Phenquestions
V današnjem članku bi radi z vami delili načine nastavitve SELinux-a v način »Permissive«, potem ko ste se popeljali skozi njegove pomembne podrobnosti.
Kaj je SELinux Permissive Mode?
Način »Permissive« je tudi eden izmed treh načinov, v katerih deluje SELinux, tj.e., »Izvrševanje«, »Permisivno« in »Invalidi«. To so tri posebne kategorije načinov SELinux, medtem ko lahko na splošno rečemo, da bo SELinux v katerem koli primeru "Omogočen" ali "Onemogočen". Oba načina „Izvršilni“ in „Permisivni“ spadata v kategorijo „Omogočeno“. Z drugimi besedami, to pomeni, da bo, kadar bo omogočen SELinux, deloval bodisi v načinu »Uveljavljanje« bodisi v načinu »Permissive«.
Zato se večina uporabnikov zmede med načinoma „Izvršilni“ in „Permisivni“, saj navsezadnje oba spadata v kategorijo „Omogočeno“. Želeli bi jasno ločiti oba, tako da najprej opredelimo njihove namene, nato pa jih preslikamo na primer. Način "Izvajanje" deluje tako, da izvaja vsa pravila, navedena v varnostni politiki SELinux. Blokira dostop vsem uporabnikom, ki jim v varnostni politiki ni dovoljen dostop do določenega predmeta. Poleg tega je ta dejavnost zabeležena tudi v dnevniški datoteki SELinux.
Po drugi strani način »Permissive« ne blokira neželenega dostopa, temveč preprosto zabeleži vse take dejavnosti v dnevniški datoteki. Zato se ta način večinoma uporablja za sledenje napakam, revizijo in dodajanje novih pravil varnostne politike. Zdaj pa si oglejte primer uporabnika "A", ki želi dostopati do imenika z imenom "ABC". V varnostni politiki SELinux je omenjeno, da bo uporabniku "A" vedno onemogočen dostop do imenika "ABC".
Če je vaš SELinux omogočen in deluje v načinu »Uveljavljanje«, bo vsakič, ko bo uporabnik »A« poskušal dostopati do imenika »ABC«, dostop zavrnjen in ta dogodek bo zabeležen v dnevniški datoteki. Po drugi strani pa, če vaš SELinux deluje v načinu »Permissive«, bo uporabnik »A« imel dostop do imenika »ABC«, vendar bo ta dogodek zabeležen v dnevniški datoteki, tako da bo skrbnik morda ve, kje je prišlo do kršitve varnosti.
Metode nastavitve SELinux na permisivni način na CentOS 8
Zdaj, ko smo popolnoma razumeli namen “Permissive” načina SELinux, lahko na CentOS 8 zlahka govorimo o metodah, kako SELinux nastaviti v “Permissive” način. Preden pa se odpravite na te metode, je vedno dobro preveriti privzeto stanje SELinux, tako da v terminalu zaženete naslednji ukaz:
$ sestatus
Privzeti način SELinux je označen na spodnji sliki:
Metoda začasne nastavitve SELinux na permisivni način na CentOS 8
Z začasno nastavitvijo SELinux na način »Permissive« pomeni, da bo ta način omogočen samo za trenutno sejo in takoj, ko ponovno zaženete sistem, bo SELinux nadaljeval s privzetim načinom delovanja, tj.e., način "Izvajanje". Če želite začasno nastaviti SELinux v način »Permissive«, morate na terminalu CentOS 8 zagnati naslednji ukaz:
$ sudo setenforce 0
Z nastavitvijo vrednosti zastavice "setenforce" na "0" v bistvu spremenimo njeno vrednost v "Permissive" iz "Enforcing". Zagon tega ukaza ne bo prikazal nobenega izhoda, kot si lahko ogledate na spodnji sliki.
Zdaj, da preverimo, ali je bil SELinux v CentOS 8 nastavljen na način »Permissive« ali ne, bomo v terminalu zagnali naslednji ukaz:
$ getenforce
Če zaženete ta ukaz, se vrne trenutni način SELinux-a, ki bo »Permisive«, kot je poudarjeno na spodnji sliki. Takoj, ko boste znova zagnali sistem, se bo SELinux vrnil v način "Uveljavljanje".
Metoda trajne nastavitve SELinux na permisivni način na CentOS 8
V 1. metodi smo že navedli, da bo sledenje zgornji metodi le začasno postavilo SELinux v način "Permissive". Če pa želite, da te spremembe obstajajo tudi po ponovnem zagonu sistema, boste morali do konfiguracijske datoteke SELinux dostopati na naslednji način:
$ sudo nano / etc / selinux / config
Konfiguracijska datoteka SELinux je prikazana na spodnji sliki:
Zdaj morate spremenljivko “SELinux” nastaviti na “permissive”, kot je poudarjeno na naslednji sliki, po kateri lahko datoteko shranite in zaprete.
Zdaj morate še enkrat preveriti stanje SELinux, da ugotovite, ali je bil njegov način spremenjen v »Permissive« ali ne. To lahko storite tako, da v terminalu zaženete naslednji ukaz:
$ sestatus
Iz označenega dela spodnje slike lahko vidite, da se trenutno samo način iz konfiguracijske datoteke spremeni v »Permissive«, trenutni način pa še vedno »Enforcing«.
Da bi začele veljati spremembe, bomo znova zagnali sistem CentOS 8, tako da v terminalu zaženemo naslednji ukaz:
$ sudo shutdown -r zdaj
Po ponovnem zagonu sistema, ko boste z ukazom “sestatus” znova preverili stanje SELinux, boste opazili, da je tudi trenutni način nastavljen na “Permissive”.
Zaključek:
V tem članku smo se naučili razlike med načinoma SELinux "Izvajanje" in "Dovoljenje". Nato smo z vami delili dva načina nastavitve SELinux-a na način »Permissive« v CentOS 8. Prva metoda je za začasno spreminjanje načina, druga metoda pa za trajno spreminjanje načina v "Permissive". Uporabite lahko katero koli od obeh metod v skladu z vašimi zahtevami.
