SELinux (Security Enhanced Linux) je bezpečnostní protokol pro správce Linuxu, který jim umožňuje získat větší kontrolu. Protokol SELinux jim umožňuje vynutit zásady zdrojů, které představují, kolik přístupu má program nebo kterýkoli uživatel. Tento SELinux je podporován několika příkazy, které automatizují úlohu správce. V tomto článku bychom poskytli vysvětlení a provedení všech základních příkazů SELinuxu, které běžný uživatel může potřebovat znát.
Jaké jsou základní příkazy SELinuxu?
Tato část obsahuje nejpoužívanější a základní příkazy SELinuxu. Primárním krokem je tedy spuštění terminálu a zahájení provádění těchto příkazů.
Zkontrolujte stav SELinux
Přestože je SELinux ve výchozím nastavení povolen, doporučujeme ověřit stav, abyste předešli případným nepříjemnostem. Pokud je služba zakázána nebo zastavena, nebude možné tento nástroj použít.
– stav
Příkaz sestatus SELinuxu poskytuje podrobné informace o stavu SELinuxu. Níže napsaný příkaz zkontroluje stav SELinuxu.
Jak je vidět z výstupu, SELinux je povolen.
$ sestatus
– getenforce
Tento příkaz také poskytuje informace o stavu; jeho výstup je však pouze jedno slovo a to může být buď vynucování nebo permisivní . Výchozí stav je vynucování, který odkazuje na povolený stav, a pokud výstup vrátí permisivní, znamená to, že služba nefunguje. Chcete-li zkontrolovat jeho stav, zadejte následující příkaz.
Poznámka: Permisivní výstup ukazuje, že SELinux je povolen, ale není vynucován pravidly zásad SELinux. Vynucování však znamená, že pravidla SELinuxu jsou dodržována.
$ getenforce
Změna stavu SELinux
Chcete-li změnit stav SELinuxu, můžete použít příkaz setenforce.
Poznámka: Je třeba si všimnout, že příkaz setenforce dočasně manipuluje se stavem. Chcete-li to provést trvale, musíte vstoupit do konfiguračního souboru SELinuxu a provést trvalé změny.
– setenforce
Příkaz setenforce v SELinux přijímá hodnotu 0 nebo 1 .Kde 0 označuje permisivní režim a 1 mění aktuální režim na permisivní režim.
Níže popsaný příkaz změní stav SELinuxu na vynucovací režim (ale dočasně).
$ sudo setenforce 1
A stav můžete změnit na Povolný pomocí následujícího příkazu.
$ sudo setenforce 0
Správa logických hodnot SELinux
Booleovské přiřazení k SELinuxu lze spravovat dvěma příkazy. getsebool příkaz vám umožní získat všechny SELinux Boolean najednou nebo jeden po druhém. A setsebool příkaz lze použít k nastavení booleovské hodnoty SELinuxu. getsebool příkaz v Linuxu lze použít k získání Boolean přidruženého k SELinuxu.
– getebool
Chcete-li získat všechny booleovské hodnoty v SELinuxu, getsebool příkaz se používá s -a příznak, jak je uvedeno níže.
Budete pozorovat buď zapnuto nebo vypnuto hodnoty:
$ getsebool -a 
Hodnotu konkrétního booleanu však můžete získat zadáním jeho názvu. Příkazy napsané níže získají hodnotu jednoho booleovského pojmenování allow_kerberos.
$ getsebool allow_kerberos
– setsebool
Příkaz setsebool se používá k nastavení aktuálního stavu SELinux Boolean na danou hodnotu. Tento příkaz lze také použít na sadu SELinux Boolean.
Řekněme, že získáme aktuální stav allow_execmod pomocí getsebool příkaz.
$ getsebool allow_execmod
A změníme aktuální stav vypnuto do na pomocí setsebool příkaz, jak je uvedeno níže.
$ sudo setsebool allow_execmod on
Nebo můžete nahradit vypnuto a zapnuto klíčová slova s 0 a 1 respektive změnit stav SELinux Boolean.
Poznámka: Ujistěte se, že spouštíte příkazy setstatus, setsebool, semanage pomocí oprávnění root.
Správa zásad SELinux
správa poskytují rozsáhlou podporu pro správu více operací v SELinuxu. Tato část obsahuje příklady několika nejpoužívanějších příkazů semanage.
– správa uživatele
Aktuální uživatele SELinuxu můžete vypsat pomocí příkazu napsaného níže.
$ sudo semanage user -l 
– modul správy
S moduly SELinux se manipuluje pomocí modulu semanage ovládání nástroje pro správu. Nejprve získejte seznam modulů pomocí následujícího příkazu.
$ sudo semanage module -l
Jakýkoli modul můžete deaktivovat pomocí -d vlajka tohoto modulu správy. Chcete-li tak učinit, musíte dodržet syntaxi uvedenou zde:
$ semanage module -d <module-name>Chcete-li jej znovu povolit, stiskněte -e možnost, jak je uvedeno níže.
$ semanage module -e <module-name>– port pro správu
Chcete-li získat seznam portů SELinuxu, použijte příkaz semanage, jak je uvedeno níže. Výstup obsahuje tři sloupce, první zobrazuje typ portu, druhý sloupec ukazuje protokol následovaný každým portem a poslední sloupce představují čísla portů.
$ sudo semanage port -l 
Můžete také vytvořit nový port. Podobně jako níže uvedený příkaz přidá nový port s následujícími hodnotami.
- typ portu je reprezentován t v příkazu a je mu přiřazena hodnota http_port_t
- Značka -p zde použitý příznak představuje protokol a je nastaven na tcp
- A na konci je zadáno číslo portu a je nastaveno na 2222.
Zatímco -a příznak se zde používá k nasměrování příkazu k přidání nového portu.
$ sudo semanage port -a -t http_port_t -p tcp 2222
Bonusový tip
Zde pro vás máme bonusový tip, který vám jistě pomůže, pokud SELinux používáte pravidelně. Tak, pojďme do toho,
Trvalá změna stavu SELinux
V případě, že chcete změnit stav SELinuxu trvale, musíte se dostat do konfiguračního souboru SELinuxu, který je umístěn v /etc/selinux/config. Níže napsaný příkaz otevře soubor v nano editoru.
$ sudo nano /etc/selinux/config 
Při otevírání souboru uvidíte řádek <SELINUX=permisivní>; musíte změnit hodnotu a nahradit permisivní s zakázaným nebo vynucování (jakýkoli stav chcete). Po provedení změny stiskněte „Ctrl+S ” pro uložení změn a opuštění souboru stisknutím „Ctrl+X “.
Chcete-li provést změny, musíte restartovat systém. Po restartu se stav změní tak, jak je uvedeno.
Závěr
SELinux má rozsáhlý seznam příkazů, které uživatelům usnadňují způsob, jak získat kontrolu nad přístupností několika aplikací/uživatelů. Tento článek uvádí nejdůležitější příkazy SELinuxu, které musíte znát. Zde napsané příkazy lze použít pro několik účelů souvisejících se SELinuxem. Jako od kontroly/změny stavu SELinuxu po manipulaci s konfiguračním nastavením.