Jak nastavím SELinux na povolený režim?

How Do I Set Selinux Permissive Mode



SELinux nebo Security-Enhanced Linux, tj. Bezpečnostní mechanismus systémů založených na Linuxu ve výchozím nastavení funguje na systému Mandatory Access Control (MAC). K implementaci tohoto modelu řízení přístupu využívá SELinux zásady zabezpečení, ve kterých jsou všechna pravidla týkající se řízení přístupu výslovně uvedena. Na základě těchto pravidel se SELinux rozhoduje ohledně udělení nebo zamítnutí přístupu k jakémukoli objektu uživateli.

V dnešním článku bychom se s vámi chtěli podělit o metody nastavení SELinuxu na Permisivní režim poté, co vás provedeme jeho důležitými detaily.







Co je to SELinux Permissive Mode?

Povolující režim je také jedním ze tří režimů, ve kterých SELinux funguje, tj. Vynucení, Povolení a Zakázáno. Toto jsou tři konkrétní kategorie režimů SELinux, zatímco obecně můžeme říci, že v každém konkrétním případě bude SELinux buď povolen, nebo zakázán. Režimy Vynucení a Povolení spadají do kategorie Povoleno. Jinými slovy to znamená, že kdykoli je povolen SELinux, bude buď pracovat v režimu Vynucení nebo Povolení.



To je důvod, proč je většina uživatelů zmatená mezi režimy Vynucení a Povolení, protože koneckonců oba spadají do kategorie Povoleno. Chtěli bychom mezi nimi jasně rozlišit tím, že nejprve definujeme jejich účely a poté je mapujeme na příklad. Režim Enforcing funguje tak, že implementuje všechna pravidla, která jsou uvedena v zásadách zabezpečení SELinux. Blokuje přístup všem uživatelům, kterým není povolen přístup k určitému objektu v zásadách zabezpečení. Tato aktivita je navíc zaznamenána do souboru protokolu SELinux.



Na druhé straně Permisivní režim neblokuje nežádoucí přístup, ale jednoduše zaznamenává všechny takové činnosti do souboru protokolu. Tento režim se proto většinou používá pro sledování chyb, auditování a přidávání nových pravidel zásad zabezpečení. Nyní zvažte příklad uživatele A, který si přeje získat přístup k adresáři s názvem ABC. V zásadách zabezpečení SELinux je uvedeno, že uživateli A bude vždy odepřen přístup do adresáře ABC.





Nyní, pokud je váš SELinux povolen a pracuje v režimu vynucování, pak kdykoli se uživatel A pokusí o přístup k adresáři ABC, přístup bude odepřen a tato událost bude zaznamenána do souboru protokolu. Na druhou stranu, pokud váš SELinux pracuje v povoleném režimu, bude mít uživatel A přístup do adresáře ABC, ale přesto bude tato událost zaznamenána do souboru protokolu, aby správce mohl vědět, kde došlo k narušení zabezpečení došlo.

Metody nastavení SELinuxu na povolený režim v CentOS 8

Nyní, když jsme plně pochopili účel Permisivního režimu SELinuxu, můžeme snadno hovořit o metodách nastavení SELinuxu na Permisivní režim na CentOS 8. Než se však pustíte do těchto metod, je vždy dobré zkontrolovat výchozí stav SELinux spuštěním následujícího příkazu ve vašem terminálu:



$sestatus

Výchozí režim SELinuxu je zvýrazněn na obrázku níže:

Způsob dočasného nastavení SELinuxu na povolený režim v CentOS 8

Dočasným nastavením SELinuxu na Permisivní režim máme na mysli, že tento režim bude povolen pouze pro aktuální relaci a jakmile restartujete systém, SELinux obnoví svůj výchozí provozní režim, tj. Režim Vynucení. Pro dočasné nastavení SELinuxu na Permissive mode je třeba na terminálu CentOS 8 spustit následující příkaz:

$sudosetenforce0

Nastavením hodnoty příznaku setenforce na 0 v podstatě měníme jeho hodnotu na Permissive from Enforcing. Spuštěním tohoto příkazu se nezobrazí žádný výstup, jak můžete vidět na obrázku připojeném níže.

Nyní, abychom ověřili, zda byl SELinux v CentOS 8 nastaven na Povolující režim nebo ne, spustíme v terminálu následující příkaz:

$dostat sílu

Spuštěním tohoto příkazu se vrátí aktuální režim SELinuxu, který bude povolený, jak je zvýrazněno na obrázku níže. Jakmile však restartujete systém, SELinux se vrátí zpět do režimu vynucování.

Metoda trvalého nastavení SELinuxu na povolený režim v CentOS 8

Již jsme v metodě č. 1 uvedli, že podle výše uvedené metody pouze dočasně nastavíme SELinux na Permisivní režim. Pokud však chcete, aby tyto změny byly k dispozici i po restartování systému, budete muset přistupovat ke konfiguračnímu souboru SELinux následujícím způsobem:

$sudo nano /atd/selinux/konfigur

Konfigurační soubor SELinuxu je zobrazen na obrázku níže:

Nyní musíte nastavit hodnotu proměnné SELinux na permisivní, jak je zdůrazněno na následujícím obrázku, po kterém můžete soubor uložit a zavřít.

Nyní musíte znovu zkontrolovat stav SELinuxu, abyste zjistili, zda byl jeho režim změněn na Povolený nebo ne. To lze provést spuštěním následujícího příkazu ve vašem terminálu:

$sestatus

Ze zvýrazněné části obrázku níže můžete vidět, že právě teď se pouze režim z konfiguračního souboru změní na Permissive, zatímco aktuální režim je stále Vynucující.

Nyní, aby se naše změny projevily, restartujeme náš systém CentOS 8 spuštěním následujícího příkazu v terminálu:

$sudovypnutí - nebo teď

Když po restartování systému znovu zkontrolujete stav SELinuxu příkazem sestatus, všimnete si, že aktuální režim byl také nastaven na Povolující.

Závěr:

V tomto článku jsme se dozvěděli rozdíl mezi vynucujícím a povoleným režimem SELinuxu. Pak jsme se s vámi podělili o dva způsoby nastavení SELinuxu na Permissive mode v CentOS 8. První metoda je pro dočasnou změnu režimu, zatímco druhá metoda je pro trvalou změnu režimu na Permissive. Podle svých požadavků můžete použít kteroukoli ze dvou metod.