SELinux (Security Enhanced Linux) è un protocollo di sicurezza per gli amministratori Linux che consente loro di acquisire maggiore controllo. Il protocollo SELinux consente loro di imporre le politiche delle risorse che rappresentano quanto accesso ha un programma o qualsiasi utente. Questo SELinux è supportato da diversi comandi che automatizzano il compito di un amministratore. In questo articolo forniremo la spiegazione e l'esecuzione di tutti i comandi di base di SELinux che un utente normale potrebbe aver bisogno di conoscere.
Quali sono i comandi di base di SELinux?
Questa sezione contiene i comandi più usati e basilari di SELinux. Quindi, il passaggio principale è avviare il terminale e iniziare a eseguire questi comandi.
Verifica lo stato di SELinux
Sebbene SELinux sia abilitato per impostazione predefinita, si consiglia di verificarne lo stato per evitare qualsiasi inconveniente. Se il servizio è disabilitato o interrotto, non sarebbe possibile utilizzare questa utilità.
– stato
Il comando sestatus di SELinux fornisce informazioni dettagliate sullo stato di SELinux. Il comando scritto di seguito verificherà lo stato di SELinux.
Come si osserva dall'output che SELinux è abilitato.
$ sestatus
– rafforza
Questo comando fornisce anche le informazioni sullo stato; tuttavia, il suo output è solo una parola e può essere imposizione o permissivo . Lo stato predefinito sta applicando che si riferisce allo stato abilitato e se l'output restituisce permissivo significa che il servizio non funziona. Digita il seguente comando per verificarne lo stato.
Nota: L'output permissivo mostra che SELinux è abilitato ma non imposto dalle regole della politica di SELinux. Tuttavia, l'applicazione significa che vengono seguite le regole di SELinux.
$ getenforce
Cambia lo stato di SELinux
Per cambiare lo stato di SELinux, puoi esercitare il comando setenforce.
Nota: È da notare che il comando setenforce manipola temporaneamente lo stato. Se vuoi farlo in modo permanente, devi accedere al file di configurazione di SELinux per apportare modifiche permanenti.
– forzare
Il comando setenforce in SELinux accetta il valore 0 o 1 .Dove 0 si riferisce alla modalità permissiva e 1 cambia la modalità corrente in modalità permissiva.
Il comando descritto di seguito cambia lo stato di SELinux in modalità di applicazione (ma temporaneamente).
$ sudo setenforce 1
E puoi modificare lo stato in Permissivo con l'aiuto del seguente comando.
$ sudo setenforce 0
Gestire i booleani di SELinux
I booleani associati a SELinux possono essere gestiti da due comandi. Il getsebool Il comando ti consente di ottenere tutti i booleani di SELinux in una volta o uno per uno. E il setsebool Il comando può essere utilizzato per impostare il booleano di un SELinux. Il getsebool Il comando in Linux può essere usato per ottenere il booleano associato a SELinux.
– getsebool
Per ottenere tutti i valori booleani in SELinux, getsebool comando viene utilizzato con -a flag come indicato di seguito.
Osserverai su o disattivato valori:
$ getsebool -a 
Tuttavia, puoi ottenere il valore di un booleano specifico specificandone il nome. I comandi scritti di seguito otterranno il valore di un booleano chiamato allow_kerberos.
$ getsebool allow_kerberos
– setsebool
Il comando setsebool viene utilizzato per impostare lo stato corrente di SELinux Boolean su un determinato valore. Questo comando può essere applicato anche su set di SELinux Boolean.
Diciamo che otteniamo lo stato attuale di allow_execmod utilizzando getsebool comando.
$ getsebool allow_execmod
E cambiamo lo stato attuale off a su con l'aiuto di setsebool comando come indicato di seguito.
$ sudo setsebool allow_execmod on
Oppure puoi sostituire off e acceso parole chiave con 0 e 1 rispettivamente per cambiare lo stato di SELinux Boolean.
Nota: Assicurati di eseguire i comandi setstatus, setsebool, semanage usando i privilegi di root.
Gestisci la politica di SELinux
Il semanage comando fornisce un ampio supporto per gestire più operazioni in SELinux. Questa sezione contiene gli esempi dei pochi comandi di semanage più utilizzati.
– utente semanage
Puoi elencare gli attuali utenti di SELinux con l'aiuto del comando scritto di seguito.
$ sudo semanage user -l 
– modulo semanage
I moduli SELinux vengono manipolati usando modulo di gestione comando di strumento di semanage. Per prima cosa, ottieni l'elenco dei moduli usando il seguente comando.
$ sudo semanage module -l
Puoi disabilitare qualsiasi modulo usando -d bandiera di questo modulo semanage. Per farlo, devi seguire la sintassi menzionata qui:
$ semanage module -d <module-name>Per abilitarlo di nuovo, il -e opzione come mostrato di seguito.
$ semanage module -e <module-name>– porto di semanage
Per ottenere l'elenco delle porte di SELinux, viene utilizzato il comando semanage come mostrato di seguito. L'output contiene tre colonne, la prima mostra il tipo di porta, la seconda colonna mostra il protocollo seguito da ciascuna porta e l'ultima colonna rappresenta i numeri di porta.
$ sudo semanage port -l 
Puoi anche creare una nuova porta. Ad esempio, il comando menzionato di seguito aggiunge una nuova porta con i seguenti valori.
- il tipo di porta è rappresentato da t nel comando e viene assegnato un valore http_port_t
- Il -p il flag utilizzato qui rappresenta il protocollo ed è impostato su tcp
- E alla fine, il numero di porta è specificato ed è impostato su 2222.
Mentre il -a flag viene utilizzato qui per indirizzare il comando ad aggiungere una nuova porta.
$ sudo semanage port -a -t http_port_t -p tcp 2222
Suggerimento bonus
Qui, abbiamo un suggerimento bonus per te che sicuramente ti aiuterà se stai usando SELinux regolarmente. Quindi, entriamo nel merito,
Cambia lo stato di SELinux in modo permanente
Nel caso, se si desidera modificare lo stato di SELinux in modo permanente, è necessario accedere al file di configurazione di SELinux che si trova in /etc/selinux/config. Il comando scritto di seguito apre il file in nano editor.
$ sudo nano /etc/selinux/config 
Quando il file viene aperto, osserverai una riga <SELINUX=permissive>; devi cambiare il valore e sostituire permissivo con disabilitato o applicazione (qualunque stato tu voglia). Dopo aver eseguito la modifica, premi "Ctrl+S ” per salvare le modifiche ed uscire dal file premendo “Ctrl+X “.
Per applicare le modifiche, è necessario riavviare il sistema. Dopo il riavvio, lo stato verrà modificato come previsto.
Conclusione
SELinux ha un ampio elenco di comandi che facilita il modo in cui gli utenti hanno il controllo sull'accessibilità di diverse app/utenti. Questo articolo elenca i comandi SELinux più importanti che devi conoscere. I comandi qui scritti possono essere esercitati per diversi scopi relativi a SELinux. Come dal controllo/modifica dello stato di SELinux alla manipolazione delle impostazioni di configurazione.