Poznámka: Všetky príkazy uvedené nižšie boli vykonané v systéme CentOS 8. Ak však chcete použiť inú distribúciu systému Linux, môžete to urobiť tiež veľmi pohodlne.
Základné príkazy SELinux
Existuje niekoľko základných príkazov, ktoré sa so SELinuxom používajú veľmi často. V nasledujúcich častiach najskôr uvedieme každý príkaz, potom uvedieme príklady, ktoré vám ukážu, ako jednotlivé príkazy používať.
Kontrola stavu SELinuxu
Po spustení terminálu v CentOS 8 predpokladajme, že by sme chceli preskúmať stav SELinuxu, t.j.e., chceli by sme zistiť, či je v CentOS 8 povolený SELinux. Stav SELinuxu v CentOS 8 môžeme zobraziť vykonaním nasledujúceho príkazu v termináli:
$ sestatus
Spustenie tohto príkazu nám oznámi, či je v systéme CentOS 8 povolený SELinux. SELinux je v našom systéme povolený a tento stav môžete vidieť zvýraznený na obrázku nižšie:
Zmena stavu SELinuxu
SELinux je v systémoch založených na systéme Linux vždy predvolene povolený. Ak však máte chuť SELinux vypnúť alebo vypnúť, môžete to urobiť doladením konfiguračného súboru SELinux nasledujúcim spôsobom:
$ sudo nano / etc / selinux / config
Po vykonaní tohto príkazu sa otvorí konfiguračný súbor SELinux s nano editorom, ako je to znázornené na obrázku nižšie:
Teraz musíte v tomto súbore zistiť premennú SELinux a zmeniť jej hodnotu z „Enforcing“ na „Disabled“. Potom stlačte Ctrl + X, aby ste uložili konfiguračný súbor SELinux a dostali sa späť do terminálu.
Keď znova skontrolujete stav SELinuxu spustením príkazu „sestatus“ vyššie, stav v konfiguračnom súbore sa zmení na „Zakázané“, zatiaľ čo aktuálny stav bude stále „Povolený“, ako je zvýraznené na nasledujúcom obrázku:
Preto, aby sa zmeny prejavili naplno, budete musieť reštartovať systém CentOS 8 spustením nasledujúceho príkazu:
$ sudo shutdown -r teraz
Po opätovnom zavedení vášho systému, keď znovu skontrolujete stav SELinuxu, bude SELinux deaktivovaný.
Prebieha kontrola prevádzkového režimu SELinux
SELinux je predvolene povolený a pracuje v režime „Vynútenie“, ktorý je predvoleným režimom. Môžete to určiť spustením príkazu „sestatus“ alebo otvorením konfiguračného súboru SELinux. To sa dá overiť aj spustením príkazu nižšie:
$ getenforce
Po vykonaní vyššie uvedeného príkazu uvidíte, že SELinux pracuje v režime „Enforcing“:
Zmena prevádzkového režimu SELinux
Predvolený prevádzkový režim SELinuxu môžete kedykoľvek zmeniť z „Vynútiteľné“ na „Povolené“.„Ak to chcete urobiť, musíte použiť príkaz„ setenforce “nasledujúcim spôsobom:
$ sudo setenforce 0
Pri použití s príkazom „setenforce“ zmení príznak „0“ režim SELinuxu z „Enforcing“ na „Permissive“.„To, či sa zmenil predvolený režim, môžete overiť opätovným spustením príkazu„ getenforce “a uvidíte, že režim SELinux bol nastavený na„ permisívny “, ako je zvýraznené na obrázku nižšie:
Prezeranie modulov politiky SELinux
Môžete si tiež pozrieť moduly politiky SELinux, ktoré sú momentálne spustené vo vašom systéme CentOS 8. Moduly politiky systému SELinux je možné zobraziť spustením nasledujúceho príkazu v termináli:
$ sudo semodule -l
Vykonaním tohto príkazu sa zobrazia všetky momentálne spustené moduly politiky SELinux vo vašom termináli, ako je to znázornené na obrázku nižšie. Celý zoznam zobrazíte posunutím nahor alebo nadol.
Generuje sa správa protokolu auditu SELinux
Kedykoľvek môžete vygenerovať správu zo svojich protokolov auditu SELinux. Táto správa bude obsahovať všetky informácie o všetkých potenciálnych udalostiach, ktoré boli blokované SELinuxom, a tiež o tom, ako môžete v prípade potreby povoliť blokované udalosti. Túto správu je možné vygenerovať spustením nasledujúceho príkazu v termináli:
$ sudo sealert -a / var / log / audit / audit.log
Pretože v našom prípade nedošlo k žiadnej podozrivej aktivite, bola naša správa veľmi presná a nevygenerovala žiadne upozornenia, ako je to znázornené na obrázku nižšie:
Prezeranie a zmena SELinux Boolean
Existujú určité premenné systému SELinux, ktorých hodnota môže byť „zapnutá“ alebo „vypnutá“.„Takéto premenné sú známe ako SELinux Boolean. Ak chcete zobraziť všetky booleovské premenné SELinux, použite príkaz „getsebool“ nasledujúcim spôsobom:
$ sudo getsebool -a
Po vykonaní tohto príkazu sa zobrazí dlhý zoznam všetkých premenných systému SELinux, ktorých hodnota môže byť „zapnutá“ alebo „vypnutá“, ako je to znázornené na obrázku nižšie:
Najlepšie na SELinux Boolean je, že ani po zmene hodnôt týchto premenných nemusíte reštartovať mechanizmus SELinux; tieto zmeny sa prejavia okamžite a automaticky.
Teraz by sme vám chceli ukázať spôsob zmeny hodnoty ľubovoľnej premennej SELinux Boolean. Už sme vybrali premennú zvýraznenú na obrázku vyššie, ktorej hodnota je momentálne „vypnutá“.„Túto hodnotu môžeme prepnúť na„ zapnutú “spustením nasledujúceho príkazu v našom termináli:
$ sudo setsebool -P xen_use_nfs ZAPNUTÉTu môžete nahradiť xen_use_nfs ľubovoľným SELinux Boolean podľa vášho výberu, ktorého hodnotu chcete zmeniť.
Po spustení vyššie uvedeného príkazu, keď znovu spustíte príkaz „getsebool“, aby ste zobrazili všetky booleovské premenné SELinux, uvidíte, že hodnota xen_use_nfs bola nastavená na „on“, ako je zvýraznené na obrázku nižšie:
Záver
V tomto článku sme diskutovali o všetkých základných príkazoch SELinux v systéme CentOS 8. Tieto príkazy sa používajú pomerne často pri interakcii s týmto bezpečnostným mechanizmom systému SELinux. Preto sa tieto príkazy považujú za mimoriadne užitočné.