Phenquestions
В днешната статия бихме искали да споделим с вас методите за настройка на SELinux в режим „Permissive“, след като ви преведем през важните му подробности.
Какво е SELinux Permissive Mode?
Режимът „Permissive“ също е един от трите режима, в които работи SELinux, т.е.д., „Принуждаване“, „Разрешително“ и „Забранено“. Това са трите конкретни категории режими на SELinux, докато по принцип можем да кажем, че при всеки конкретен случай SELinux ще бъде или „Активиран“ или „Деактивиран“. Режимите „Принуждаване“ и „Разрешително“ попадат в категорията „Разрешено“. С други думи, това означава, че когато SELinux е активиран, той или ще работи в режим „Принуждаване“ или в режим „Permissive“.
Ето защо повечето потребители се бъркат между режимите „Принуждаващ“ и „Позволен“, тъй като в крайна сметка и двамата попадат в категорията „Разрешено“. Бихме искали да направим ясно разграничение между двете, като първо дефинираме целите им и след това го картографираме на пример. Режимът „Принуждаване“ работи чрез прилагане на всички правила, посочени в политиката за сигурност на SELinux. Той блокира достъпа на всички потребители, на които е забранен достъп до определен обект в политиката за сигурност. Освен това тази дейност също се регистрира в регистрационния файл на SELinux.
От друга страна, режимът „Permissive” не блокира нежелания достъп, а просто записва всички подобни дейности в регистрационния файл. Следователно този режим се използва най-вече за проследяване на грешки, одит и добавяне на нови правила на политиката за сигурност. Сега, разгледайте пример за потребител „A“, който желае да осъществи достъп до директория с име „ABC“. В политиката за сигурност на SELinux се споменава, че на потребителя „A“ винаги ще бъде отказан достъп до директорията „ABC“.
Сега, ако вашият SELinux е активиран и работи в режим „Принуждаване“, тогава всеки път, когато потребителят „A“ се опита да осъществи достъп до директорията „ABC“, достъпът ще бъде отказан и това събитие ще бъде записано в регистрационния файл. От друга страна, ако вашият SELinux работи в режим „Permissive“, тогава на потребителя „A“ ще бъде разрешен достъп до директорията „ABC“, но все пак това събитие ще бъде записано в регистрационния файл, така че администратор може да знае къде е настъпило нарушение на сигурността.
Методи за настройка на SELinux в разрешителен режим на CentOS 8
Сега, когато напълно разбрахме целта на „Permissive“ режима на SELinux, можем лесно да говорим за методите за настройка на SELinux в „Permissive“ режим на CentOS 8. Преди обаче да се насочите към тези методи, винаги е добре да проверите състоянието по подразбиране на SELinux, като изпълните следната команда във вашия терминал:
$ sestatus
Режимът по подразбиране на SELinux е подчертан на изображението, показано по-долу:
Метод за временно задаване на SELinux на Permissive Mode на CentOS 8
Чрез временно настройване на SELinux в режим „Permissive“, имаме предвид, че този режим ще бъде активиран само за текущата сесия и веднага след като рестартирате системата си, SELinux ще възобнови режима си по подразбиране, т.е.д., режим „Принуждаване“. За временно настройване на SELinux в режим „Permissive“ трябва да изпълните следната команда на вашия терминал CentOS 8:
$ sudo setenforce 0
Като задаваме стойността на флага „setenforce“ на „0“, ние по същество променяме стойността му на „Permissive“ от „Enforcing“. Изпълнението на тази команда няма да покаже изход, както можете да видите от изображението, приложено по-долу.
Сега, за да проверим дали SELinux е настроен на „Permissive“ режим в CentOS 8 или не, ще изпълним следната команда в терминала:
$ getenforce
Изпълнението на тази команда ще върне текущия режим на SELinux и това ще бъде „Permissive“, както е подчертано на изображението, показано по-долу. Веднага след като рестартирате системата си, SELinux ще се върне в режим „Принуждаване“.
Метод за постоянно настройване на SELinux в разрешителен режим на CentOS 8
Вече заявихме в Метод №1, че спазването на горния метод само временно ще настрои SELinux в режим „Permissive“. Ако обаче искате тези промени да са налице дори след като рестартирате системата си, тогава ще трябва да получите достъп до конфигурационния файл на SELinux по следния начин:
$ sudo nano / etc / selinux / config
Конфигурационният файл на SELinux е показан на изображението по-долу:
Сега трябва да зададете стойността на променливата “SELinux” на “permissive”, както е подчертано на следващото изображение, след което можете да запазите и затворите файла си.
Сега трябва да проверите състоянието на SELinux още веднъж, за да разберете дали режимът му е променен на „Permissive“ или не. Можете да направите това, като изпълните следната команда във вашия терминал:
$ sestatus
От осветената част на изображението, показано по-долу, можете да видите, че в момента само режимът от конфигурационния файл се променя на „Permissive“, докато текущият режим все още е „Enforcing“.
Сега, за да направим промените си в сила, ще рестартираме нашата система CentOS 8, като изпълним следната команда в терминала:
$ sudo shutdown -r сега
След рестартиране на вашата система, когато отново ще проверите състоянието на SELinux с командата “sestatus”, ще забележите, че текущият режим също е настроен на “Permissive”.
Заключение:
В тази статия научихме разликата между режимите „Принуждаване“ и „Разрешително“ на SELinux. След това споделихме с вас двата метода за настройка на SELinux в режим „Permissive“ в CentOS 8. Първият метод е за временна промяна на режима, докато вторият метод е за постоянна промяна на режима на „Permissive“. Можете да използвате всеки от двата метода според вашите изисквания.
