A mai cikkben szeretnénk megosztani veletek a SELinux „Megengedő” módba állításának módszereit, miután áttekintettük a fontos részleteket.
Mi az a SELinux Permissive Mode?
A „Permissive” mód egyike annak a három módnak is, amelyben a SELinux működik, azaz.e., „Végrehajtás”, „Engedélyezés” és „Letiltás”. Ez a SELinux mód három különféle kategóriája, míg általában azt mondhatjuk, hogy a SELinux bármelyik esetben „engedélyezett” vagy „letiltott” lesz. A „Végrehajtás” és a „Megengedő” mód egyaránt az „Engedélyezett” kategóriába tartozik. Más szavakkal, ez azt jelenti, hogy amikor a SELinux engedélyezve van, akkor vagy „Végrehajtás” vagy „Engedélyező” módban fog működni.
Ezért a felhasználók többsége összezavarodik az „érvényesítés” és a „megengedő” mód között, mert végül is mindketten az „engedélyezett” kategóriába tartoznak. Szeretnénk egyértelmű különbséget tenni a kettő között azáltal, hogy először meghatározzuk céljaikat, majd feltérképezzük egy példára. Az „Enforcing” mód a SELinux biztonsági házirendben szereplő összes szabály végrehajtásával működik. Letiltja az összes olyan felhasználó hozzáférését, akinek a biztonsági házirendben nem engedélyezett egy adott objektumhoz való hozzáférés. Ez a tevékenység ráadásul a SELinux naplófájlba is naplózásra kerül.
Másrészt az „Engedélyezett” mód nem blokkolja a nem kívánt hozzáférést, hanem egyszerűen rögzíti az összes ilyen tevékenységet a naplófájlban. Ezért ezt a módot leginkább a hibák követésére, naplózásra és új biztonsági házirend-szabályok hozzáadására használják. Vegyünk egy példát egy „A” felhasználóra, aki hozzáférni akar egy „ABC” nevű könyvtárhoz. A SELinux biztonsági házirendben megemlítik, hogy az „A” felhasználó számára mindig megtagadják a hozzáférést az „ABC” könyvtárhoz.
Most, ha a SELinux engedélyezve van és „kényszerítés” módban működik, akkor amikor az „A” felhasználó megpróbálja elérni az „ABC” könyvtárat, a hozzáférést megtagadják, és ezt az eseményt rögzítik a naplófájlban. Másrészt, ha a SELinux „Engedélyezett” módban működik, akkor az „A” felhasználó hozzáférhet az „ABC” könyvtárhoz, de ezt az eseményt a naplófájlban rögzítik, így egy rendszergazda tudhatja, hol történt a biztonsági megsértés.
Módszerek a SELinux engedélyezett módba állításához a CentOS 8-on
Most, hogy teljesen megértettük a SELinux „Permissive” módjának célját, könnyen beszélhetünk a SELinux „Permissive” módba állításának módszereiről a CentOS 8-on. Mielőtt azonban rátérnék ezekre a módszerekre, mindig jó ellenőrizni a SELinux alapértelmezett állapotát a következő parancs futtatásával a terminálon:
$ sestatus
Az SELinux alapértelmezett módját kiemeli az alábbi kép:
Módszer a SELinux ideiglenes beállítására Permissive módra a CentOS 8-on
A SELinux ideiglenes „Permissive” módba állításával azt értjük, hogy ez az üzemmód csak az aktuális munkamenetnél lesz engedélyezve, és amint újraindítja a rendszert, a SELinux folytatja az alapértelmezett működési módot,.e., az „érvényesítés” mód. A SELinux ideiglenes „Megengedő” módba állításához a következő parancsot kell futtatnia a CentOS 8 terminálon:
$ sudo setenforce 0
Azzal, hogy a „setenforce” zászló értékét „0” -ra állítjuk, lényegében „Engedélyezővé” változtatjuk az „Érvényesítés” értéket. A parancs futtatása nem jelenít meg kimenetet, amint azt az alábbi képen megtekintheti.
Most annak ellenőrzéséhez, hogy a SELinux „Centiss 8” üzemmódban van-e engedélyezve, vagy sem, a következő parancsot futtatjuk a terminálon:
$ getenforce
A parancs futtatásával visszaáll a SELinux jelenlegi üzemmódja, amely „Engedélyezett” lesz, amint azt az alábbi kép kiemeli. Amint azonban újraindítja a rendszerét, a SELinux visszatér az „Enforcing” módba.
Módszer a SELinux állandó beállítására Permissive módra a CentOS 8-on
Az 1. módszerben már kijelentettük, hogy a fenti módszer követése csak ideiglenesen állítja a SELinuxot “Engedélyezett” módba. Ha azonban azt szeretné, hogy ezek a változások a rendszer újraindítása után is megmaradjanak, akkor a következő módon kell hozzáférnie a SELinux konfigurációs fájlhoz:
$ sudo nano / etc / selinux / config
A SELinux konfigurációs fájlja az alábbi képen látható:
Most be kell állítania a „SELinux” változó értékét „megengedő” értékre, amint azt a következő kép kiemeli, amely után mentheti és bezárhatja a fájlt.
Most még egyszer ellenőriznie kell a SELinux állapotát, hogy megtudja, a módja megváltozott-e vagy sem. Ezt úgy teheti meg, hogy a következő parancsot futtatja a terminálon:
$ sestatus
Az alább látható kép kiemelt részéből látható, hogy jelenleg csak a konfigurációs fájl módja változik „Engedélyezett” -re, míg az aktuális mód továbbra is „Kényszerítés”.
A módosítások életbe léptetése érdekében a következő parancs futtatásával a terminálon újraindítjuk a CentOS 8 rendszerünket:
$ sudo shutdown -r most
A rendszer újraindítása után, amikor újra ellenőrizni fogja a SELinux állapotát a „sestatus” paranccsal, észreveszi, hogy az aktuális mód szintén „Engedélyezett” értékre van állítva.
Következtetés:
Ebben a cikkben megtudtuk a különbséget a SELinux „kényszerítése” és „megengedő” módjai között. Ezután megosztottuk veled a SELinux „Permissive” módba állításának két módját a CentOS 8-ban. Az első módszer az üzemmód ideiglenes megváltoztatására szolgál, míg a második módszer az üzemmód végleges megváltoztatására „Engedélyes” módra. Használhatja a két módszer bármelyikét az Ön igényeinek megfelelően.