Testováno na
Debian (Lenny, Squeeze)
Pozadí
SELinux (Security Enhanced Linux) je povinné řízení přístupu rámec, který může být použit k harden Linux-založené systémy proti vnitřním a vnějším útokem. Může být například použit k určení, které části souborového systému jsou přístupné démonovi, jako je HTTP server, takže pokud útočník získá kontrolu nad démonem, je potenciál pro další poškození omezen.
aby to fungovalo, musí být SELinux nakonfigurován s bezpečnostní zásadou, která je dobře přizpůsobena legitimním potřebám programů spuštěných v daném systému. Příliš restriktivní politika způsobí selhání programů, často bez zjevného náznaku, že viníkem je SELinux. Z tohoto důvodu, když se snaží řešit neznámém systému je vhodné zkontrolovat, zda je SELinux povolen v rané fázi, aby se zabránilo plýtvání úsilí.
metoda
jedním ze způsobů, jak zjistit, zda je SELinux povolen, je příkaz getenforce
:
getenforce
existují tři možné výsledky:
Disabled
označuje, že SELinux je nainstalován, ale neaktivní. V tomto režimu by neměl mít žádný pozitivní ani negativní vliv na provoz systému.
Permissive
označuje, že SELinux je aktivní, ale bude sledovat pouze porušení bezpečnostních zásad a nezasahovat, aby jim zabránil. Můžete pozorovat některé další zprávy záznamu v tomto režimu, a bootstrap proces se prodlouží, pokud je to nutné přelepení souborový systém, ale jinak by to mělo mít malý nebo žádný vliv na chování systému. Tento režim by normálně být použity k usnadnění počáteční konfigurace Selinuxu, nicméně není důvod, proč by to nemohlo být ponecháno tímto způsobem, pokud cílem je audit, spíše než kalení.
Enforcing
označuje, že SELinux je aktivní a nakonfigurován tak, aby zabránil porušení bezpečnostních zásad. Toto je režim používaný k vytvrzení systému po dokončení počáteční konfigurace. Jako takový způsobí selhání programů, pokud je bezpečnostní politika příliš omezující.
Alternativy
Použití sestatus příkaz
je možné získat stejné informace, a více pomocí sestatus
příkaz:
sestatus
Pomocí této metody, stav SELinux (zda je povoleno nebo zakázáno) je vykazována odděleně od jeho režimu (tolerantní nebo prosazovat):
SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted
Kategorie:selinux