GNU/Linux >> Znalost Linux >  >> Cent OS

RHEL 7 – Poznámky RHCSA – Nastavte režimy vynucení a povolení pro SELinux

RHEL 7 – RHCSA Notes (Cheat Sheets)

Režimy SELinux

SELinux poskytuje další vrstvu zabezpečení zdrojům v systému. Poskytuje MAC (povinné řízení přístupu) na rozdíl od DAC (Discretionary access control). Než se ponoříme do nastavení režimů SELinux, podívejme se, jaké jsou různé provozní režimy SELinuxu a jak fungují. SELinux může pracovat v kterémkoli ze 3 režimů:

1. Vynuceno :Akce v rozporu se zásadami jsou blokovány a odpovídající událost je zaznamenána do protokolu auditu.
2. Permisivní :Akce v rozporu se zásadami se zaznamenávají pouze do protokolu auditu.
3. Zakázáno :SELinux je zcela deaktivován.

Konfigurační soubor

Konfigurační soubor SELinux /etc/selinux/config :

# cat  /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Přepínání režimů SELinux (dočasně)

K dočasnému přepínání mezi režimy SELinux můžeme použít příkaz setenforce, jak je ukázáno níže:

# setenforce [ Enforcing | Permissive | 1 | 0 ]

0 –> Povolená
1 –> Vynucování

Ověřte aktuální režim SELinux:

# getenforce
Enforcing

nebo můžeme také použít příkaz sestatus k získání podrobného stavu:

# sestatus
SELinux status:                 enabled         
SELinuxfs mount:                /selinux        --> virtual FS similar to /proc
Current mode:                   enforcing       --> current mode of operation 
Mode from config file:          permissive      --> mode set in the /etc/sysconfig/selinux file.
Policy version:                 24
Policy from config file:        targeted

Přepínání režimů SELinux (trvale) [vyžaduje restartování]

Režim SELinux lze trvale nastavit pomocí jedné z níže uvedených metod:
1. editaci souboru /etc/selinux/config
2. úpravy možností spouštění jádra

1. editaci souboru /etc/selinux/config

chcete-li nastavit SELinux na permisivní, nastavte níže uvedený řádek v souboru /etc/selinux/config na:

vi /etc/selinux/config
....
SELINUX=permissive
...

Podobně lze režim nastavit na vynucení/vypnutí nastavením režimu na stejném řádku.

2. editace možností spouštění jádra

Upravte zaváděcí řádek jádra a přidejte enforced=0 k možnostem spouštění jádra. Například:

title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp)
root (hd0,0)
kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0
initrd /initrd-2.6.9-42.ELsmp.img

Restartujte server.

# shutdown -r now

Vynucení restartu při změně režimu

Můžeme vynutit restart při změně režimu selinux:

# setsebool secure_mode_policyload on


Cent OS

  1. Nastavte režim vynucení SELinux pomocí Ansible

  2. RHEL 7 – RHCSA Notes (Cheat Sheets)

  3. RHEL 7 – RHCSA Notes – přesměrování vstupu / výstupu

  1. RHEL 7 – RHCSA Poznámky:Změňte hesla a upravte stárnutí hesel pro místní uživatelské účty

  2. RHEL 7 – Poznámky RHCSA:Vytvářejte, mažte a upravujte místní skupiny a členství ve skupinách.

  3. RHEL 7 – Poznámky RHCSA:Vytvářejte, mažte a upravujte místní uživatelské účty

  1. RHEL 7 – RHCSA Poznámky:Nakonfigurujte systém pro používání časových služeb

  2. RHEL 7 – RHCSA Poznámky:Vytvářejte pevné a měkké vazby.

  3. Jak nainstalovat a nakonfigurovat „setroubleshootd“ na CentOS/RHEL