Phenquestions
Забележка: Всички команди, посочени по-долу, са изпълнени в CentOS 8. Ако обаче искате да използвате каквато и да е друга дистрибуция на Linux, можете също да го направите много удобно.
Основни команди на SELinux
Има някои основни команди, които много често се използват със SELinux. В следващите раздели първо ще посочим всяка команда, след което ще предоставим примери, за да ви покажем как да използвате всяка команда.
Проверка на състоянието на SELinux
След стартирането на терминала в CentOS 8, да предположим, че бихме искали да проучим състоянието на SELinux, т.е.д., бихме искали да определим дали SELinux е активиран в CentOS 8. Можем да видим състоянието на SELinux в CentOS 8, като изпълним следната команда в терминала:
$ sestatus
Изпълнението на тази команда ще ни каже дали SELinux е активиран в CentOS 8. SELinux е активиран в нашата система и можете да видите това състояние, подчертано на изображението по-долу:
Промяна на състоянието на SELinux
SELinux винаги е разрешен по подразбиране в базирани на Linux системи. Ако обаче искате да изключите или деактивирате SELinux, можете да направите това, като промените конфигурационния файл на SELinux по следния начин:
$ sudo nano / etc / selinux / config
Когато тази команда бъде изпълнена, конфигурационният файл на SELinux ще се отвори с нано редактора, както е показано на изображението по-долу:
Сега трябва да откриете променливата SELinux в този файл и да промените стойността й от „Принуждаващо“ на „Забранено“. След това натиснете Ctrl + X, за да запазите вашия конфигурационен файл на SELinux и да се върнете в терминала.
Когато проверите състоянието на SELinux отново, като изпълните командата „sestatus“ по-горе, състоянието в конфигурационния файл ще се промени на „Disabled“, докато текущото състояние ще остане „Enabled“, както е подчертано на следващото изображение:
Следователно, за да приведете вашите промени в пълен ефект, ще трябва да рестартирате системата CentOS 8, като изпълните следната команда:
$ sudo shutdown -r сега
След рестартиране на вашата система, когато проверите състоянието на SELinux отново, SELinux ще бъде деактивиран.
Проверка на режима на работа на SELinux
SELinux е активиран по подразбиране и работи в режим „Принуждаване“, който е неговият режим по подразбиране. Можете да определите това, като изпълните командата “sestatus” или като отворите конфигурационния файл на SELinux. Това може да се провери и чрез изпълнение на командата по-долу:
$ getenforce
След изпълнението на горната команда ще видите, че SELinux работи в режим „Принуждаване“:
Промяна на режима на работа на SELinux
Винаги можете да промените режима на работа по подразбиране на SELinux от „Enforcing“ на „Permissive“.”За да направите това, трябва да използвате командата„ setenforce ”по следния начин:
$ sudo setenforce 0
Когато се използва с командата “setenforce”, флагът “0” променя режима на SELinux от “Enforcing” на “Permissive.”Можете да проверите дали режимът по подразбиране е променен, като изпълните командата„ getenforce ”отново и ще видите, че режимът SELinux е настроен на„ Permissive ”, както е подчертано на изображението по-долу:
Преглед на модулите за политика на SELinux
Можете също да прегледате модулите на политиката на SELinux, които в момента работят на вашата система CentOS 8. Модулите на политиките на SELinux могат да се видят чрез изпълнение на следната команда в терминала:
$ sudo semodule -l
Изпълнението на тази команда ще покаже всички работещи в момента модули за политика на SELinux във вашия терминал, както е показано на изображението по-долу. За достъп до целия списък можете да превъртате нагоре или надолу.
Генериране на SELinux Audit Log Report
Във всеки момент от времето можете да генерирате отчет от вашите дневници за одит на SELinux. Този отчет ще съдържа цялата информация относно всяко потенциално събитие, което е блокирано от SELinux, както и как можете да разрешите блокираното събитие (я), ако е необходимо. Този отчет може да бъде генериран чрез изпълнение на следната команда в терминала:
$ sudo sealert -a / var / log / audit / audit.дневник
В нашия случай, тъй като не се провежда подозрителна дейност, затова нашият отчет беше много точен и не генерира никакви сигнали, както е показано на изображението по-долу:
Преглед и промяна на SELinux Boolean
Има определени променливи на SELinux, чиято стойност може да бъде „включена“ или „изключена“.”Такива променливи са известни като SELinux Boolean. За да видите всички булеви променливи на SELinux, използвайте командата “getsebool” по следния начин:
$ sudo getsebool -a
Изпълнението на тази команда ще покаже дълъг списък с всички променливи на SELinux, чиято стойност може да бъде „включена“ или „изключена“, както е показано на изображението по-долу:
Най-хубавото при SELinux Boolean е, че дори след промяна на стойностите на тези променливи, не е необходимо да рестартирате своя SELinux механизъм; по-скоро тези промени влизат в сила незабавно и автоматично.
Сега бихме искали да ви покажем метода за промяна на стойността на всяка булева променлива на SELinux. Вече избрахме променлива, както е подчертана на изображението, показано по-горе, чиято стойност в момента е „изключена“.”Можем да превключим тази стойност на„ on ”, като изпълним следната команда в нашия терминал:
$ sudo setsebool -P xen_use_nfs ВКЛТук можете да замените xen_use_nfs с всеки SELinux Boolean по ваш избор, чиято стойност искате да промените.
След стартиране на горната команда, когато стартирате командата “getsebool” отново, за да видите всички булеви променливи на SELinux, ще можете да видите, че стойността на xen_use_nfs е зададена на “on”, както е подчертано на изображението по-долу:
Заключение
В тази статия обсъдихме всички основни команди на SELinux в CentOS 8. Тези команди се използват доста често при взаимодействие с този механизъм за сигурност на SELinux. Следователно тези команди се считат за изключително полезни.
