Miten SELinux asetetaan sallittuun tilaan?

How Do I Set Selinux Permissive Mode

SELinux tai Security-Enhanced Linux eli Linux-pohjaisten järjestelmien turvamekanismi toimii oletuksena pakollisella pääsynhallinnalla (MAC). Tämän pääsynvalvontamallin toteuttamiseksi SELinux käyttää tietoturvakäytäntöä, jossa kaikki kulunvalvontaa koskevat säännöt on nimenomaisesti mainittu. Näiden sääntöjen perusteella SELinux tekee päätöksiä minkä tahansa objektin käyttöoikeuden myöntämisestä tai epäämisestä käyttäjälle.

Tämän päivän artikkelissa haluamme jakaa kanssasi menetelmät SELinuxin asettamiseksi sallittuun tilaan sen jälkeen, kun olet tutustunut sen tärkeisiin yksityiskohtiin.

Mikä on SELinuxin sallittu tila?

Salliva tila on myös yksi kolmesta tilasta, joissa SELinux toimii, eli pakottaminen, salliminen ja käytöstä poistaminen. Nämä ovat SELinux -tilojen kolme erityistä luokkaa, kun taas yleisesti ottaen voimme sanoa, että SELinux on missä tahansa tapauksessa joko käytössä tai pois käytöstä. Pakottavat ja sallivat tilat kuuluvat Enabled -luokkaan. Toisin sanoen se tarkoittaa, että aina kun SELinux on käytössä, se toimii joko pakotus- tai sallivassa tilassa.



Siksi useimmat käyttäjät hämmentyvät pakottavien ja sallittujen tilojen välillä, koska loppujen lopuksi molemmat kuuluvat Enabled -luokkaan. Haluamme tehdä selvän eron näiden kahden välillä määrittelemällä ensin niiden tarkoitukset ja yhdistämällä ne sitten esimerkkiin. Enforcing -tila toimii toteuttamalla kaikki SELinux -suojauskäytännön säännöt. Se estää kaikkien niiden käyttäjien pääsyn, joilla ei ole pääsyä tietyn suojauskäytännön objektin käyttöön. Lisäksi tämä toiminta kirjataan myös SELinux -lokitiedostoon.



Toisaalta Salliva tila ei estä ei -toivottua pääsyä, vaan vain tallentaa kaikki tällaiset toiminnot lokitiedostoon. Siksi tätä tilaa käytetään enimmäkseen virheiden seurantaan, tarkastamiseen ja uusien suojauskäytäntöjen lisäämiseen. Tarkastellaan nyt esimerkkiä käyttäjästä A, joka haluaa käyttää ABC -nimistä hakemistoa. SELinux -suojauskäytännössä mainitaan, että käyttäjältä A evätään aina pääsy hakemistoon ABC.

Jos SELinux on nyt käytössä ja se toimii pakotustilassa, aina kun käyttäjä A yrittää päästä hakemistoon ABC, pääsy evätään ja tämä tapahtuma tallennetaan lokitiedostoon. Toisaalta, jos SELinux toimii sallivassa tilassa, käyttäjä A saa käyttää hakemistoa ABC, mutta silti tämä tapahtuma tallennetaan lokitiedostoon, jotta järjestelmänvalvoja voi tietää, missä tietoturvaloukkaus on tapahtui.

Menetelmät SELinuxin asettamiseksi sallittuun tilaan CentOS 8: ssa

Nyt kun olemme täysin ymmärtäneet SELinuxin sallitun tilan tarkoituksen, voimme helposti puhua menetelmistä, joilla SELinux asetetaan sallittuun tilaan CentOS 8: ssa. Ennen kuin jatkat näihin menetelmiin, on kuitenkin aina hyvä tarkistaa oletustila SELinuxista suorittamalla seuraava komento päätelaitteessasi:



$sestatus

SELinuxin oletustila on korostettu alla olevassa kuvassa:

Menetelmä SELinuxin väliaikaiseksi asettamiseksi sallittuun tilaan CentOS 8: ssa

Kun asetamme SELinuxin tilapäisesti sallittuun tilaan, tarkoitamme, että tämä tila otetaan käyttöön vain nykyiselle istunnolle ja heti kun käynnistät järjestelmän uudelleen, SELinux palaa oletuskäyttötilaansa, eli pakotustilaan. Jos haluat asettaa SELinuxin tilapäisesti sallittuun tilaan, sinun on suoritettava seuraava komento CentOS 8 -päätteessä:

$sudosetenforce0

Kun asetamme setenforce -lipun arvoksi 0, muutamme olennaisesti sen arvoksi Permissive Enforcing. Tämän komennon suorittaminen ei näytä mitään tulosta, kuten voit nähdä alla olevasta kuvasta.

Varmistaaksemme, onko SELinux asetettu Sallittu -tilaan CentOS 8: ssa vai ei, suoritamme seuraavan komennon päätelaitteessa:

$getenforce

Tämän komennon suorittaminen palauttaa SELinuxin nykyisen tilan ja on sallittu, kuten alla olevassa kuvassa on korostettu. Heti kun käynnistät järjestelmän uudelleen, SELinux palaa pakotustilaan.

Menetelmä SELinuxin pysyväksi asettamiseksi sallittuun tilaan CentOS 8: ssa

Olemme jo todenneet menetelmässä 1, että edellä mainitun menetelmän noudattaminen asettaa SELinuxin vain tilapäisesti sallittuun tilaan. Jos kuitenkin haluat näiden muutosten tapahtuvan myös järjestelmän uudelleenkäynnistyksen jälkeen, sinun on käytettävä SELinux -määritystiedostoa seuraavalla tavalla:

$sudo nano /jne/selinux/config

SELinux -määritystiedosto näkyy alla olevassa kuvassa:

Nyt sinun on asetettava SELinux -muuttujan arvo sallittavaksi, kuten seuraavassa kuvassa on korostettu, minkä jälkeen voit tallentaa ja sulkea tiedoston.

Nyt sinun on tarkistettava SELinux -tila uudelleen ja selvitettävä, onko sen tila muutettu sallivaksi vai ei. Voit tehdä tämän suorittamalla seuraavan komennon päätelaitteessasi:

$sestatus

Alla olevan kuvan korostetusta osasta näet, että tällä hetkellä vain kokoonpanotiedoston tila muutetaan sallivaksi, kun taas nykyinen tila on edelleen pakottava.

Jotta muutokset tulevat voimaan, käynnistämme CentOS 8 -järjestelmän uudelleen käynnistämällä seuraavan komennon terminaalissa:

$sudosammutus - r nyt

Kun olet käynnistänyt järjestelmän uudelleen, kun tarkistat SELinux -tilan uudelleen sestatus -komennolla, huomaat, että myös nykyinen tila on asetettu sallivaksi.

Johtopäätös:

Tässä artikkelissa opimme eron SELinuxin pakottavien ja sallittujen tilojen välillä. Sitten jaoimme kanssasi kaksi menetelmää SELinuxin asettamiseksi Sallivaan tilaan CentOS 8: ssa. Ensimmäinen tapa on vaihtaa tila tilapäisesti, kun taas toinen menetelmä on muuttaa tila pysyvästi Permissiveksi. Voit käyttää mitä tahansa kahdesta menetelmästä tarpeidesi mukaan.