Una determinata policy di SELinux può essere personalizzata abilitando o disabilitando una serie di policy booleane. I booleani consentono di modificare parti della politica di SELinux in fase di esecuzione, senza alcuna conoscenza della scrittura della politica di SELinux. Ciò consente modifiche senza ricaricare o ricompilare la politica di SELinux.
Puoi visualizzare questo elenco dalla riga di comando utilizzando il comando seguente:
# semanage boolean -l SELinux boolean State Default Description privoxy_connect_any (on , on) Allow privoxy to connect any smartmon_3ware (off , off) Allow smartmon to 3ware mpd_enable_homedirs (off , off) Allow mpd to enable homedirs xdm_sysadm_login (off , off) Allow xdm to sysadm login xen_use_nfs (off , off) Allow xen to use nfs ....
Nell'elenco di esempio, xen_use_nfs Booleano è disattivato , che impedisce a xen di utilizzare nfs.
Utilità getsebool e setsebool
Visualizzazione dei booleani
Puoi anche usare il comando getsebool per elencare i booleani. Questo comando visualizza gli stati ma non le descrizioni. Per visualizzare tutti i booleani e i relativi stati:
# getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off ....
Includere il nome booleano come argomento per visualizzare lo stato di un booleano specifico. Sono consentiti anche più argomenti booleani:
# getsebool xen_use_nfs allow_ftpd_use_nfs mozilla_read_content xen_use_nfs --> off ftpd_use_nfs --> off mozilla_read_content --> off
Impostazione dei booleani
Utilizzare il comando setsebool per configurare i booleani dalla riga di comando. La sintassi è:
# setsebool [Boolean] on|off
Ad esempio, la seguente sequenza di comandi mostra lo stato corrente di un booleano, quindi lo abilita per consentire al demone syslogd di inviare posta, quindi mostra di nuovo lo stato:
# getsebool xen_use_nfs xen_use_nfs --> off
# setsebool xen_use_nfs on
# getsebool xen_use_nfs xen_use_nfs --> on
Per rendere la modifica persistente tra i riavvii, utilizzare l'opzione –P:
# setsebool –P xen_use_nfs on
/sys/fs/cartella selinux
Puoi anche visualizzare e modificare il valore di Booleans nella directory /sys/fs/selinux. I file booleani sono archiviati nella directory /sys/fs/selinux/booleans:
# ls /sys/fs/selinux/booleans abrt_anon_write mpd_use_cifs abrt_handle_event mpd_use_nfs abrt_upload_watch_anon_write mplayer_execstack antivirus_can_scan_system mysql_connect_any ...
Per visualizzare il valore di un booleano specifico:
# cat /sys/fs/selinux/booleans/xen_use_nfs 1 1
Un valore di 1 indica che il Booleano è attivo, mentre 0 indica che è disattivato. Il primo numero indica il valore corrente del Booleano. Il secondo numero rappresenta il valore in sospeso del Booleano. Per attivare il booleano ftpd_anon_write:
# echo 1 > /sys/fs/selinux/booleans/ftpd_anon_write
Visualizza il contenuto del file:
# cat /sys/fs/selinux/booleans/ftpd_anon_write 0 1
Per confermare il nuovo valore:
# echo 1 > /sys/fs/selinux/commit_pending_bools
Il valore ora è cambiato:
# cat /sys/fs/selinux/booleans/ftpd_anon_write 1 1
# getsebool ftpd_anon_write ftpd_anon_write --> onComprendere le policy di SELinux in Linux
Cosa sono le modalità SELinux e come impostarle