dostęp do pliku konfiguracyjnego Selinux w następujący sposób:

$ sudo nano/etc/selinux/config

Plik konfiguracyjny Selinux pokazano na poniższym obrazku:

Teraz musisz ustawić wartość zmiennej „SELINUX” na „Permissive”, jak podkreślono na poniższym obrazku, po którym możesz zapisać i zamknąć plik.

Teraz musisz ponownie sprawdzić status Selinux, aby dowiedzieć się, czy jego tryb został zmieniony na „dopuszczalny”, czy nie. Możesz to zrobić, uruchamiając następujące polecenie w swoim terminalu:

$ sestatus

Z podświetlonej części obrazu pokazanego poniżej można zobaczyć, w tej chwili tylko tryb z pliku konfiguracyjnego jest zmieniany na „dopuszczalny”, podczas gdy obecny tryb jest nadal „egzekwujący”.

Teraz, aby wprowadzić nasze zmiany, ponownie uruchomimy nasz system CentOS 8, uruchamiając następujące polecenie w terminalu:

$ sudo shutdown -r teraz

Po ponownym uruchomieniu systemu, kiedy ponownie sprawdzisz status Selinux za pomocą polecenia „SESTATUS”, zauważysz, że obecny tryb został również ustawiony na „dopuszczalny”.

Wniosek:

W tym artykule nauczyliśmy się różnicy między trybami „egzekwowania” i „dopuszczalnym” Selinux. Następnie udostępniliśmy Ci dwie metody ustawiania SELINUX w trybie „dopuszczalnym” w Centos 8. Pierwszą metodą jest tymczasowa zmiana trybu, podczas gdy druga metoda jest trwale zmieniła tryb na „dopuszczalny”. Możesz użyć dowolnej z dwóch metod zgodnie z Twoimi wymaganiami.