Tausta

SELinux (Security Enhanced Linux) on pakollinen kulunvalvontajärjestelmä, jolla voidaan kovettaa Linux-pohjaisia järjestelmiä sisäistä ja ulkoista hyökkäystä vastaan. Sitä voidaan käyttää esimerkiksi määrittelemään, mitkä tiedostojärjestelmän osat ovat HTTP-palvelimen kaltaisen demonin käytettävissä, joten jos hyökkääjä saa demonin hallintaansa, lisävahinkojen mahdollisuus on rajallinen.

jotta tämä toimisi, Selinuxille on määritettävä suojauskäytäntö, joka vastaa hyvin kyseisessä järjestelmässä käynnissä olevien ohjelmien oikeutettuja tarpeita. Liian rajoittava politiikka aiheuttaa ohjelmien epäonnistumista, usein ilman selvää merkkiä siitä, että SELinux on syyllinen. Tästä syystä, kun yrität vianmääritys tuntematon järjestelmä on suositeltavaa tarkistaa, onko SELinux on käytössä varhaisessa vaiheessa, jotta vältetään turhaa vaivaa.

menetelmä

yksi tapa määrittää, onko SELinux käytössä, on getenforce komento:

getenforce

mahdollisia tuloksia on kolme:

Disabled

osoittaa, että SELinux on asennettu, mutta ei aktiivinen. Sillä ei pitäisi olla positiivista tai negatiivista vaikutusta järjestelmän toimintaan tässä tilassa.

Permissive

kertoo, että SELinux on aktiivinen, mutta valvoo vain turvallisuuspoliittisia rikkomuksia eikä puutu niiden estämiseen. Voit havaita joitakin ylimääräisiä lokiviestejä tässä tilassa, ja bootstrap-prosessi pitenee, jos tiedostojärjestelmän uudelleenmerkintä on tarpeen, mutta muuten sillä ei pitäisi olla juurikaan tai ei lainkaan vaikutusta järjestelmän käyttäytymiseen. Tätä moodia käytettäisiin yleensä SELinuxin alkuasetusten helpottamiseen, mutta ei ole mitään syytä, miksi sitä ei voitaisi jättää näin, Jos tavoitteena on auditointi kovettumisen sijaan.

Enforcing

osoittaa, että SELinux on aktiivinen ja konfiguroitu estämään turvallisuuspolitiikan rikkomukset. Tämä on tila, jota käytetään kovettua järjestelmä, kun alkuperäinen kokoonpano on suoritettu. Sellaisenaan se aiheuttaa ohjelmien epäonnistumista, jos turvakäytäntö on liian rajoittava.

Alternatives

käyttämällä sestatus-komentoa

on mahdollista saada samat tiedot ja enemmänkin käyttämällä sestatus command:

sestatus

tätä menetelmää käyttäen SELinuxin tila (onko se käytössä vai pois käytöstä) ilmoitetaan erikseen sen tilasta (salliva tai pakottava):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted