Kako seznam vseh kontekstov SELinux

V SELinuxu, zaščitnem mehanizmu Linuxa, obstaja nekaj pomembnih konceptov, ki se jih mora uporabnik zavedati. Šele po razumevanju teh konceptov lahko dobro delujemo s tem varnostnim mehanizmom. Takšen ključni koncept je kontekst SELinux. Kontekst v SELinuxu je opredeljen kot dodatne informacije o postopku ali datoteki, s katerimi lahko ta varnostni mehanizem sprejema odločitve o nadzoru dostopa.

Ti dodatni podatki vsebujejo naslednje štiri entitete:

• Uporabnik SELinux: Določi identiteto uporabnika, ki dostopa, ima v lasti, spreminja ali briše postopek ali datoteko v operacijskih sistemih, ki temeljijo na Linuxu. Če ima uporabnik dostop do določene datoteke ali procesa v Linuxu, je identiteta uporabnika izrecno navedena v varnostnem pravilniku SELinux. To pomeni, da se na uporabnika Linuxa vedno sklicuje njegova identiteta.
• Vloga: Na podlagi te entitete je uporabniku dovoljen ali zavrnjen dostop do določenega predmeta v SELinuxu. Koncept vloge izhaja iz enega izmed zelo znanih modelov nadzora dostopa, tj.e., Nadzor dostopa na podlagi vlog (RBAC). Ta model je še posebej uporaben, kadar ima veliko uporabnikov enake pravice dostopa. Namesto da bi vsakega posameznega uporabnika povezali s posebnimi pravicami dostopa, so pravice dostopa povezane z določeno vlogo. Pravice dostopa, povezane z določeno vlogo uporabnika, se temu uporabniku samodejno dodelijo.
• Tip: Ta entiteta se uporablja za določanje vrst datotek in domen procesov v SELinuxu. Z uporabo te entitete se dostop odobri le in samo, če je za to vrsto prisotno pravilo v politiki nadzora dostopa SELinux in je pravilo tudi za odobritev dostopa in ne obratno.
• Raven: Ta entiteta predstavlja varnost na več ravneh (MLS) in varnost več kategorij (MCS). Stopnje varnosti so opredeljene z izrazi, kot so visoka, nizka itd.

Skratka, kontekst SELinux je kombinacija teh štirih atributov. S pomočjo teh štirih atributov SELinux uporabniku odobri ali zavrne dostop do datotek ali procesov.

Ta članek prikazuje metode za naštevanje vseh kontekstov SELinux v CentOS 8.

Metode za naštevanje kontekstov SELinux v CentOS 8

Za seznam vseh kontekstov SELinux v CentOS 8 lahko izberete katero koli od štirih spodnjih metod:

1. metoda: Uporaba ukaza “semanage”

Če želite seznam kontekstov SELinux za vse datoteke in procese v vašem sistemu CentOS 8, v terminalu CentOS 8 zaženite naslednji ukaz:

$ sudo semanage fcontext -l | grep httpd_log_t

Ta ukaz ne more zagnati brez korenskih uporabniških pravic. Pri tem ukazu je obvezna uporaba ključne besede “sudo”; v nasprotnem primeru bo prikazalo sporočilo o napaki. Zato je bolje uporabiti ta ukaz na zgoraj navedeni način, da prihranite dragocen čas.

Ko bo ta ukaz končan, se bodo vsi termini SELinux prikazali v vašem terminalu, kot je prikazano na spodnji sliki. Lahko se pomaknete navzgor, navzdol, levo ali desno, da si ogledate celoten kontekst SELinux v CentOS 8.

2. način: Uporaba ukaza ls

Za pridobitev vseh kontekstov datotek SELinux v CentOS 8 lahko v terminalu CentOS 8 uporabite tudi naslednji ukaz:

$ sudo ls -lZ / root

Konteksti datotek SELinux so shranjeni v "korenskem" imeniku. Če želite dostopati do tega imenika, morate imeti privilegije root uporabnika. Z drugimi besedami, ta ukaz morate zagnati skupaj s ključno besedo "sudo", tako kot smo to storili mi.

Po izvedbi tega ukaza si lahko v terminalu CentOS 8 ogledate vse kontekste datotek SELinux, kot je prikazano na spodnji sliki:

3. metoda: Uporaba ukaza “ps”

Na zgoraj prikazano metodo smo navedli vse kontekste datotek SELinux. Včasih boste morda morali v CentOS 8 navesti le vse kontekste procesa SELinux. Te kontekste lahko dobite samo tako, da v terminalu zaženete naslednji ukaz:

$ sudo ps axZ

Za izvajanje zgoraj navedenega ukaza morate imeti privilegije root uporabnika. Z drugimi besedami, ta ukaz morate zagnati skupaj s ključno besedo "sudo", tako kot smo to storili mi.

Po izvedbi tega ukaza si lahko v terminalu ogledate vse kontekste procesa SELinux, kot je prikazano spodaj:

4. metoda: Uporaba ukaza "id"

V drugih primerih boste morda morali v CentOS 8 pridobiti samo trenutni uporabniški kontekst SELinux. Vse trenutne uporabniške kontekste SELinux lahko navedete tako, da v terminalu CentOS 8 zaženete naslednji ukaz:

$ id -Z

Po izvedbi tega ukaza si lahko v terminalu ogledate vse trenutne uporabniške kontekste SELinux, kot je prikazano na spodnji sliki. To so vse informacije, povezane z vašim trenutnim uporabnikom v sistemu CentOS 8.

Zaključek

Najprej smo v tem članku z vami delili metodo za naštevanje vseh kontekstov SELinux hkrati. Nato smo z vami delili metode za ločeno naštevanje vseh datotek, procesov in uporabniških kontekstov SELinux. To vas postavlja v zelo dober položaj za igranje s konteksti SELinux. Če želite naenkrat videti ves kontekst procesov in datotek SELinux, uporabite metodo 1. V nasprotnem primeru lahko izberete 2., 3. ali 4. metodo glede na vaše zahteve.