SELinux-Modi
SELinux verleiht den Ressourcen im System diese zusätzliche Sicherheitsebene. Es bietet im Gegensatz zum DAC (Discretionary Access Control) die MAC (Mandatory Access Control). Bevor wir in die Einstellung der SELinux-Modi eintauchen, lassen Sie uns sehen, was die verschiedenen SELinux-Betriebsmodi sind und wie sie funktionieren. SELinux kann in jedem der 3 Modi betrieben werden:
1. Erzwungen :Aktionen, die der Richtlinie zuwiderlaufen, werden blockiert und ein entsprechendes Ereignis wird im Audit-Log protokolliert.
2. Zulässig :Richtlinienwidrige Aktionen werden nur im Audit-Log protokolliert.
3. Deaktiviert :SELinux ist vollständig deaktiviert.
Vorübergehendes Umschalten der SELinux-Modi
Um vorübergehend zwischen den SELinux-Modi zu wechseln, können wir den Befehl setenforce wie unten gezeigt verwenden:
# setenforce [ Enforcing | Permissive | 1 | 0 ]
0 –> Erlaubt
1 –> Erzwingt
Oder Sie können die Werte einfach in die Pseudodatei echoen – /sys/fs/selinux/enforce oder /selinux/enforce .
# echo [0|1] > /sys/fs/selinux/enforce
So prüfen Sie den aktuellen Modus von SELinux:
# getenforce Enforcing
oder wir können auch den sestatus-Befehl verwenden, um einen detaillierten Status zu erhalten:
# sestatus SELinux status: enabled SELinuxfs mount: /selinux --> virtual FS similar to /proc Current mode: enforcing --> current mode of operation Mode from config file: permissive --> mode set in the /etc/sysconfig/selinux file. Policy version: 24 Policy from config file: targeted
Den SELinux-Modus dauerhaft ändern
Verwendung der Datei /etc/sysconfig/selinux
Eine Möglichkeit, den SELinux-Modus dauerhaft entweder auf Enforcing oder Permissive zu ändern, besteht darin, die Datei /etc/sysconfig/selinux zu bearbeiten und den SELINUX-Parameterwert entweder auf Enforcing oder Permissive zu setzen.
# ls -l /etc/sysconfig/selinux lrwxrwxrwx. 1 root root 17 Mar 2 13:03 /etc/sysconfig/selinux -> ../selinux/config
# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Bearbeiten Sie diese Datei und starten Sie das System neu, damit die Änderungen wirksam werden.
Verwenden der Kernel-Startparameter
Wir können auch den Kernel-Boot-Parameter beim Booten verwenden, um den SELinux-Modus einzustellen. Bearbeiten Sie dazu die /etc/grub.conf Datei und fügen Sie die Option “selinux=1 enforcing=[0|1]“ hinzu zu den Bootparametern.
# cat /etc/grub.conf ........ root (hd0,0) kernel /vmlinuz-2.6.32-279.el6.x86_64 root=/dev/md3 selinux=1 enforcing=0 initrd /initramfs-2.6.32-279.el6.x86_64.img .........
selinux=1 –> SELinux aktivieren
enforcing=0 –> Erlaubnismodus
enforcing=1 –> Erzwingungsmodus
SELinux deaktivieren
Manchmal, wenn Sie mit den Funktionen von SELinux nicht gut vertraut sind, ist es besser, sie zu deaktivieren. Wir können SELinux nicht ohne einen Neustart deaktivieren. Eine alternative Möglichkeit wäre – SELinux in den Permissive-Modus zu versetzen. Um SELinux vollständig zu deaktivieren, bearbeiten Sie die Konfigurationsdatei /etc/sysconfig/selinux oder die /etc/selinux/config Dies ist ein Softlink zur Datei /etc/sysconfig/selinux.
# ls -l /etc/sysconfig/selinux lrwxrwxrwx. 1 root root 17 Mar 2 13:03 /etc/sysconfig/selinux -> ../selinux/config
# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Bearbeiten Sie diese Datei und starten Sie das System neu, damit die Änderungen wirksam werden.
Kernel-Startparameter verwenden, um SELinux zu deaktivieren
Eine andere Möglichkeit, SELinux dauerhaft zu deaktivieren, besteht darin, die Kernel-Boot-Parameter zu bearbeiten. Bearbeiten Sie die Datei /etc/grub.conf und fügen Sie die Option selinux=0 zur Bootoption hinzu, um SELinux beim Booten zu deaktivieren. In diesem Fall werden die Einstellungen in /etc/sysconfig/selinux ignoriert.
# cat /etc/grub.conf ........ root (hd0,0) kernel /vmlinuz-2.6.32-279.el6.x86_64 root=/dev/md3 selinux=0 initrd /initramfs-2.6.32-279.el6.x86_64.img .........