Phenquestions
Opomba: Vsi spodaj navedeni ukazi so bili izvedeni v CentOS 8. Če pa želite uporabiti katero koli drugo distribucijo Linuxa, lahko to storite tudi zelo priročno.
Osnovni ukazi SELinux
Obstaja nekaj osnovnih ukazov, ki se zelo pogosto uporabljajo s SELinuxom. V naslednjih razdelkih bomo najprej navedli vsak ukaz, nato pa primere, ki vam bodo pokazali, kako uporabljati vsak ukaz.
Preverjanje stanja SELinux
Recimo, da bi po zagonu terminala v CentOS 8 želeli preučiti stanje SELinux, tj.e., radi bi ugotovili, ali je SELinux omogočen v CentOS 8. Stanje SELinuxa si lahko ogledamo v CentOS 8 z izvajanjem naslednjega ukaza v terminalu:
$ sestatus
Zagon tega ukaza nam bo povedal, ali je SELinux omogočen v CentOS 8. SELinux je v našem sistemu omogočen in to stanje lahko vidite na spodnji sliki:
Spreminjanje stanja SELinux
SELinux je v sistemih s sistemom Linux vedno privzeto omogočen. Če pa želite izklopiti ali onemogočiti SELinux, lahko to storite tako, da nastavite konfiguracijsko datoteko SELinux na naslednji način:
$ sudo nano / etc / selinux / config
Ko se ta ukaz izvede, se odpre konfiguracijska datoteka SELinux z urejevalnikom nano, kot je prikazano na spodnji sliki:
Zdaj morate v tej datoteki poiskati spremenljivko SELinux in spremeniti njeno vrednost iz »Izvrševanje« v »Onemogočeno«. Po tem pritisnite Ctrl + X, da shranite svojo konfiguracijsko datoteko SELinux in se vrnete na terminal.
Ko ponovno preverite stanje SELinux z zagonom zgornjega ukaza “sestatus”, se bo stanje v konfiguracijski datoteki spremenilo v “Disabled”, trenutno stanje pa bo še vedno “Enabled”, kot je poudarjeno na naslednji sliki:
Če želite spremeniti svoje spremembe v celoti, morate znova zagnati sistem CentOS 8, tako da zaženete naslednji ukaz:
$ sudo shutdown -r zdaj
Po ponovnem zagonu sistema bo sistem, ko ponovno preverite stanje SELinux, onemogočen.
Preverjanje načina delovanja SELinux
SELinux je privzeto omogočen in deluje v načinu »Izvajanje«, kar je njegov privzeti način. To lahko ugotovite z zagonom ukaza “sestatus” ali z odpiranjem konfiguracijske datoteke SELinux. To lahko preverite tudi z zagonom spodnjega ukaza:
$ getenforce
Po izvedbi zgornjega ukaza boste videli, da SELinux deluje v načinu »Uveljavljanje«:
Spreminjanje načina delovanja SELinux
Privzeti način delovanja SELinux-a lahko vedno spremenite iz »Uveljavljanje« v »Permisive«."Če želite to narediti, morate na naslednji način uporabiti ukaz" setenforce ":
$ sudo setenforce 0
Ko se uporablja z ukazom „setenforce“, zastavica „0“ spremeni način SELinux iz „Uveljavljanje“ v „Dovoljeno."S ponovnim zagonom ukaza" getenforce "lahko preverite, ali je bil privzeti način spremenjen, in videli boste, da je bil način SELinux nastavljen na" Permisive ", kot je poudarjeno na spodnji sliki:
Ogled modulov pravilnikov SELinux
Ogledate si lahko tudi module pravilnikov SELinux, ki se trenutno izvajajo v vašem sistemu CentOS 8. Module pravilnikov SELinux si lahko ogledate tako, da v terminalu zaženete naslednji ukaz:
$ sudo semodule -l
Z izvajanjem tega ukaza bodo prikazani vsi trenutno izvajani moduli pravilnika SELinux v vašem terminalu, kot je prikazano na spodnji sliki. Za dostop do celotnega seznama se lahko pomikate navzgor ali navzdol.
Ustvarjanje poročila dnevnika revizije SELinux
Kadar koli lahko iz svojih dnevnikov revizije SELinux ustvarite poročilo. To poročilo bo vsebovalo vse informacije o morebitnih dogodkih, ki jih je blokiral SELinux, in tudi, kako lahko dovolite blokirane dogodke, če je to potrebno. To poročilo lahko ustvarite tako, da v terminalu zaženete naslednji ukaz:
$ sudo sealert -a / var / log / audit / audit.log
V našem primeru, ker ni prišlo do sumljive dejavnosti, je bilo zato naše poročilo zelo natančno in ni sprožilo nobenih opozoril, kot je prikazano na spodnji sliki:
Ogled in spreminjanje logične logike SELinux
Obstajajo nekatere spremenljivke SELinux, katerih vrednost je lahko "vklopljena" ali "izklopljena".”Takšne spremenljivke so znane kot SELinux Boolean. Če si želite ogledati vse logične spremenljivke SELinux, uporabite ukaz “getsebool” na naslednji način:
$ sudo getsebool -a
Z izvajanjem tega ukaza se prikaže dolg seznam vseh spremenljivk SELinux, katerih vrednost je lahko "vklopljena" ali "izklopljena", kot je prikazano na spodnji sliki:
Najboljše pri SELinux Boolean je, da vam tudi po spreminjanju vrednosti teh spremenljivk ni treba znova zagnati mehanizma SELinux; te spremembe začnejo veljati takoj in samodejno.
Zdaj bi vam radi pokazali način spreminjanja vrednosti katere koli logične spremenljivke SELinux. Izbrali smo že spremenljivko, kot je poudarjena na zgornji sliki, katere vrednost je trenutno »izključena«."To vrednost lahko preklopimo na" on "tako, da v našem terminalu zaženemo naslednji ukaz:
$ sudo setsebool -P xen_use_nfs ONTu lahko xen_use_nfs zamenjate s katerim koli izbirnim logičnim logičnim izrazom SELinux, katerega vrednost želite spremeniti.
Po zagonu zgornjega ukaza boste lahko, ko znova zaženete ukaz “getsebool” za ogled vseh logičnih spremenljivk SELinux, videli, da je bila vrednost xen_use_nfs nastavljena na “on”, kot je poudarjeno na spodnji sliki:
Zaključek
V tem članku smo razpravljali o vseh osnovnih ukazih SELinux v CentOS 8. Ti ukazi se pogosto uporabljajo med interakcijo s tem varnostnim mehanizmom SELinux. Zato se ti ukazi štejejo za zelo koristne.
