SELinux-loogisten arvojen ottaminen käyttöön tai poistaminen käytöstä

Security-Enhanced Linux (SELinux) on Linux-ytimeen toteutettu pakollisen kulunvalvonnan (MAC) suojausmekanismi. Se on joustava toiminto, joka on suunniteltu parantamaan järjestelmän yleistä turvallisuutta: se mahdollistaa pääsynhallinnan, joka on asetettu järjestelmään ladatun käytännön avulla, jota tavalliset käyttäjät tai väärin käyttäytyvät ohjelmat eivät voi muuttaa.

Seuraava artikkeli kertoo selkeästi SELinuxista ja siitä, miten se otetaan käyttöön Linux-järjestelmässäsi.

  1. Pakollisen kulunvalvonnan toteuttaminen SELinuxin tai AppArmorin avulla Linuxissa

Tässä artikkelissa näytämme, miten SELinux-loogiset arvot voidaan ottaa käyttöön tai poistaa käytöstä CentOS-, RHEL- ja Fedora Linux -jakelussa.

Jos haluat tarkastella kaikkia SELinux-booleaneja, käytä getsebool-komentoa yhdessä vähemmän komennon kanssa.

Huomaa: SELinuxin on oltava käytössä, jotta kaikki tontit voidaan luetella.

# getsebool -a | less

Jos haluat tarkastella tietyn ohjelman (tai daemonin) kaikkia loogisia arvoja, käytä grep-apuohjelmaa, seuraava komento näyttää kaikki httpd-loogiset.

# getsebool -a | grep httpd

Voit ottaa (1) -asetuksen käyttöön tai poistaa käytöstä (0) SELinux-booleansi käyttämällä setsebool-ohjelmaa alla kuvatulla tavalla.

Ota käyttöön tai poista käytöstä SELinux-loogiset arvot

Jos järjestelmään on asennettu verkkopalvelin, voit sallia HTTPD-komentosarjojen kirjoittaa tiedostoja hakemistoihin, jotka on merkitty nimellä public_content_rw_t ottamalla käyttöön allow_httpd_sys_script_anon_write -tarkkuus.

# getsebool allow_httpd_sys_script_anon_write 
# setsebool allow_httpd_sys_script_anon_write on
OR
# setsebool allow_httpd_sys_script_anon_write 1

Samoin voit poistaa SELinux-boolean arvon yläpuolelta käytöstä tai poistaa sen käytöstä suorittamalla seuraavan komennon.

# setsebool allow_httpd_sys_script_anon_write off
# setsebool allow_mount_anyfile off
OR
# setsebool allow_httpd_sys_script_anon_write  0
# setsebool allow_mount_anyfile  0

Löydät kaikkien SELinux-boolean merkitykset osoitteesta https://wiki.centos.org/TipsAndTricks/SelinuxBooleans

Älä unohda lukea näitä seuraavia turvallisuuteen liittyviä artikkeleita.

  1. SELinuxin poistaminen käytöstä väliaikaisesti tai pysyvästi RHEL/CentOS-sovelluksessa
  2. Pakolliset pääsynhallinnan perusteet SELinuxin kanssa
  3. Mega-opas CentOS 7: n kovettamiseen ja suojaamiseen

Tässä artikkelissa olemme selittäneet, miten SELinux-loogiset arvot voidaan ottaa käyttöön tai poistaa käytöstä CentOS-, RHEL- ja Fedora-jakelussa. Jos sinulla on kysyttävää, kysy alla olevan kommentin kautta.