háttér

a SELinux (Security Enhanced Linux) egy kötelező hozzáférés-ellenőrzési keretrendszer, amely a Linux-alapú rendszerek belső és külső támadásokkal szembeni keményítésére használható. Használható például annak meghatározására, hogy a fájlrendszer mely részei érhetők el egy démon, például egy HTTP szerver számára, így ha a támadó megszerzi az irányítást a démon felett, akkor a további károk lehetősége korlátozott.

ahhoz, hogy ez működjön, a SELinux-ot olyan biztonsági házirenddel kell konfigurálni, amely jól illeszkedik a kérdéses rendszeren futó programok jogos igényeihez. A túlzottan korlátozó politika a programok kudarcát okozza, gyakran anélkül, hogy nyilvánvaló jele lenne annak, hogy SELinux a tettes. Ezért egy ismeretlen rendszer hibaelhárításának megkísérlésekor tanácsos korai szakaszban ellenőrizni, hogy a SELinux engedélyezve van-e az elvesztegetett erőfeszítések elkerülése érdekében.

módszer

a SELinux engedélyezésének egyik módja a getenforce parancs:

getenforce

három lehetséges eredmény van:

Disabled

azt jelzi, hogy a SELinux telepítve van, de inaktív. Ebben a módban nem lehet pozitív vagy negatív hatása a rendszer működésére.

Permissive

azt jelzi, hogy a SELinux aktív, de csak a biztonsági irányelvek megsértését figyeli, és nem avatkozik be azok megakadályozására. Ebben a módban néhány további naplóüzenetet figyelhetünk meg, és a bootstrap folyamat meghosszabbodik, ha újra kell címkézni a fájlrendszert, de egyébként kevés vagy semmilyen hatással nem lehet a rendszer viselkedésére. Ezt a módot általában a SELinux kezdeti konfigurációjának megkönnyítésére használják, azonban nincs ok arra, hogy miért ne lehetne így hagyni, ha a cél inkább az auditálás, mint a keményedés.

Enforcing

azt jelzi, hogy a SELinux aktív és úgy van konfigurálva, hogy megakadályozza a biztonsági házirend megsértését. Ez az a mód, amelyet a rendszer megkeményítésére használnak, miután a kezdeti konfiguráció befejeződött. Mint ilyen, a programok meghibásodását okozza, ha a biztonsági házirend túl korlátozó.

alternatívák

A sestatus parancs használata

ugyanezeket az információkat a sestatus paranccsal lehet megszerezni:

sestatus

ezzel a módszerrel a SELinux állapotát (függetlenül attól, hogy engedélyezve vagy letiltva van-e) külön kell jelenteni a módjától (megengedő vagy érvényesítése):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted