GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Legen Sie den SELinux-Erzwingungsmodus mit Ansible fest

Es wird empfohlen sicherzustellen, dass Security-Enhanced Linux (SELinux) unter Enforcing ausgeführt wird Modus auf allen Ihren Systemen. Einige Personen in Ihrer Organisation können es jedoch auf zulässig setzen Modus (oder noch schlimmer, deaktiviert). ) statt der Fehlerbehebung und Behebung von Problemen. Sie müssen es wieder in den Erzwingungsmodus zurücksetzen und sicherstellen, dass alle Hosts ähnlich konfiguriert sind. Ansible ist Ihre Lösung.

[ Das könnte Ihnen auch gefallen: Zugriff auf die SELinux-Richtliniendokumentation ]

Verwenden Sie Ansible, um den Erzwingungsmodus festzulegen

Das folgende Playbook aktiviert SELinux und verwendet den enthaltenen targeted Richtlinie:

---
- hosts: all
  tasks:
  - name: Enable SELinux in enforcing mode
    ansible.posix.selinux:
      policy: targeted
      state: enforcing

Damit dieses Playbook funktioniert, muss das Paket ansible-collection-ansible-posix installiert sein. Sie können es über Ihren Paketmanager installieren. Zum Beispiel unter Fedora oder Red Hat Enterprise Linux:

$ sudo dnf install ansible-collection-ansible-posix

Nennen Sie dieses Playbook selinux_enforcing.yml. Der folgende Cronjob aus /etc/crontab führt dieses Playbook einmal täglich um 6:45 Uhr aus:

# /etc/crontab: system-wide crontab
 
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
 

45 6 * * * root ansible-playbook selinux_enforcing.yml

Sie können jetzt sicher sein, dass die SELinux-Modi auf Erzwingen zurückgesetzt werden auf allen verwalteten Knoten, auf die dieses Playbook angewendet wird.

Abschluss

Es kann zwar nützlich sein, SELinux vorübergehend auf zulässig zu setzen Modus für die anfängliche Fehlerbehebung verwenden, verstößt dies wahrscheinlich gegen Ihre Unternehmenssicherheitsrichtlinien. Manchmal lassen Administratoren absichtlich oder versehentlich den zulässigen Modus aktiviert. Sie können Ansible verwenden, um sicherzustellen, dass SELinux für alle verwalteten Knoten auf den Erzwingungsmodus eingestellt ist.

[ Verbessern Sie Ihre Fähigkeiten in der Verwaltung und Verwendung von SELinux mit diesem hilfreichen Leitfaden. ] 


Linux

  1. Richten Sie ZFS unter Linux mit yum ein

  2. Vier Semanage-Befehle, um SELinux im Erzwingungsmodus zu halten

  3. Ich erneuere meinen Nervenkitzel bei der Arbeit mit Ansible

  4. Wie stellt man das Datum im Epochenformat ein?

  5. Setzen Sie die Mount-Option für einen bestimmten Mount-Punkt mit Ansible

Erste Schritte mit LibreCAD

So arbeiten Sie mit Ansible Provisioner in Vagrant

So richten Sie eine Firewall mit GUFW unter Linux ein

Arbeiten mit dem Vim-Editor (Text-Editor)

So installieren und konfigurieren Sie WordPress mit Ansible

Dateien mit gesetzten ACLs finden