Security-Enhanced Linux, lépe známý jako SELinux, je tu již nějakou dobu – a z dobrého důvodu. Původně vyvinutý National Security Agency, je součástí open source komunity od roku 2000 a součástí linuxového jádra od roku 2003. SELinux pomáhá administrátorům mít přehled o tom, jak mohou různé části systému Linux provádět akce s jemnými detaily ovládací prvky.
Základní funkce
Stručně řečeno, SELinux používá databázi zásad ke schválení nebo zabránění přístupu k souborům, aplikacím nebo procesům v daném systému. Aplikace a procesy jsou definovány jako předměty které následně požadují přístup k souborům (známým jako objekty ). Rozhodnutí je učiněno na základě zásad a oprávnění uložených v AVC (access vector cache).
Rychlé přepínače
Co se stane, když potřebujete použít službu, která je blokována jednou z těchto zásad? Předefinování politiky může být vzhledem ke kontextu zbytečné. Zde na scénu vstupují booleovci. Boolean je v podstatě přepínač, který umožňuje změny zásad za běhu pro konkrétní oblasti v rámci SELinuxu. Tyto booleovské hodnoty jsou řetězce, které nám umožňují provádět změny na mikroúrovni v aktivně vynucované politice.
[ Také by se vám mohlo líbit: 5 tipů, jak začít se zabezpečením serveru Linux ]
Jaké logické hodnoty jsou k dispozici?
Chcete-li zobrazit seznam dostupných booleovských hodnot, můžete použít getsebool -a . Tento příkaz může spustit každý uživatel.
[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted... Co to znamenají?
K dispozici je zde obrovské množství dostupných přepínačů. Jak můžete vidět ve výše uvedeném seznamu, funkce některých booleovských přepínačů není zcela zřejmá. Můžete použít semanage boolean -l | grep boolean_name_string vypsat trochu více informací o daném booleovském parametru.
POZNÁMKA :Ke spuštění semanage potřebujete oprávnění správce příkazy.
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write (off , off) Allow cobbler to anon write
cobbler_can_network_connect (off , off) Allow cobbler to can network connect
cobbler_use_cifs (off , off) Allow cobbler to use cifs
cobbler_use_nfs (off , off) Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off , off) Allow httpd to can network connect cobbler
httpd_serve_cobbler_files (off , off) Allow httpd to serve cobbler files Výše můžete vidět, že se díváme na všechny Booleany zabývající se ševcem. Zleva doprava vidíme booleovský řetězec, aktuální a výchozí nastavení a krátký popis přepínače.
Povolit/zakázat logické hodnoty
Chcete-li provést změny stavu daného přepínače, použijeme následující příkaz:setsebool boolean_name_string on (off ). Například:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (on , off) Allow cobbler to anon write Chcete-li nastavení deaktivovat, stačí změnit možnost na konci:
[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write (off , off) Allow cobbler to anon write
Je třeba uvést, že booleovské změny ve výchozím nastavení nepřetrvají po restartování. Chcete-li provést trvalou změnu, přidejte -P možnost do syntaxe vašeho příkazu.
[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on [ Chcete se dozvědět více o zabezpečení? Podívejte se na kontrolní seznam zabezpečení IT a dodržování předpisů. ]
Další informace?
Pokud potřebujete další informace o možnostech SELinux nebo Boolean, podívejte se na manuálové stránky SELinuxu pro booleany, getebool, setsebool, semanage, semanage-booleans a související témata.
[ Vyzkoušejte zdarma Red Hat Enterprise Linux, operační systém s podporou SELinux. ]