Background

SELinux (Security Enhanced Linux) es un marco de control de acceso obligatorio que se puede usar para endurecer los sistemas basados en Linux contra ataques internos y externos. Por ejemplo, se puede usar para especificar qué partes del sistema de archivos son accesibles para un demonio, como un servidor HTTP, de modo que si un atacante obtiene el control del demonio, el potencial de daño adicional es limitado.

Para que esto funcione, SELinux debe estar configurado con una política de seguridad que esté bien adaptada a las necesidades legítimas de los programas que se ejecutan en el sistema en cuestión. Una política demasiado restrictiva hará que los programas fallen, a menudo sin ninguna indicación obvia de que SELinux es el culpable. Por esta razón, cuando se intenta solucionar un problema de un sistema desconocido, es aconsejable comprobar si SELinux está habilitado en una etapa temprana para evitar un esfuerzo desperdiciado.

Método

Una forma de determinar si SELinux está habilitado es mediante el comando getenforce :

getenforce

Hay tres posibles resultados:

Disabled

indica que SELinux está instalado, pero inactiva. No debe tener ningún efecto positivo o negativo en el funcionamiento del sistema mientras se encuentre en este modo.

Permissive

indica que SELinux está activo, pero solo supervisará las violaciones de la política de seguridad y no intervendrá para prevenirlas. Puede observar algunos mensajes de registro adicionales mientras está en este modo, y el proceso de arranque se alargará si es necesario volver a etiquetar el sistema de archivos, pero de lo contrario debería tener poco o ningún impacto en el comportamiento del sistema. Este modo normalmente se usaría para facilitar la configuración inicial de SELinux, sin embargo, no hay razón por la que no se pueda dejar de esta manera si el objetivo es auditar en lugar de endurecer.

Enforcing

indica que SELinux está activo y configurado para evitar violaciones de la directiva de seguridad. Este es el modo utilizado para endurecer un sistema una vez que se ha completado la configuración inicial. Como tal, hará que los programas fallen si la política de seguridad es demasiado restrictiva.

Alternativas

Mediante el comando sestatus

es posible obtener la misma información y más el uso de la etiqueta sestatus comandos:

sestatus

el Uso de este método, el estado de SELinux (si está habilitado o deshabilitado) se informa por separado de su modo (permisivo o forzado):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted