Phenquestions
Nota: tutti i comandi indicati di seguito sono stati eseguiti in CentOS 8. Tuttavia, se desideri utilizzare qualsiasi altra distribuzione di Linux, puoi farlo anche in modo molto conveniente.
Comandi di base di SELinux
Ci sono alcuni comandi di base che sono usati molto frequentemente con SELinux. Nelle sezioni seguenti, indicheremo prima ciascun comando, quindi forniremo esempi per mostrarti come utilizzare ciascun comando.
Verifica dello stato di SELinux
Dopo aver avviato il terminale in CentOS 8, supponiamo di voler esaminare lo stato di SELinux, cioè.e., vorremmo determinare se SELinux è abilitato in CentOS 8. Possiamo visualizzare lo stato di SELinux in CentOS 8 eseguendo il seguente comando nel terminale:
$ sestatus
L'esecuzione di questo comando ci dirà se SELinux è abilitato in CentOS 8. SELinux è abilitato nel nostro sistema e puoi vedere questo stato evidenziato nell'immagine qui sotto:
Modifica dello stato di SELinux
SELinux è sempre abilitato di default nei sistemi basati su Linux. Tuttavia, se hai voglia di disattivare SELinux o disabilitarlo, puoi farlo modificando il file di configurazione di SELinux nel modo seguente:
$ sudo nano /etc/selinux/config
Quando questo comando viene eseguito, il file di configurazione di SELinux si aprirà con l'editor nano, come mostrato nell'immagine seguente:
Ora, devi trovare la variabile SELinux in questo file e modificarne il valore da "Enforcing" a "Disabled", quindi premi Ctrl + X per salvare il file di configurazione SELinux e tornare al terminale.
Quando si controlla nuovamente lo stato di SELinux eseguendo il comando "sestatus" sopra, lo stato nel file di configurazione cambierà in "Disabilitato", mentre lo stato corrente sarà ancora "Abilitato", come evidenziato nell'immagine seguente:
Pertanto, per rendere effettive le modifiche, sarà necessario riavviare il sistema CentOS 8 eseguendo il seguente comando:
$ sudo shutdown -r now
Dopo aver riavviato il sistema, quando si controlla nuovamente lo stato di SELinux, SELinux sarà disabilitato.
Verifica della modalità di funzionamento di SELinux
SELinux è abilitato per impostazione predefinita e funziona in modalità "Enforcing", che è la sua modalità predefinita. Puoi determinarlo eseguendo il comando "sestatus" o aprendo il file di configurazione di SELinux. Questo può essere verificato anche eseguendo il comando seguente:
$ getenforce
Dopo aver eseguito il comando sopra, vedrai che SELinux sta operando in modalità "Enforcing":
Modifica della modalità di funzionamento di SELinux
Puoi sempre cambiare la modalità di funzionamento predefinita di SELinux da "Enforcing" a "Permissive.Per fare ciò, è necessario utilizzare il comando "setenforce" nel modo seguente:
$ sudo setenforce 0
Se utilizzato con il comando "setenforce", il flag "0" cambia la modalità di SELinux da "Enforcing" a "Permissive"." Puoi verificare se la modalità predefinita è stata modificata eseguendo nuovamente il comando "getenforce" e vedrai che la modalità SELinux è stata impostata su "Permissivo", come evidenziato nell'immagine seguente:
Visualizzazione dei moduli di policy SELinux
Puoi anche visualizzare i moduli dei criteri SELinux attualmente in esecuzione sul tuo sistema CentOS 8. I moduli di policy di SELinux possono essere visualizzati eseguendo il seguente comando nel terminale:
$ sudo semodule -l
L'esecuzione di questo comando visualizzerà tutti i moduli della politica SELinux attualmente in esecuzione nel terminale, come mostrato nell'immagine sottostante. Per accedere all'intero elenco, puoi scorrere verso l'alto o verso il basso.
Generazione del report del registro di controllo di SELinux
In qualsiasi momento, puoi generare un report dai tuoi log di controllo SELinux. Questo rapporto conterrà tutte le informazioni relative a qualsiasi evento potenziale che è stato bloccato da SELinux e anche come consentire l'evento o gli eventi bloccati, se necessario. Questo report può essere generato eseguendo il seguente comando nel terminale:
$ sudo sealert -a /var/log/audit/audit.log
Nel nostro caso, poiché non si sono verificate attività sospette, è per questo che la nostra segnalazione è stata molto precisa e non ha generato alcun avviso, come mostrato nell'immagine qui sotto:
Visualizzazione e modifica di SELinux Boolean
Ci sono alcune variabili di SELinux il cui valore può essere "on" o "off".” Tali variabili sono note come SELinux Boolean. Per visualizzare tutte le variabili booleane di SELinux, utilizzare il comando "getsebool" nel modo seguente:
$ sudo getsebool -a
L'esecuzione di questo comando visualizzerà un lungo elenco di tutte le variabili di SELinux il cui valore può essere "on" o "off", come mostrato nell'immagine seguente:
La cosa migliore di SELinux Boolean è che anche dopo aver modificato i valori di queste variabili, non è necessario riavviare il meccanismo SELinux; piuttosto, queste modifiche hanno effetto immediato e automatico.
Ora, vorremmo mostrarti il metodo per cambiare il valore di qualsiasi variabile booleana SELinux. Abbiamo già selezionato una variabile, come evidenziato nell'immagine mostrata sopra, il cui valore è attualmente “off."Possiamo attivare questo valore su "on" eseguendo il seguente comando nel nostro terminale:
$ sudo setsebool -P xen_use_nfs ONQui puoi sostituire xen_use_nfs con qualsiasi booleano SELinux di tua scelta di cui desideri modificare il valore.
Dopo aver eseguito il comando precedente, quando esegui nuovamente il comando "getsebool" per visualizzare tutte le variabili booleane SELinux, sarai in grado di vedere che il valore di xen_use_nfs è stato impostato su "on", come evidenziato nell'immagine seguente:
Conclusione
In questo articolo, abbiamo discusso tutti i comandi SELinux di base in CentOS 8. Questi comandi sono usati abbastanza spesso durante l'interazione con questo meccanismo di sicurezza di SELinux. Pertanto, questi comandi sono considerati estremamente utili.
