Pochopení SELinux Booleans

Danou zásadu SELinux lze přizpůsobit povolením nebo zakázáním sady booleanů zásad. Booleans umožňují měnit části zásad SELinuxu za běhu, bez znalosti psaní zásad SELinuxu. To umožňuje změny bez opětovného načítání nebo rekompilace zásad SELinux.

Tento seznam můžete zobrazit z příkazového řádku pomocí následujícího příkazu:

# semanage boolean -l
SELinux boolean                State  Default Description

privoxy_connect_any            (on   ,   on)  Allow privoxy to connect any
smartmon_3ware                 (off  ,  off)  Allow smartmon to 3ware
mpd_enable_homedirs            (off  ,  off)  Allow mpd to enable homedirs
xdm_sysadm_login               (off  ,  off)  Allow xdm to sysadm login
xen_use_nfs                    (off  ,  off)  Allow xen to use nfs
....

V ukázkovém výpisu xen_use_nfs Boolean je vypnuto , který zabraňuje xenu používat nfs.

getsebool a nástroje setsebool

Zobrazení booleovských hodnot

K výpisu booleovských hodnot můžete také použít příkaz getebool. Tento příkaz zobrazí stavy, ale žádné popisy. Chcete-li zobrazit všechny logické hodnoty a jejich stavy:

# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
....

Zahrňte booleovský název jako argument pro zobrazení stavu konkrétního logického kódu. Je také povoleno více logických argumentů:

# getsebool xen_use_nfs allow_ftpd_use_nfs mozilla_read_content
xen_use_nfs --> off
ftpd_use_nfs --> off
mozilla_read_content --> off

Nastavení logických hodnot

Pomocí příkazu setsebool nakonfigurujte booleovské hodnoty z příkazového řádku. Syntaxe je:

# setsebool [Boolean] on|off

Například následující posloupnost příkazů zobrazí aktuální stav booleanu, poté mu umožní povolit démonu syslogd posílat poštu a poté znovu zobrazí stav:

# getsebool xen_use_nfs 
xen_use_nfs --> off

# setsebool xen_use_nfs on

# getsebool xen_use_nfs 
xen_use_nfs --> on

Chcete-li, aby změna trvala i po restartování, použijte volbu –P:

# setsebool –P xen_use_nfs on

adresář /sys/fs/selinux

Hodnotu Booleans můžete také zobrazit a změnit v adresáři /sys/fs/selinux. Booleovské soubory jsou uloženy v adresáři /sys/fs/selinux/booleans:

# ls /sys/fs/selinux/booleans
abrt_anon_write                        mpd_use_cifs
abrt_handle_event                      mpd_use_nfs
abrt_upload_watch_anon_write           mplayer_execstack
antivirus_can_scan_system              mysql_connect_any
...

Chcete-li zobrazit hodnotu konkrétní logické hodnoty:

# cat /sys/fs/selinux/booleans/xen_use_nfs 
1   1

Hodnota 1 znamená, že logická hodnota je zapnutá, zatímco 0 znamená vypnuto. První číslo udává aktuální hodnotu logické hodnoty. Druhé číslo představuje nevyřízenou hodnotu logické hodnoty. Chcete-li zapnout logickou hodnotu ftpd_anon_write:

# echo 1 > /sys/fs/selinux/booleans/ftpd_anon_write

Zobrazení obsahu souboru:

# cat /sys/fs/selinux/booleans/ftpd_anon_write
0   1

Chcete-li potvrdit novou hodnotu:

# echo 1 > /sys/fs/selinux/commit_pending_bools

Hodnota se nyní změnila:

# cat /sys/fs/selinux/booleans/ftpd_anon_write 
1   1

# getsebool ftpd_anon_write
ftpd_anon_write --> on

Pochopení zásad SELinux v Linuxu
Co jsou režimy SELinux a jak je nastavit