Phenquestions
Napomena: Sve naredbe navedene u nastavku izvršene su u CentOS 8. Međutim, ako želite koristiti bilo koju drugu distribuciju Linuxa, to također možete učiniti vrlo povoljno.
Osnovne SELinux naredbe
Postoje neke osnovne naredbe koje se vrlo često koriste sa SELinuxom. U sljedećim odjeljcima prvo ćemo navesti svaku naredbu, a zatim ćemo pružiti primjere koji će vam pokazati kako koristiti svaku naredbu.
Provjera SELinux statusa
Nakon pokretanja terminala u CentOS 8, pretpostavimo da bismo željeli ispitati status SELinux-a, tj.e., željeli bismo utvrditi je li SELinux omogućen u CentOS 8. Status SELinuxa u CentOS 8 možemo vidjeti izvršavanjem sljedeće naredbe u terminalu:
$ sestatus
Pokretanje ove naredbe reći će nam je li SELinux omogućen u CentOS 8. SELinux je omogućen u našem sustavu, a ovaj status možete vidjeti na slici ispod:
Promjena SELinux statusa
SELinux je uvijek omogućen prema zadanim postavkama u sustavima koji se temelje na Linuxu. Međutim, ako želite isključiti ili onemogućiti SELinux, to možete učiniti podešavanjem SELinux konfiguracijske datoteke na sljedeći način:
$ sudo nano / etc / selinux / config
Kada se izvrši ova naredba, otvorit će se SELinux konfiguracijska datoteka s nano uređivačem, kao što je prikazano na donjoj slici:
Sada morate pronaći SELinux varijablu u ovoj datoteci i promijeniti njezinu vrijednost iz "Provođenje" u "Onemogućeno". Nakon toga pritisnite Ctrl + X da biste spremili SELinux konfiguracijsku datoteku i vratili se na terminal.
Kada ponovo provjerite status SELinux-a pokretanjem gornje naredbe "sestatus", status u konfiguracijskoj datoteci promijenit će se u "Disabled", dok će trenutni status i dalje biti "Enabled", kao što je označeno na sljedećoj slici:
Stoga, da biste izvršili svoje promjene u potpunosti, morat ćete ponovno pokrenuti svoj CentOS 8 sustav izvođenjem sljedeće naredbe:
$ sudo shutdown -r sada
Nakon ponovnog pokretanja sustava, kad ponovno provjerite status SELinux-a, SELinux će biti onemogućen.
Provjera SELinux načina rada
SELinux je omogućen prema zadanim postavkama i radi u načinu "Provođenje", što je njegov zadani način. To možete utvrditi pokretanjem naredbe “sestatus” ili otvaranjem SELinux konfiguracijske datoteke. To se također može provjeriti pokretanjem naredbe u nastavku:
$ getenforce
Nakon izvršavanja gornje naredbe, vidjet ćete da SELinux radi u načinu „Provođenje“:
Promjena SELinux načina rada
Uvijek možete promijeniti zadani način rada SELinux-a iz "Primjenjivanje" u "Permisive".”Da biste to učinili, morate upotrijebiti naredbu“ setenforce ”na sljedeći način:
$ sudo setenforce 0
Kada se koristi s naredbom “setenforce”, zastavica “0” mijenja način rada SELinux-a iz “Enforcing” u “Permissive.”Možete provjeriti je li promijenjen zadani način ponovnim pokretanjem naredbe“ getenforce ”i vidjet ćete da je SELinux način rada postavljen na“ Permissive ”, kao što je istaknuto na donjoj slici:
Pregled modula SELinux politike
Također možete pregledati module SELinux politike koji su trenutno pokrenuti na vašem CentOS 8 sustavu. Moduli pravila SELinux-a mogu se pregledati izvođenjem sljedeće naredbe u terminalu:
$ sudo semodule -l
Izvršenjem ove naredbe prikazat će se svi trenutno pokrenuti SELinux moduli pravila u vašem terminalu, kao što je prikazano na donjoj slici. Da biste pristupili cijelom popisu, možete se pomicati gore ili dolje.
Generiranje izvješća SELinux revizije
U bilo kojem trenutku, možete generirati izvješće iz SELinux dnevnika revizije. Ovo će izvješće sadržavati sve informacije u vezi s bilo kojim potencijalnim događajem koji je blokirao SELinux, kao i kako možete dopustiti blokirane događaje ako je potrebno. Ovo se izvješće može generirati pokretanjem sljedeće naredbe u terminalu:
$ sudo sealert -a / var / log / audit / audit.zapisnik
U našem slučaju, budući da se nije odvijala sumnjiva aktivnost, zato je naše izvješće bilo vrlo precizno i nije generiralo upozorenja, kao što je prikazano na donjoj slici:
Pregled i promjena SELinux-ove logičke vrijednosti
Postoje određene varijable SELinuxa čija vrijednost može biti "uključena" ili "isključena".”Takve su varijable poznate kao SELinux Boolean. Da biste pregledali sve SELinux logičke varijable, upotrijebite naredbu "getsebool" na sljedeći način:
$ sudo getsebool -a
Izvršavanjem ove naredbe prikazat će se dugački popis svih varijabli SELinuxa čija vrijednost može biti "uključena" ili "isključena", kao što je prikazano na donjoj slici:
Najbolja stvar kod SELinux Boolean-a je da čak i nakon promjene vrijednosti ovih varijabli ne morate ponovno pokretati svoj SELinux mehanizam; nego ove promjene stupaju na snagu odmah i automatski.
Sada bismo vam željeli pokazati metodu promjene vrijednosti bilo koje logičke varijable SELinux. Već smo odabrali varijablu, kao što je istaknuto na slici prikazanoj gore, čija je vrijednost trenutno „isključena“."Ovu vrijednost možemo prebaciti na" on "pokretanjem sljedeće naredbe u našem terminalu:
$ sudo setsebool -P xen_use_nfs UKLJUČENOOvdje možete zamijeniti xen_use_nfs bilo kojim SELinux-ovim logičkim logičkim prikazom po vašem izboru čiju vrijednost želite promijeniti.
Nakon pokretanja gornje naredbe, kada ponovo pokrenete naredbu "getsebool" da biste pregledali sve SELinux logičke varijable, moći ćete vidjeti da je vrijednost xen_use_nfs postavljena na "on", kao što je istaknuto na slici ispod:
Zaključak
U ovom smo članku razgovarali o svim osnovnim SELinux naredbama u CentOS 8. Te se naredbe koriste prilično često tijekom interakcije s ovim sigurnosnim mehanizmom SELinuxa. Stoga se ove naredbe smatraju izuzetno korisnima.
