GNU/Linux >> LINUX-Kenntnisse > >> Cent OS

RHEL 7 – RHCSA-Hinweise – Festlegen von Erzwingungs- und Genehmigungsmodi für SELinux

RHEL 7 – RHCSA-Hinweise (Spickzettel)

SELinux-Modi

SELinux verleiht den Ressourcen im System diese zusätzliche Sicherheitsebene. Es bietet im Gegensatz zum DAC (Discretionary Access Control) die MAC (Mandatory Access Control). Bevor wir in die Einstellung der SELinux-Modi eintauchen, lassen Sie uns sehen, was die verschiedenen SELinux-Betriebsmodi sind und wie sie funktionieren. SELinux kann in jedem der 3 Modi betrieben werden:

1. Erzwungen :Aktionen, die der Richtlinie zuwiderlaufen, werden blockiert und ein entsprechendes Ereignis wird im Audit-Log protokolliert.
2. Zulässig :Richtlinienwidrige Aktionen werden nur im Audit-Log protokolliert.
3. Deaktiviert :SELinux ist vollständig deaktiviert.

Konfigurationsdatei

SELinux-Konfigurationsdatei /etc/selinux/config :

# cat  /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Umschalten der SELinux-Modi (vorübergehend)

Um vorübergehend zwischen den SELinux-Modi zu wechseln, können wir den Befehl setenforce wie unten gezeigt verwenden:

# setenforce [ Enforcing | Permissive | 1 | 0 ]

0 –> Zulässig
1 –> Durchsetzung

Überprüfen Sie den aktuellen Modus von SELinux :

# getenforce
Enforcing

oder wir können auch den sestatus-Befehl verwenden, um einen detaillierten Status zu erhalten:

# sestatus
SELinux status:                 enabled         
SELinuxfs mount:                /selinux        --> virtual FS similar to /proc
Current mode:                   enforcing       --> current mode of operation 
Mode from config file:          permissive      --> mode set in the /etc/sysconfig/selinux file.
Policy version:                 24
Policy from config file:        targeted

Umschalten der SELinux-Modi (permanent) [Neustart erforderlich]

Der SELinux-Modus kann mit einer der folgenden Methoden dauerhaft eingestellt werden:
1. Bearbeiten der Datei /etc/selinux/config
2. Kernel-Boot-Optionen bearbeiten

1. Bearbeiten der Datei /etc/selinux/config

Um SELinux auf permissive einzustellen, setzen Sie die folgende Zeile in der Datei /etc/selinux/config auf :

vi /etc/selinux/config
....
SELINUX=permissive
...

Ebenso kann der Modus auf Erzwingen/Deaktivieren eingestellt werden, indem der Modus in der gleichen Zeile eingestellt wird.

2. Kernel-Boot-Optionen bearbeiten

Bearbeiten Sie die Boot-Zeile des Kernels und hängen Sie enforcing=0 an zu den Kernel-Boot-Optionen. Zum Beispiel:

title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp)
root (hd0,0)
kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0
initrd /initrd-2.6.9-42.ELsmp.img

Starten Sie den Server neu.

# shutdown -r now

Neustart beim Ändern des Modus erzwingen

Wir können einen Neustart erzwingen, wenn wir den Selinux-Modus ändern:

# setsebool secure_mode_policyload on

CentOS / RHEL 7:So erstellen und entfernen Sie die LVM-Spiegelungen mit lvconvert

RHEL 7 – RHCSA-Hinweise – Erstellen und Verwalten von Zugriffssteuerungslisten (ACLs)

Cent OS

Legen Sie den SELinux-Erzwingungsmodus mit Ansible fest

Samba-Server auf CentOS 8/RHEL 8 für die Dateifreigabe einrichten

RHEL 7 – RHCSA-Hinweise:Lokale Benutzerkonten erstellen, löschen und ändern

RHEL 7 – RHCSA Hinweise:Konfigurieren Sie ein System für die Verwendung von Zeitdiensten

Was sind SELinux-Modi und wie werden sie eingestellt?

So legen Sie children-max für den udev-Dienst in CentOS/RHEL 7 fest